PROGRAMME D'ASSURANCE CYBER - LES BONNES PRATIQUES POUR SÉCURISER LA SANTÉ FINANCIÈRE DE VOTRE ENTREPRISE - Servyr
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
L I VR E
BLANC
PROGRAMME
D'ASSURANCE CYBER
LES BONNES PRATIQUES POUR
SÉCURISER LA SANTÉ FINANCIÈRE
DE VOTRE ENTREPRISE
2020 S’EST RÉVÉLÉE ÊTRE UNE ANNÉE DE
TRANSITION POUR LES RISQUES LIÉS À
LA CYBER CRIMINALITÉ.
LA PANDÉMIE COVID-19 A ÉPROUVÉ LES SYSTÈMES
DU CÔTÉ ASSUREURS, LEURS TEXTES DE
GARANTIES ET LEURS TARIFICATIONS
SONT EN COURS DE RÉVISION, À LA DE-
MANDE DE LEURS RÉASSUREURS. ILS INSISTENT
LES CYBERATTAQUES,
UN PHÉNOMÈNE GRANDISSANT
1
INFORMATIQUES DES ENTREPRISES, NOTAMMENT ÉGALEMENT SUR LA PRÉVENTION, UN POINT NÉ-
2
AVEC LA MISE EN PLACE MASSIVE DU TÉLÉTRA- VRALGIQUE SUR LEQUEL LES COURTIERS DOIVENT
VAIL. DEVENUES DES CIBLES IDÉALES POUR LES SENSIBILISER LEURS CLIENTS. COMMENT PROTÉGER
HACKERS, NOMBREUSES D’ENTRE ELLES ONT ÉTÉ VOTRE ENTREPRISE
DU RISQUE CYBER ?
VICTIMES L’AN PASSÉ DU BUSINESS DU « HACKING », IL EXISTE DEUX MANIÈRES DE SE PROTÉ-
UNE ORGANISATION À GRANDE ÉCHELLE, BIEN GER CONTRE LA CYBER CRIMINALITÉ.
AU-DELÀ DU DARKNET. LA PREMIÈRE REPOSE SUR LE VERROUILLAGE DE
3
SON SYSTÈME INFORMATIQUE ; PARTIRIEZ-VOUS
LA MISE EN PLACE
AU MÊME TITRE QUE DE NOMBREUX DE CHEZ VOUS EN LAISSANT LA PORTE OUVERTE ?
D’UN CONTRAT D’ASSURANCE
RISQUES AYANT ÉMERGÉ CES 20 DER- LA DEUXIÈME CONSISTE À SE COUVRIR EN CAS CYBER : SOMMES-NOUS TOUS
NIÈRES ANNÉES, IL EST PRIMORDIAL DE D’ATTAQUE EN FAISANT CONFIANCE À SON COUR- CONCERNÉS ?
PRENDRE CONSCIENCE QUE LES CYBER RISQUES TIER, SPÉCIALISTE DANS LE DOMAINE, POUR LA
SONT GRANDISSANTS ET DE PLUS EN PLUS MENA- MISE EN PLACE DE MOYENS DE PRÉVENTION NÉ-
ÇANTS POUR LES ENTREPRISES DE TOUTE TAILLE. CESSAIRES POUR ÉVITER D’EN ÊTRE VICTIME.
4
LES COURTIERS DOIVENT DONC ÊTRE EN MESURE
DE TROUVER DES SOLUTIONS ADAPTÉES POUR LES MAGALY DORIA, CONTRATS D’ASSURANCE CYBER :
DÉCRYPTAGE ET EXPLICATIONS
EN PROTÉGER. CHARGÉE DE CLIENTÈLE EN RISQUES D’ENTREPRISE
2
QUELLES
LES CYBERATTAQUES
SOLUTIONS
D’ASSURANCE
UN PHÉNOMÈNE GRANDISSANT
SONT LES PLUS ADAPTÉES
AUX ENJEUX ET PROBLÉMATIQUES
DES ENTREPRISES INTERNATIONALES ?
MENU
L'ÉTAT DES LIEUX Une cyberattaque est un acte malveillant qui
vise les systèmes d’information ou les entre-
CHIFFRES CLÉS
prises qui utilisent la technologie et les réseaux, 42 %
dans le but de voler des données ou modifier, DES ENTREPRISES TOUCHÉES PAR
voire détruire un système. DES CYBERATTAQUES EN 2019 SONT DES PME
Ce type d’incident informatique peut avoir de graves 1,3 M€
conséquences sur la protection des données à
EST LE COÛT MOYEN D’UNE CYBERATTAQUE
caractère personnel ou sur la survie économique de la
(POUR 15 JOURS D’INTERRUPTION D’ACTIVITÉ)
société.
31 %
z LA CYBER MALVEILLANCE EST UN PHÉNOMÈNE
DES MULTINATIONALES ONT ÉTÉ VICTIMES
QUI SE RÉPAND PARTOUT DANS LE MONDE ET D’UN CYBERCRIMINEL AU MOINS UNE FOIS
QUI GRANDIT, NOTAMMENT DEPUIS LA CRISE PAR JOUR EN 2020
LIÉE À LA COVID-19 QUI A ACCENTUÉ LES
IMPACTS EN MATIÈRE DE CYBERSÉCURITÉ. + 1 000
ENTREPRISES ONT CONSTATÉ DES FUITES
DE DONNÉES PROVOQUÉES PAR UN RANSOMWARE
D’après le Gouvernement, « les cybercriminels (RANÇONGICIEL) EN 2020
cherchent à tirer profit de la précipitation et de la
baisse de vigilance des personnes directement ou
indirectement concernées pour les abuser et qui va se Ces chiffres alarmants mettent en lumière la
retrouver amplifiée par l’accroissement de l’usage nécessité de réfléchir à la protection de son
numérique lié aux mesures de confinement. ». entreprise contre les cyberattaques.
D’après l’entreprise Acronis (solution de sauvegarde À travers ce livre blanc, Servyr vous invite à
des données), les cyberattaques en 2021, viseront découvrir les bonnes pratiques pour vous
surtout les télétravailleurs et les fournisseurs de protéger des attaques informatiques auxquelles
services gérés. toute entreprise peut être confrontée.
Certaines recherches suggèrent que le travail à Que vous soyez une TPE, PME ou une entreprise
distance est devenu la source de 20 % des incidents de plus grande taille, nous sommes tous
de cybersécurité et que les rançongiciels sont en concernés !
augmentation.
4
MENU
QUELQUES
EXEMPLES DE
CYBERATTAQUES
JANVIER 2020 MAI 2020
z LES DONNÉES INTERNES D’ESTÉE LAUDER ONT z EASYJET SE FAIT HACKER LES DONNÉES
FUITÉ PERSONNELLES DE SES CLIENTS
Plus de 440 millions de données du Groupe de En mai 2020, lors du premier confinement lié à la
cosmétique Estée Lauder se sont retrouvées en crise sanitaire du COVID-19, Easyjet, compagnie
libre accès au début de l’année 2020. aérienne britannique, a subi une attaque infor-
Ces données ne concernaient pas les clients de la matique. Les hackers ont eu accès aux informa-
marque mais des informations internes à l’entre- tions personnelles de 9 millions de clients à
prise telles que des audits, rapports, adresses travers le monde. Les pirates informatiques ont
mails professionnelles, etc. Le cyber incident en obtenu des adresses électroniques et détails de
est resté là. Mais l’attaque aurait pu avoir de voyage, ainsi que les données des cartes de
graves conséquences indirectes en affectant crédit de plus de 2 000 passagers.
notamment la réputation du Groupe. Easyjet a réussi à faire preuve de réactivité et a
Selon un rapport d’Hiscox Assurances France sur pu entrer rapidement en contact avec les clients
la gestion des cyber risques, publié en décembre concernés pour les tenir informés des mesures
2020, de nombreuses entreprises victimes de de protection à suivre.
cyberattaques ont constaté une perte de « Depuis que nous avons pris conscience de l'inci-
confiance auprès de leurs prospects (15 %), de dent, nous avons compris qu'en raison du Covid-19
leurs clients (11 %) mais également de leurs il y a de fortes craintes sur l'utilisation de données
partenaires commerciaux (12 %). personnelles pour des arnaques en ligne. », a
déclaré Johan Lundgren, Directeur Général du
Groupe.
5
MENU
JUIN 2020 SEPTEMBRE 2020 DÉCEMBRE 2020
z L’UNIVERSITÉ DE CALIFORNIE À SAN FRANCISCO z CMA CGM SUBIT SA SECONDE CYBERATTAQUE z L’ÉDITEUR SOLARWINDS EST VICTIME
EST CONTRAINTE DE VERSER UNE RANÇON DE L’ANNÉE D’UNE CYBERATTAQUE MONDIALE
La célèbre Université UCSF située à San Francisco En l’espace de six mois, la compagnie de La mise à jour du logiciel Orion, logiciel de surveil-
a été victime d’un ransomware paralysant l’accès transport maritime CMA CGM a subit deux cybe- lance réseau et informatique, de l'éditeur américain
aux données de son réseau informatique. rattaques dont l’une en septembre liée à l’intru- SolarWinds contenait un cheval de Troie.
Les spécialistes informatiques de l’établissement sion d’un logiciel malveillant. Celle-ci visait les Près de 18 000 clients, en installant la mise à jour
n’ont pas été en mesure de stopper à temps la serveurs périphériques du Groupe. compromise, sont devenus victimes de cette
propagation du virus dans leurs systèmes d’infor- Immédiatement alertés par la faille, les services attaque.
mation, malgré leur réactivité et la déconnexion de la compagnie ont suspendu tous les accès Aux États-Unis, l'intrusion a donné accès aux
des ordinateurs. L’Université a finalement dû se externes pour éviter la propagation du virus systèmes de plus de 250 administrations, minis-
résoudre à payer une rançon d’environ un million informatique. tères (dont le Pentagone et la NNSA, qui gère
d’euros. Une demande de rançon a été émise par le l'arsenal nucléaire du pays) et grandes entre-
En 2019, 18% des entreprises françaises ont hacker, l’enquête est toujours en cours. Une prises (Intel, Cisco, Nvidia, ou Microsoft). Depuis
déclaré avoir payé une rançon à la suite d’une attaque peut donc toucher deux fois la même début janvier 2021, il apparaît que de nombreux
cyberattaque. entreprise à quelques mois d’intervalle. pays sont en réalité concernés, au Moyen-Orient,
Pourtant, seulement un tiers des entreprises en Asie et en Europe.
déclarent effectuer une évaluation régulière de la Compte-tenu de l’ampleur du phénomène,
sécurité à la suite d’une cyberattaque et 26 % qualifié de « cyberattaque historique », certains
adoptent de nouvelles exigences en matière de assureurs cyber refusent de garantir les entre-
cyber protection. prises utilisatrices du logiciel Orion, ou condi-
tionnent la mise en place de la garantie.
6
FOCUS
RÈGLEMENT GÉNÉRAL SUR LA QUELLES SONT LES CONSÉQUENCES
PROTECTION DES DONNÉES (RGPD) DE CETTE NOUVELLE RÉGLEMENTATION ?
ENTRÉ EN VIGUEUR EN MAI 2018, CE RÈGLEMENT AU-DELÀ DE L’ASPECT ORGANISA- EN TANT QUE RESPON-
EUROPÉEN RELATIF À LA PROTECTION DES DONNÉES TIONNEL, L’IMPACT POUR LES EN- SABLE DE TRAITEMENT,
A POUR OBJECTIFS DE RENFORCER LE DROIT DES TREPRISES EST FINANCIER. UN L’ENSEIGNE AURAIT DÛ RE-
PERSONNES ET DE RESPONSABILISER LES ACTEURS EXEMPLE : L’ENSEIGNE DARTY MÉDIER À LA SITUATION,
TRAITANT DES DONNÉES, QU’ILS SOIENT DIRECTE- MÊME EN CAS DE RECOURS À
EN 2017, LA CNIL A RELEVÉ
MENT RESPONSABLES OU SOUS-TRAITANTS. UN SOUS-TRAITANT, PUISQU’EN
UNE RÉELLE DÉFAILLANCE
SA QUALITÉ DE « RESPONSABLE DE
EN FRANCE, LA COMMISSION NATIONALE DE L’IN- DE SÉCURITÉ PERMETTANT
TRAITEMENT », L’ENSEIGNE AVAIT
FORMATIQUE ET DES LIBERTÉS (CNIL), CRÉÉE EN D’ACCÉDER LIBREMENT À
L’OBLIGATION DE S’ASSURER ET DE
1978 PAR LA LOI INFORMATIQUE ET LIBERTÉS, SE L’ENSEMBLE DES DONNÉES
VÉRIFIER QUE L’OUTIL DÉVELOPPÉ PAR
CHARGE DE LA PROTECTION DES DONNÉES PERSON- RENSEIGNÉES PAR LES
SON SOUS-TRAITANT RÉPONDAIT À L’OBLI-
NELLES DES FICHIERS ET TRAITEMENTS INFORMA- CLIENTS DE LA SOCIÉTÉ
GATION DE CONFIDENTIALITÉ ÉNONCÉE À L’AR-
TIQUES OU PAPIER, QU’ILS SOIENT PUBLICS OU VIA UN FORMULAIRE EN
TICLE 34 DE LA LOI INFORMATIQUE ET LIBERTÉS.
PRIVÉS. CETTE RÈGLE REND LES ENTREPRISES RES- LIGNE DE DEMANDE DE
PONSABLES DES DONNÉES PERSONNELLES QU’ELLES SERVICE APRÈS-VENTE : 912 À LA SUITE DE CES CONSTATATIONS, ELLE A
DÉTIENNENT ET PRÉVOIT DES AMENDES « PROPOR- 938 FICHES ÉTAIENT POTEN- ÉCOPÉ, DÉBUT 2018, D’UNE SANCTION ADMINIS-
TIONNÉES ET DISSUASIVES » (CHAPITRE VIII, TIELLEMENT ACCESSIBLES, TRATIVE À HAUTEUR DE 100 000 € POUR NE PAS
ARTICLE 83 DU RÈGLEMENT (UE) 2016/679 DU AVEC DES NOMS, DES PRÉNOMS, AVOIR SUFFISAMMENT SÉCURISÉ LES DONNÉES
PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL DES ADRESSES POSTALES, DES DE SES CLIENTS.
2016) POUVANT ATTEINDRE 4 % DE LEUR CHIFFRE ADRESSES DE MESSAGERIE ÉLEC-
AUJOURD’HUI, AVEC L’ENTRÉE EN VIGUEUR DU
D’AFFAIRES EN CAS DE VOL OU DE COMPROMISSION. TRONIQUE ET DES COMMANDES.
RGPD, LA SANCTION REPRÉSENTERAIT 4 MIL-
LES ENTREPRISES SUPPORTENT DÉSORMAIS UNE
LIONS D'EUROS MINIMUM, POUVANT ATTEINDRE
OBLIGATION DE NOTIFICATION SI UNE VIOLATION
JUSQU’À 19 MILLIONS D'EUROS.
DES DONNÉES PERSONNELLES SURVIENT.
7
MENU
FAQ - QU’EST-CE QU’UNE DONNÉE QU’EST-CE QU’UN DÉNI
LES RÉPONSES PERSONNELLE ? DE SERVICE ?
À VOS QUESTIONS
Selon l’article 2 de la loi n° 78-17 du 6 janvier 1978 Une attaque par déni de service, ou attaque
relative à l’informatique, aux fichiers et aux par déni de service distribué, consiste à saturer les
libertés, une donnée à caractère personnel capacités de traitement d’un système d’information
représente toute information à propos d’une ou d’un site internet à partir d’autres machines
personne physique identifiée ou qui peut être infectées afin de le rendre incapable de répondre
identifiée, directement ou indirectement, à l’aide aux requêtes des utilisateurs.
d’un numéro d’identification ou d’un ou plusieurs
éléments qui lui sont propres.
QUELLES SONT LES CYBERATTAQUES
LES PLUS FRÉQUENTES ?
??
Les dénis de service, les crypto logiciels, les
rançongiciels ainsi que les logiciels malveillants
sont les moyens les plus fréquents d’attaque
informatique.
8
MENU
MON ENTREPRISE EST-ELLE QU’EST-CE QUE LE « BYOD » ? QUELS SONT
TOTALEMENT PROTÉGÉE SI MON LES RISQUES LIÉS À SON UTILISATION ?
ENVIRONNEMENT BUREAUTIQUE
EST SÉCURISÉ ?
« Bring Your Own Device », ou « BYOD », signifie
en français « apportez vos appareils personnels »
afin de les utiliser à des fins professionnelles. La
Non, pas totalement. Selon les cibles visées, les sphère personnelle, présumée bien moins
pirates de l’informatique, ou « hackers » en protégée et hors du contrôle de l’entreprise,
anglais, peuvent aussi s’attaquer à votre mélangée au cadre professionnel multiplie les
QU’EST-CE QU’UN CRYPTO informatique de gestion, telle que la comptabilité risques d’incidents informatiques. Les moyens
LOGICIEL OU RANÇONGICIEL ? ou les fichiers du personnel, à votre informatique d’accès aux données et aux systèmes d’information
de process, comme les automates, mais également de votre entreprise, et donc les failles exploitables
à vos installations de sécurité et de sûreté. par des pirates de l’informatique, se multiplient à la
suite de l’utilisation de « BYOD ».
Un crypto logiciel, un rançongiciel ou encore un
ransomware, sont des programmes malveillants
qui cryptent, qui codent des données d’un système
d’information. La clé de décryptage est le plus
souvent transmise après paiement d’une somme LE WIFI, LE BLUETOOTH
sous forme virtuelle (telle que les bitcoins). OU LES OBJETS CONNECTÉS LE CLOUD REPRÉSENTE-T-IL
REPRÉSENTENT-ILS UN RISQUE ? UN RISQUE ?
Oui, ce sont des failles exploitables. Oui. L’exploitation de systèmes d’information
QU’EST-CE QU’UN LOGICIEL distants par l’intermédiaire d’un réseau,
Vos données entrantes et sortantes de votre
MALVEILLANT ? notamment interne, se traduit par l’hébergement
système d’information sont très facilement
accessibles, via le wifi ou le bluetooth, si elles ne de données à distance. Cette externalisation peut
sont pas cryptées de manière suffisamment compromettre la maîtrise de données ou de
sécurisée. Les objets connectés, quant à eux, tâches. Les risques de cette démarche doivent être
Un logiciel malveillant est un programme qui multiplient les voies d’accès aux données et aux analysés par votre entreprise. Une réflexion doit
affecte le fonctionnement d’un système systèmes d’information de votre entreprise. Ce également être menée sur les conditions et les
d’information. Ils sont également appelés sont donc des failles que les pirates de outils essentiels pour garantir la sécurité de ce
« virus », « vers », « chevaux de Troie », etc. l’informatique sont susceptibles d’exploiter. service fourni par une entreprise prestataire.
9
MENU
COMMENT LA CYBERCRIMINALITÉ QU’EST-CE QUE L’ANSSI ?
EST-ELLE JURIDIQUEMENT PUNIE ?
L’ANSSI est l’acronyme pour l’Agence Nationale de
En France, un ensemble d’articles qualifie les la Sécurité des Systèmes d’Information. Créée en
infractions spécifiques aux technologies de 2009, c’est l’autorité nationale pour la sécurité et la
l’information et de la communication, notamment : défense des systèmes d’information en France. Elle
• Les articles 323-1 à 323-7 du Code Pénal aide également les administrations, les acteurs
concernant les atteintes aux systèmes de traite- économiques et le grand public dans la transition
ment automatisé de données (accès ou maintien numérique. Aussi, elle se charge de la promotion
frauduleux, entrave au fonctionnement, détention des technologies, des systèmes et des savoir-faire
de matériel ou logiciel spécifique, groupement français en France et en Europe.
formé ou entente établie)
• Les articles 226-16 à 226-20 du Code Pénal à
propos des infractions à la loi n°78-17 du 6 janvier
1978 relative à l’informatique, aux fichiers et aux
libertés (collecte frauduleuse, traitement de données
à caractère personnel, usurpation d’identité QU’EST-CE QUE LA CNIL ?
numérique)
• Les articles L163-3 à L163-12 du Code Monétaire
et Financier concernent les infractions aux cartes
bancaires (contrefaçon, falsification de moyens de La Commission nationale de l’Informatique et des
paiement, détention de matériel ou logiciel Libertés, ou CNIL, a été créée en 1978 par la loi n°
spécifique) 78-17 relative à l’informatique, aux fichiers et aux
libertés afin de contrôler l’utilisation des données
• L’article 434-15-2 du Code Pénal relatif aux personnelles. Elle doit s’assurer, en tant qu’autorité
infractions au chiffrement (refus de remettre une clé administrative indépendante, de la protection et de
de déchiffrement ou de la mettre en œuvre) la bonne gestion des données personnelles tout en
• Et les articles 226-1 à 226-4 du Code Pénal sur la accompagnant les entreprises et particuliers lors
violation de la vie privée par captation via un de l’utilisation des nouvelles technologies. La CNIL
dispositif technique, la divulgation publique d’un travaille main dans la main avec ses homologues
enregistrement privé, la conception, l’importation, la européens du G29 et internationaux afin
location, la détention et l’offre d’outils de captation d’harmoniser la régulation du traitement des
de la vie privée et des correspondances. données personnelles.
10COMMENT PROTÉGER
VOTRE ENTREPRISE
DU RISQUE CYBER ?
?MENU
LES 3 POINTS CLÉS 1 DES FACTEURS HUMAINS 2 DES OUTILS DE PROTECTION
ET ORGANISATIONNELS PROTÉGER VIA DES OUTILS ADAPTÉS
L’ANALYSE DE VOTRE EXPOSITION À CES NOU- SENSIBILISER SES COLLABORATEURS La mise en place d’outils adaptés à votre activité
ET PARTIES PRENANTES permet également de protéger au mieux votre
VEAUX RISQUES AINSI QUE LA MISE EN PLACE
Il est nécessaire de sensibiliser et de former vos entreprise.
D’UNE POLITIQUE DE PRÉVENTION SONT LES
collaborateurs aux bons réflexes contre les risques ` LES ANTI-VIRUS, OU PARE-FEUX, SONT INDISPEN-
PREMIÈRES DÉMARCHES À RÉALISER AVANT DE cyber, tout comme vos sous-traitants et vos presta- SABLES pour la protection de votre système d’infor-
TRANSMETTRE LE RISQUE À VOTRE ASSUREUR. taires afin d’éviter qu’ils deviennent la faille de votre mation. Ils doivent être régulièrement et
protection cyber. automatiquement mis à jour.
UNE PERSONNE AU SEIN DE VOTRE ENTREPRISE,
N’hésitez pas à régulièrement leur rappeler ces règles ` L’ANTI-VIRUS PEUT ÊTRE COMPLÉTÉ par des outils de
CLAIREMENT IDENTIFIÉE, DOIT ÊTRE EN CHARGE
simples mais primordiales : filtrage de type « Intrusion Détection Système »
DE LA MISE EN PLACE ET DU SUIVI DE CETTE
` NE PAS UTILISER DES APPAREILS PERSONNELS comme (IDS) et « Intrusion Protection Système » (IPS) qui
POLITIQUE DE MANAGEMENT DE CYBER RISQUE. des clefs USB ou des disques durs externes ou des sondent les entrées et sorties dans le but d’écarter
accès distants non sécurisés (Wifi ou Bluetooth). une intrusion malveillante.
` NE PAS DIVULGUER SON MOT DE PASSE. Enfin, des outils de détection comportementale
` METTRE EN PLACE DES RÈGLES pour la consultation peuvent vous aider à détecter d’autres intrusions
des mails ou pièces jointes douteux tels que les malveillantes que les outils de surveillance n’arrête-
liens hypertextes ou inexplicables, les extensions raient pas.
.pif, .com, .exe, .bat ou .lnk.
LIMITER LA CRÉATION DE FAILLES z LES TÉLÉCHARGEMENTS QUI ONT FRANCHI
L’ANTI-VIRUS SONT ANALYSÉS AFIN DE DÉCELER
La mise en place d’une véritable politique de gestion
CEUX QUI AGISSENT DE MANIÈRE SUSPECTE,
des droits adaptée à la situation de votre entreprise
est nécessaire à sa protection. Vos mots de passe se COMME, PAR EXEMPLE, LES LOGICIELS QUI
doivent d’être individualisés, secrets, complexes (tel INTERROGENT UN NOMBRE IMPORTANT DE
que 8 caractères avec des majuscules, des minuscules RÉPERTOIRES DE L’ORDINATEUR, LES « CRYPTO
et des caractères spéciaux, par exemple) et modifiés LOGICIELS ».
régulièrement afin d’éviter leur usurpation.
Vos logiciels sont également des accès pour des
intrusions malveillantes. Leur mise à jour est donc
essentielle pour limiter la création de failles.
12MENU
3 DES OUTILS DE RÉSILIENCE,
POUR UNE ANTICIPATION DE
LA GESTION DE CRISE
ANTICIPER AVEC UNE MÉTHODE ÉPROUVÉE
Afin que votre entreprise reprenne rapidement son
activité après une attaque, vous devez anticiper.
1. LA SAUVEGARDE DE VOS DONNÉES
` Sauvegarder régulièrement vos données sur des
supports et systèmes distincts de votre système
d’information, c’est-à-dire un site différent de celui
hébergeant déjà vos systèmes et données.
` Tester, au moins une fois par an, les restaurations
afin qu’elles soient opérationnelles.
Ces sauvegardes de vos systèmes d’exploitation et
progiciels doivent suivre les recommandations des
sites éditeurs ainsi que celles de vos prestataires
informatiques.
2. LE PLAN DE CONTINUITÉ D’ACTIVITÉ
` Rendre vos données, systèmes d’exploitation et ap-
plications critiques confidentielles ou personnelles.
` Réfléchir à une procédure de gestion de crise en cas
d’intrusion malveillante.
` Identifier des collaborateurs (responsables, experts et
communicants) mobilisables sans délai à tout instant,
qui seront chargés de mettre en place les mesures
d’urgences nécessaires afin d’assurer la continuité ou
la reprise de l’activité de votre entreprise.
13MENU
QUE FAIRE
EN CAS 1 VIS-À-VIS
D’INCIDENT ? DES POUVOIRS PUBLICS Depuis mai 2018, les entreprises ayant des activités de
traitement de données personnelles sont également
PORTER PLAINTE concernées par cette obligation de notification à
l’autorité compétente et aux intéressés.
Toute cyberattaque représente une infraction aux
technologies de l’information et de la communication EN CAS D’ATTEINTE AU SYSTÈME D’INFORMATION
définies par le Code Pénal et le Code Monétaire et Selon l’article 22 de la loi n° 2013-1168 du 18 décembre
Financier. 2013 relative à la programmation militaire pour les
Vous devez déposer une plainte au plus vite auprès du années 2014 à 2019, le Premier Ministre et l’Agence
service territorial de police ou de gendarmerie le plus Nationale de la Sécurité des Systèmes d’Information
proche de l’entreprise ou par courrier auprès du (ANSSI) doivent être informés de l’incident informa-
procureur de la République du Tribunal de Grande tique pour les opérateurs d’importance vitale.
Instance de votre ressort géographique. À la suite de la directive européenne 2016/1148,
En tant qu’entreprise victime d’une attaque ou d’une relative à la sécurité des réseaux et des systèmes
suspicion d’attaque informatique, vous devez relever d’information dans l’Union Européenne (SRI), les
des preuves numériques de l’incident à l’aide de entreprises dites « d’opérateur de services essentiels »
constatations techniques. Un spécialiste en cybercri- ou de « fournisseur de services numériques » sont
minalité, nommé par les services de police, peut venir aussi concernées par l’obligation de notification à
compléter vos observations lors de l’enquête. l’autorité compétente.
NOTIFIER L’INCIDENT
EN CAS DE VIOLATION DE DONNÉES PERSONNELLES
Selon l’article 34 bis de la loi n° 78-17 du 6 janvier 1978 2 VIS-À-VIS
relative à l’informatique, aux fichiers et aux libertés,
les fournisseurs de services de communications élec- DE VOTRE ASSUREUR
troniques sont dans l’obligation de notifier l’incident à Contactez votre assureur et/ou courtier au plus vite
la Commission Nationale de l’Informatique et des afin d’être accompagné face aux risques informa-
Libertés (CNIL). En cas de risque d’atteinte aux tiques. Informez votre interlocuteur dédié avant toute
données personnelles ou à la vie privée, le(s) intéres- décision qui pourrait impacter les conséquences de
sé(s) doivent être averti(s). l’incident et la gestion de votre déclaration de sinistre.
14LA MISE EN PLACE
D’UN CONTRAT
D’ASSURANCE CYBER :
SOMMES-NOUS TOUS CONCERNÉS ?
?MENU
COMPRENDRE RÉPONSE
LES PROBLÉMATIQUES ENJEUX QUESTION
OUI NON
POUR DÉFINIR SON BESOIN
` Une impossibilité d’accès à vos systèmes d’information
Les programmes d’assurance cyber font partie d’un peut-elle affecter le fonctionnement de l’entreprise dans sa 3 0
PRÉSERVATION
processus global de maîtrise du risque cyber : la cyber globalité ?
DES INTÉRÊTS DE
résilience s’inscrit dans un panorama plus global de
L'ENTREPRISE
gouvernance impliquant des décisions managériales,
` Possédez-vous des données confidentielles ? (clients,
techniques, comportementales, gouvernementales. 3 0
collaborateurs, fournisseurs)
Il est donc nécessaire de définir ce processus en (sécurisation financière, intérêts
économiques, respect des valeurs
s’appuyant notamment sur les principaux enjeux de éthiques et conformité ` Les données informatiques sont-elles stratégiques au sein
l’entreprise : 3 0
règlementaire) de l’entreprise ?
` Préservation des intérêts de l’entreprise (sécurisa-
tion financière, intérêts économiques, conformité ` La fuite de données informatiques peut-elle entraîner une
règlementaire). perte de confiance des fournisseurs, clients, actionnaires 2 0
MAÎTRISE
` Maîtrise de l’image de l’entreprise. ou toute autre partie prenante ?
DE L’IMAGE DE
` Globalisation de la gestion du risque cyber. L’ENTREPRISE
` Pensez-vous qu’une attaque cyber puisse porter atteinte à
3 0
Le tableau qui suit constitue un outil d’aide à la la réputation de l’entreprise ?
décision qui vous permettra de déterminer la nécessité
de mise en place d’un programme d’assurance cyber
` Avez-vous ou envisagez-vous la mise en place d’une politique
et d’évaluer votre degré de maturité à ce sujet. 2 0
globale de prévention des risques ?
` Une analyse de vulnérabilité de l’entreprise est-elle devenue
3 0
GLOBALISATION essentielle ?
DE LA GESTION DU
RISQUE CYBER ` Envisagez-vous la mise en place d’outils de transfert de
2 0
risques de l’entreprise ?
` Avant de lire ce livre blanc, étiez-vous en mesure de définir
2 0
précisément la notion de risque cyber ?
16MENU
INTERPRÉTATION DES RÉSULTATS
MOINS DE 7 ENTRE 7 ET 18 PLUS DE 18
Les enjeux relevés sont es- Vous êtes à mi-chemin de Vos besoins en matière de
sentiels pour vous et néces- votre réflexion concernant la cyber résilience sont impor-
sitent un accompagnement globalisation de la gestion du tants et nécessitent une
particulier en ce qui concerne risque cyber. analyse approfondie de la
la gestion de vos risques, no- Un programme d’assurance nature du programme à
tamment en matière de global pourrait répondre à la mettre en place.
conseils. plupart de vos besoins essen- Votre maturité à ce sujet est
La mise en place d’un proces- tiels et prioritaires ; il faudra évidente, ce qui vous permet-
sus global de cyber résilience cependant rester attentif au tra de vous orienter plus libre-
est vraisemblablement pré- degré de maturité de l’en- ment vers un programme
maturée. Des solutions plus semble des parties prenantes global de gestion de vos
simples et adaptées peuvent de votre entreprise. risques.
être mises en place. Vos choix en matière d’assu- Des montages plus complexes
reur et intermédiaires seront peuvent également être envi-
déterminants pour la réussite sagés.
de votre projet.
17CONTRATS
D’ASSURANCE CYBER :
DÉCRYPTAGE ET EXPLICATIONS
?MENU
LA MISE EN PLACE
UN CONTRAT D’ASSURANCE CYBER PRÉSENTE
DE NOMBREUX AVANTAGES POUR L’ENTREPRISE.
€ SÉCURITÉ FINANCIÈRE COUVERTURE ADAPTÉE
Tout d’abord, il s’agit d’un outil de transfert de risques, Le risque cyber est complexe et protéiforme, le contrat
qui sécurise financièrement l’entreprise. Même si le d’assurance doit donc disposer de plusieurs volets
risque zéro n’existe pas, la mise en place d’une police pour couvrir au mieux ses diverses typologies et ses
d’assurance cyber permet de limiter l’exposition diverses conséquences.
financière de l’entreprise en cas d’attaque. Il doit permettre d’assurer les dommages subis par les
tiers et les dommages subis par les entreprises
assurées, tout en fournissant à l’entreprise assurée
des prestations d’assistance et de gestion de crise.
EXPOSITION
Le volet assurance comprend trois parties :
` UN MODULE D’ASSISTANCE, qui fait intervenir des
Le processus de mise en place d’un contrat d’assu- experts cyber et des experts en communication de
rance cyber nécessite la réalisation d’une cartographie crise
des risques au sein de l’entreprise. Cette démarche ` LA PRISE EN CHARGE DES COÛTS DIRECTS : les opéra-
est un réel atout pour l’entreprise qui lui permet tions, les pertes d’exploitation et de chiffre d’affaires
d’identifier clairement et de façon plus globale les
risques auxquels elle est exposée, mais également ` LES DOMMAGES AUX TIERS
d’évaluer quels risques peuvent être transférés à l’as-
surance et de construire avec des experts leur(s)
plan(s) de continuité d’activité (PCA) en cas de sinistre.
19MENU
ZOOM SUR
DOMMAGES RESPONSABILITÉ CIVILE
LES GARANTIES
PROPOSÉES Les garanties dommages couvrent les pertes de
l’assuré à la suite du sinistre, en dehors de toute récla-
Ce volet garantit les conséquences financières et les
frais de défense de l’assuré résultant de réclamations
mation de tiers : frais de restauration de données et de tiers pour atteinte à des données ou systèmes
de remise en état du système d’information, les frais d’information.
de notification, les frais de surveillance, les frais Il existe de nombreuses formes de dommages subis
d’enquêtes et de sanctions administratives, les frais de par les tiers : contamination du système d’information
cyber extorsion et les pertes de revenus consécutives par la transmission par l’assuré d’un fichier infecté d’un
au sinistre. virus, déni de service du fait de l’inaccessibilité des
services de l’assuré, violation du droit fondamental au
FOCUS SUR LES FRAIS DE SURVEILLANCE respect de la vie ou des obligations de confidentialité,
(MONITORING) ET DE NOTIFICATION de transparence et de durée de conservation, contenu
En cas de vol ou d’atteinte des données bancaires, d’un site Internet.
l’assureur prend en charge les frais de monitoring liés
à la surveillance du marché en cas de revente et/ou
utilisation frauduleuse de ces données.
Les entreprises sont également soumises à une
obligation de notification qui s’applique en cas de GESTION DE CRISE
violation de données à caractère personnel, sur la
base du Règlement Général européen sur la Protection En cas de cyberattaque, c’est une course contre la
des Données à caractère personnel effectif depuis le montre qui se joue et la mise à disposition auprès de
25 mai 2018. Le coût moyen est estimé à 7€/notifica- l’entreprise assurée par l’assureur d’un réseau de
tion (l’estimation inclut les frais d’investigation infor- partenaires experts en gestion de crise (experts infor-
matiques, les frais de notification, mise en place d’une matiques, relations publiques et communication,
cellule de relation client, experts juridiques). Les frais juridique) constitue un réel atout pour l’entreprise.
de notification sont également pris en charge au titre
contrat cyber. Le volet gestion de crise intègre la prise en charge
des frais de recherche de la cause du sinistre et de
Le manquement à l’obligation de notifier peut rétablissement du système d’information, des frais
également engager la responsabilité du responsable de communication et de relations publiques, de
de traitement, qui devra être couverte par le volet de restauration des données et de notification et/ou
responsabilité civile du contrat cyber. monitoring.
20FOCUS
TOUS RISQUES INFORMATIQUES, FRAUDE ET CYBER :
LE TRIO GAGNANT
UNE ASSURANCE TOUS RISQUES INFORMATIQUE LA CYBER CRIMINALITÉ EST UNE FORME DE
(TRI) COUVRE UNIQUEMENT LES DOMMAGES FRAUDE, PAR INTRUSION DANS LES SYSTÈMES
MATÉRIELS SUBIS PAR LES ÉQUIPEMENTS INFOR- D’INFORMATION DANS L’ENTREPRISE. SI LE
MATIQUES À L A SUITE D’UN INCENDIE, UNE CONTRAT D’ASSURANCE FRAUDE GARANTIT LES
E XPLOSION, UN DÉGÂT DES E AUX OU DES PERTES PÉCUNIAIRES DIRECTES ET FRAIS SUPPLÉ-
DOMMAGES ÉLECTRIQUES. CETTE GARANTIE EST MENTAIRES D’EXPLOITATION EN CAS DE FRAUDE,
DONC COMPLÉMENTAIRE AU CONTRAT CYBER, QUI IL N’INTERVIENDRA AU TITRE D’UNE FRAUDE IN-
R A PPELONS-LE, N’ IN T ERV IEN T QU’ EN C A S FORMATIQUE QUE DE FAÇON LIMITÉE, QUE CE SOIT
D’AT TAQUE CYBER ET EN DEHORS DE TOUT EN MATIÈRE D’ORIGINE DU SINISTRE OU DES
DOMMAGE MATÉRIEL AU PARC INFORMATIQUE. MONTANTS D’INDEMNISATION.
LA FRAUDE EST UN ACTE INTENTIONNEL RÉALISÉ LES CONTRATS D’ASSURANCE COMBINÉS CYBER ET
PAR UN SALARIÉ OU UN TIERS DE FAÇON ILLICITE FRAUDE N’OFFRENT PAS DE GARANTIES AUSSI
POUR EN RETIRER UN AVANTAGE FINANCIER. ELLE ÉTENDUES QUE L A SOUSCRIPTION DE DEUX
PEUT REVÊTIR DE NOMBREUSES FORMES : USUR- CONTRATS D’ASSURANCE DISTINCTS, DONT LES
PATION D’IDENTITÉ, ARNAQUE AU FAUX PRÉSIDENT, MONTANTS DE GARANTIES SERONT D’AILLEURS
ESCROQUERIE, ABUS DE CONFIANCE… BIEN PLUS IMPORTANTS.
21MENU
4 RAISONS
DE SOUSCRIRE 1 2
SE PROTÉGER SÉCURISER
À UN CONTRAT DES CONSÉQUENCES FINANCIÈRES L' ACTIVITÉ DE VOTRE ENTREPRISE
CYBER Les contrats Responsabilité Civile et Dommages
classiques ne garantissent pas les consé-
La sécurisation de votre activité en cas
d’attaque est un enjeu majeur pour votre
quences financières d’un sinistre lié à un acte entreprise. En effet, lors des premiers mois de
de malveillance ou à une erreur humaine. Le l’année 2019, les cyberattaques ont causé une
risque de fraude n’est pas couvert également. perte financière de 327 797 € en France.
Une protection supplémentaire est donc Se protéger face aux incidents informatiques
nécessaire pour vous protéger de toutes est vital pour le futur économique de votre
conséquences financières d’un incident entreprise.
informatique.
3 ANTICIPER METTRE EN PLACE 4
LES RISQUES LIÉS À UNE PROCÉDURE
LA NOUVELLE RÉGLEMENTATION DE GESTION DE CRISE
Entré en vigueur en mai 2018, le RGPD, mis en L’accompagnement et la coordination des
application par la CNIL, renforce le droit des prestataires experts dans leur domaine en cas
personnes et responsabilise les acteurs traitant de crise sont indispensables à la bonne
des données personnelles. gestion d’une attaque.
Cette règle rend les entreprises responsables Il est fortement conseillé de mettre en place
des données à caractère privé qu’elles une procédure de gestion de crise en cas
détiennent et prévoit des amendes pouvant d’incident informatique afin d’assurer la
atteindre 4 % de leur chiffre d’affaires en cas continuité de l’activité de votre entreprise.
de manquement.
22CONCLUSION .
MENU
SERVYR VOUS La souscription d’un contrat d’assurance cyber
permet aux entreprises de limiter l’impact
ACCOMPAGNE financier en cas d’attaque et de disposer d’un
DANS L’ANALYSE accompagnement de partenaires experts pour
affronter la crise.
DE VOS RISQUES,
SERVYR A DÉVELOPPÉ UNE OFFRE
LA MISE EN PLACE PACKAGÉE COMPRENANT 3 VOLETS
ET LA GESTION DE
VOS PROGRAMMES GESTION DE CRISE
D’ASSURANCE
CYBER ` Avec un accompagnement de consultants
spécialisés en cas d’attaque
DOMMAGES
POUR ALLER PLUS LOIN…
` Pour la prise en charge des pertes d’exploita-
Servyr peut vous mettre en relation avec un
tion, des frais de notification, des sanctions
prestataire référencé par le site cyber malveil-
légalement assurables et des frais de défense
lance du gouvernement (https://www.cyber-
malveillance.gouv.fr/), qui pourra vous proposer
la réalisation d’un audit identifiant les princi-
RESPONSABILITÉ CIVILE pales menaces pour votre entreprise.
Afin de vous accompagner dans l'évolution de
vos besoins, les équipes de Servyr sont à votre
` Pour indemniser les réclamations des tiers à disposition pour répondre aux questions que
la suite d’une atteinte aux données person- vous pourriez vous poser et vous accompa-
nelles ou à un manquement à l’obligation de gner dans la mise en place des outils de
notification transfert de risque.
24SERVYR SERVYR EST NORD 3 rue Clément Ader Parc de la Haute Borne CS 60005 2-6 avenue de l’Horizon - bât 6 51688 Reims Cedex 2 59650 Villeneuve d’Ascq T. : +33 (0)3 26 48 49 50 T. : +33 (0)3 21 78 13 00 SERVYR SERVYR ÎLE-DE-FRANCE INTERNATIONAL 43-45 rue de Naples 6-8 rue Léon Trulin 75008 Paris 59800 Lille T. : +33 (0)1 45 62 20 90 T. : +33 (0)3 21 14 21 20 www .servyr.com Servyr Servyr_courtage Servyr Courtage SAS - Société par Actions Simplifiée au capital de 2 000 000 € - RCS Reims 389 359 563 – APE 6622Z – TVA Intra-Communautaire N°FR 45 389 359 563 - N° ORIAS 07 000 724 consultable à l’adresse www.orias.fr - Siège social : 3 rue Clément Ader – CS 60005 – 51688 Reims Cedex 2 - Courtier d’assurance ou de réassurance (COA) - Courtier en opérations de banque et en services de paiement (COBSP) - Sous le contrôle de l’ACPR – Autorité de Contrôle Prudentiel et de Résolution – 4 place de Budapest - CS 92459 - 75436 Paris Cedex 09 - Service réclamation : reclamation@servyr.com
Vous pouvez aussi lire
