Risques cyber : la menace permanente, quels outils de prévention ?

Attaque virale, logiciel espion, vol de données personnelles, paralysie du Système d’Information ou demande de rançon, autant de nouvelles menaces auxquelles sont confrontées les entreprises.

 

En partenariat avec la DFCG, Verlingue organise jeudi 25 janvier 2018 une conférence sur les risques cyber à Rennes.

 

Avec l’intervention de Frédéric de Kermoysan, Responsable Lignes Financières chez Verlingue, et de Me Bernard Lamon, Avocat spécialiste en droit de l’informatique et des technologies de l’information – cabinet Nouveau Monde Avocats.

Informations pratiques : 

Jeudi 25 janvier 2018

Début de la conférence à 19h15

IUT de Rennes  – Département GEA
263 avenue du Général Leclerc 35 042 RENNES

 

Pour plus d’informations ou pour participer à la conférence, merci de contacter Florence Garot – florence.garot [at] verlingue.fr

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr

Protection des données personnelles : de nouvelles obligations réglementaires pour les entreprises de l’UE à partir du 25 mai 2018

L’environnement légal et réglementaire évolue et s’apprête à imposer d’importantes obligations aux entreprises et établissements qui traitent des données personnelles ou commerciales.

 

Le 25 mai 2018, un nouveau règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur et toutes les entreprises concernées devront se mettre en conformité. Ce règlement va permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

 

À compter de cette date, les entreprises ou organismes devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Ce nouveau règlement européen sur la protection des données repose sur une logique de responsabilité (accountability), qui se traduit notamment par :

– La prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut

 

– La mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées

 

Le non-respect du RGPD entraînera de lourdes pénalités, jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.

SOURCE : CNIL

« Le cyber est intrinsèquement un sujet de gouvernance »

Parole d’expert : Jonathan Uzan, Directeur Cyber Defense chez Onepoint, répond aux questions de Verlingue sur le degré de maturité des entreprises en matière de risques cyber.

 

Verlingue Infos : À l’instar des récentes attaques mondiales, doit-on craindre une explosion des cyberattaques ?

 

Jonathan Uzan : « Ces 10 dernières années, ce qui ne représentait jusqu’alors que des menaces à la marge ciblant essentiellement des systèmes à données stratégiques (campagnes d’activisme politique, de déstabilisations étatiques…) s’est déporté avec beaucoup d’opportunisme vers les secteurs de l’économie classique. Il n’est plus tant question de briser un système avec qui l’on est en désaccord mais plutôt de gagner férocement de l’argent. Une mutation qui a sans doute connu sa traduction médiatique la plus forte lors de l’attaque WannaCry.

 

Le grand public, et avouons-le quelques chefs de grandes entreprises aussi, découvraient comment des pans entiers d’activité pouvaient être paralysés, puis rançonnés. Des attaques à distance, anonymisées, sans transporteur, sans receleur, depuis des pays sans extradition, et la possibilité pour les mieux organisées d’en blanchir les fonds directement en crypto-monnaies (Bitcoin). Le volume d’attaques augmentera nécessairement. Il ne faut pourtant pas en avoir peur. Il n’y a là rien qui ne puisse être surmonté lorsque l’on y est correctement préparé. »

 

 

Verlingue Infos : Comment les entreprises françaises sont-elles organisées ?

 

Jonathan Uzan : « La France nourrit des ambitions solides sur le numérique depuis les années 2000. Des moyens technique et humain importants ont été déployés afin de préserver nos souverainetés digitales. Des acteurs stratégiques, bien que privés, comme certains grands opérateurs financiers, de l’énergie ou encore du transport ont pu bénéficier de la protection opérationnelle des Agences de l’État. Dont acte.

 

Quid des entreprises ne faisant pas partie de cette liste classée confidentielle d’un peu moins de 250 grands opérateurs ? Et bien c’est un corpus normatif qui devrait permettre d’harmoniser l’ensemble des recommandations au niveau européen et pour l’ensemble des entreprises ayant à manipuler des données électroniques. LPM, GDPR, des sigles mais aussi autant de moments d’introspection, d’opportunités de repenser infrastructures digitales et sécurité.

 

Oui mais voilà. Les entreprises françaises se trouvent rapidement dépassées par ces nouvelles obligations, parfois pesantes, souvent vécues comme des contraintes financières, ralentissant métier et flux de travail. Rien ici qui ne prenne en compte les besoins et les réalités de la compétition commerciale.

 

Chaque entreprise française, par ailleurs, vit une histoire numérique qui lui est propre. Souvent construite dans l’urgence, sur quelques solutions généralistes proposées par les grands players de la défense et d’une exigence en ressources techniques et humaines hors de toute proportion possible. Déployées improprement depuis toujours, ces solutions sont à présent au mieux totalement obsolètes, au pire elles sont un poids que les entreprises ne font plus que subir. Les choses pourraient pourtant se passer bien différemment. »

 

 

Verlingue Infos : Le cyber n’est-il pas un sujet de gouvernance pour les entreprises ?

 

Jonathan Uzan : « Le cyber est intrinsèquement un sujet de gouvernance. Les entreprises françaises devraient à présent être assez matures pour démystifier des mots comme hacking ou piratage, et ré-aborder leurs infrastructures sous un angle nouveau.

 

Nous avons trop longtemps approché la sécurité des systèmes par le biais technique, dur, obscur, parfois même inquiétant, où tout ne serait qu’encryption, feux et urgence. La sécurité totale vantée par les vendeurs de solutions n’existe pas. Il est maintenant temps que le métier, accompagné d’experts, se réapproprie son destin numérique. Qu’il définisse sur mesure quantité et qualité de risque digital qu’il encourt, qu’il tolère, et celui qu’il ne pourra jamais se permettre. Il pourra alors y mettre en face les contre-mesures proportionnées les plus justes.

 

La menace se nourrit d’immobilisme, nous le constatons tous les jours dans les entreprises que nous auditons, nous avons ainsi acquis cette conviction forte que le métier doit être le moteur du choix cyber et, se désincarcérant de la contrainte, gouverner. C’est à cette frontière, entre innovation et cyber-décision, que se trouve véritablement la sécurité de nos entreprises. »

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr

Risques cyber – La menace permanente

Plus d’un quart des PME & ETI françaises auraient été victimes de cybermalveillance l’an dernier, mais à peine 5 % d’entre elles sont assurées contre ces risques devenus majeurs. La menace ne cesse de grandir et les attaques informatiques sont de plus en plus complexes et diverses. Comment réduire son exposition et protéger son entreprise ?

 

L’environnement légal et réglementaire évolue et s’apprête à imposer d’importantes obligations aux entreprises qui traitent des données personnelles ou commerciales. Les conséquences financières d’une défaillance criminelle ou accidentelle sont passées au 1er rang des préoccupations des grandes entreprises. Pourtant les pratiques sont encore loin d’être exemplaires et les failles restent multiples.

 

 

Pourquoi cette accélération constante ?

 

En une année, les attaques ont progressé de plus de 50 %, quand leur coût pour l’économie globale est estimé entre 375 et 575 milliards de dollars.

 

Quatre facteurs aggravants expliquent pour partie la ruée vers ce nouvel eldorado :

 

– La croissance exponentielle de data stockées par les entreprises rend de plus en plus complexe leur sécurisation,

 

– L’absence de maîtrise des solutions d’externalisation (Cloud Computing) par les PME accroit leur vulnérabilité,

 

– Le blocage des systèmes est à la portée d’apprentis criminels qui achètent des solutions en mode SAS sur le darkweb pour rançonner leurs victimes,

 

– L’exposition à internet et aux réseaux sociaux finit d’achever de planter le décor de cette murder party dont les data sont l’enjeu. Les informations clients récupérées ne cessent de prendre de la valeur.

 

 

Quelles responsabilités ?

 

Les équipes dirigeantes d’entreprises font actuellement face au paradoxe de la transformation : alors que fin 2016, plus d’un tiers des ETI avaient enclenché un plan de digitalisation, à peine plus de 20 % d’entre elles se déclarent concernées par la cybersécurité.

 

Les solutions de protection sont de plus en plus complexes et interdépendantes, rendant parfois le sujet opaque pour les Dirigeants. Au-delà de l’impact opérationnel, plusieurs d’entre eux ont vu leur responsabilité être mise en cause, et celle de leur entreprise. Dans certains cas, ce type de risque a pu provoquer leur faillite.

 

La question « Quand et combien va nous coûter une cyberattaque ? » est un sujet d’actualité que doivent affronter et traiter les Comités de direction.

 

 

Pourquoi la cyber est aussi un enjeu d’image ?

 

It takes twenty years to build a reputation and five minutes to ruin it. If you think about that, you’ll do things differently.” La formule de Warren Buffet résume assez bien la situation ; et les deux dernières attaques de ransomware ont démontré :

 

– L’immédiateté et la rapidité de la diffusion de l’information par les pirates qui sont aussi des experts de la communication,

 

– L’effet amplificateur, l’impossibilité de contenir l’information, l’absence de frontières, la rapidité de la viralité de l’information sur le piratage,

 

– « L’irréalité » du dommage : difficile de faire un point sur la situation pour présenter des faits.

 

 

Comment aborder la cybersécurité ?

 

Dans un monde idéal, les entreprises auraient des ressources illimitées leur permettant d’instituer des mesures de sécurité tout en poursuivant leur croissance et leurs programmes d’innovation.

 

Loin de cette utopie, l’élimination des risques semble de plus en plus inenvisageable. C’est le réalisme qui prédomine et le concept de cyber-résilience qui vise le financement couplé du niveau raisonnable de protection et de la réparation des cyber-préjudices. Encore faut-il identifier les priorités…

 

 

Quelles solutions d’assurance ?

 

Selon PwC, moins de 5 % des entreprises françaises disposent d’une cyber-assurance. Il s’agit ici de compléter les couvertures traditionnelles par une solution dédiée capable de garantir l’indemnisation des dommages subis et causés suite à une atteinte à la disponibilité des systèmes d’information, leur intégrité ou la confidentialité des données. Deux domaines doivent être garantis :

 

– Les Dommages et Pertes pour les incidents subis et leurs conséquences sur son activité,

 

– Les Responsabilités pour indemniser les préjudices par ses clients et fournisseurs.

 

Les retours d’expérience démontrent que l’indemnisation seule ne suffit pas ; il faut pouvoir agir très vite. Aussi, cela implique que les dirigeants puissent disposer de différents services d’assistance et avoir accès à un panel d’experts en gestion de crise (informatique, juridique et perte d’image).

 

C’est par la cohérence des actions entre les équipes de Direction et la Direction des Systèmes d’Information, la sensibilisation et la formation des collaborateurs et enfin la mise en place d’une stratégie de cyber-résilience que les dirigeants pourront préserver leurs systèmes et data, et optimiser la protection de leur entreprise.

 

 

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr

Newsletter n°28 Novembre 2017 : Risques cyber – La menace permanente

A la Une : Risques cyber – La menace permanente

Plus d’un quart des PME & ETI françaises auraient été victimes de cybermalveillance l’an dernier, mais à peine 5 % d’entre elles sont assurées contre ces risques devenus majeurs. La menace ne cesse de grandir et les attaques informatiques sont de plus en plus complexes et diverses. Comment réduire son exposition et protéger son entreprise ?

 

Sujet complémentaire : Protection sociale complémentaire – Rapide état des lieux avant de nouvelles réformes
La protection sociale a occupé une large place dans les débats de la dernière campagne électorale. Les constats et les impératifs sont largement partagés quant au traitement du déficit de la branche maladie ou à un meilleur accès aux soins. Et la Sécurité sociale qui n’a cessé de complexifier sa nomenclature, continue de transférer de la charge aux complémentaires (cf. les annonces récentes du Projet de loi de finances). Elle reste éloignée d’une partie de la réalité des pratiques médicales et des coûts subis par les assurés (ex. des actes médicaux non reconnus par la Sécurité sociale).

 

Actualités Verlingue

 

Fiche technique : Cyber Solution by Verlingue – Faire face à une crise cyber

« Malgré les récentes cyberattaques mondiales, les entreprises restent mal informées. »

Retrouvez l’interview de Christian Belval (Directeur des spécialités chez Verlingue) en marge de l’Université d’été de la DFCG sur la cybersécurité et le big data.

 

Christian Belval : “Malgré la couverture médiatique des récentes cyberattaques mondiales, les entreprises restent mal informées sur la manière de parer ces attaques extérieures.

 

Dans une majorité des cas, le sujet de la sécurité informatique reste au niveau de la direction informatique. Hors, selon une étude récente, 70% des responsables de la sécurité des systèmes d’informations (RSSI) ne savent pas comment répondre à une cyberattaque car ils ne connaissent pas le niveau de criticité vis-à-vis du modèle économique de l’entreprise.

 

Christian Belval : “Les Directeurs administratifs et financiers doivent être directement impliqués, en partageant avec la direction de l’informatique les enjeux majeurs de l’entreprise, afin de mettre en place des protections adaptées et des stratégies de prévention en interne.”

 

En effet, 80% des problématiques de cyberattaques sont d’origine humaine. La majorité des crises aurait pu être évitée grâce à la formation des collaborateurs, notamment en matière de respect des chartes informatiques.

« Il est impératif de bien identifier les actifs vitaux de l’organisation, de maintenir les efforts de promotion d’une culture de la résilience et d’élargir la réflexion à l’ensemble de son écosystème (fournisseurs, clients, acteurs et autorités de contrôle). La politique de sécurité ne doit pas reposer sur quelques individus, mais elle doit être transverse et engager tous les acteurs interagissant avec l’entreprise. Il est primordial que tous soient sensibilisés et responsabilisés face à la menace cyber. Les dirigeants de l’entreprise doivent également être prêts à intervenir et à prendre les bonnes décisions et cela ne s’improvise pas. Cela passe par des moyens de détection, mais également par une organisation adaptée au sein de l’entreprise capable de réagir en cas de crise cyber. »

Christian Belval : « Chez Verlingue, nous avons mené une vraie réflexion autour de la crise que représente une cyberattaque chez nos clients. Pour répondre à ces problématiques, nous travaillons avec plusieurs assureurs, afin que, dès le moment de la découverte de la crise, un panel d’experts soit disponible pour agir directement auprès des entreprises. Sans cette intervention immédiate, l’entreprise peut se retrouver démunie. »

 

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr

Cyber market not perfect, but coming of age

Retrouvez l’interview d’Eric Maumy, Directeur général de Verlingue, dans le mensuel  « Commercial Risk Europe » sur les cyber-risques.

 

 

Company of all sizes have to face up to the harsh reality that they will suffer a cyber attack at some point and therefore need to take this threat extremely seriously, according to Eric Maumy, CEO of Verlingue, French member of European Risk Frontiers survey sponsor Worldwide Broker Network (WBN).

 

Whatever the size of the company, this subject is to be addressed by the executive committee or equivalent. Cyber involves corporate image and reputation and can have a tremendous impact on the business” said Mr Maumy.

 

Companies that have suffered cyber losses are advertised in the press every day. The issue for us is to make companies aware of the fact that cybercriminality has become a growing business. The question for customers is therefore not ‘Am I exposed?’ but rather: ‘When am I going to be hit?’” he said.

 


 « Whatever the size of the company, this subject is to be addressed by the executive committee or equivalent. Cyber involves corporate image and reputation and can have a tremendous impact on the business » 


 

Insurers and brokers can help risk managers prevent cyber risk as well as finance the inevitable loss. But this is a work in progress, conceded Mr Maumy.

 

Insurers do try and propose services to assess and reduce risk exposures for the customers. However, this matter has not yet been mastered by insurance companies. Customers want to know what cyber means in their world, how much they are exposed and where. They want to know whether the risk can be reduced and down to what level or amount,” he said.

 

He added: “We of course have to propose an insurance solution, but also anticipate the capacity to package and integrate those services. This enables us to value our consultant approach to risk management. This is an aspect we often talk about with our WBN colleagues. Our membership of this international network is very useful in this sense.”

 

It is still early days for the cyber insurance market in Europe, stressed Mr Maumy, but in his view coverage gaps are narrowing. He has certainly seen improvements in coverage, but again stressed the significance of associated services such as emergency response provided by specialist firms.

 

Commercial risk2

 


 

Toutes les entreprises, grandes ou petites, doivent dorénavant vivre avec la dure certitude d’être, à un moment ou un autre de leur existence, victimes d’une cyber-attaque et, par conséquent, prendre cette menace très au sérieux.

 

Tel est le constat dressé par Eric Maumy, directeur général de Verlingue, membre français du réseau Worldwide Broker Network (WBN), parrain du rapport annuel European Risk Frontiers, qui précise : « Quelle que soit la taille de l’entreprise, la question des cyber-risques doit être traitée au niveau du Comité exécutif ou de tout organe équivalent. Une cyber-attaque, au-delà de l’atteinte à l’image et à la réputation, peut impacter de manière extraordinairement importante l’activité d’une société ».

 

Eric Maumy ajoute : « Il ne se passe pas une journée sans que les médias ne relatent que telle ou telle société a été la cible d’une cyber-attaque. Le challenge pour nous est de sensibiliser les entreprises au fait que la cybercriminalité est devenue une activité économique en plein essor. La vraie question qui se pose par conséquent au client n’est pas de savoir s’il va être touché mais quand il va l’être. »

 

Les assureurs et les courtiers en assurance peuvent aider les risk managers à prévenir les cyber-risques et à financer les pertes inévitables. Mais il reste encore beaucoup à faire, reconnaît M. Maumy qui nous livre son analyse : « Il est indéniable que les assureurs s’efforcent de proposer aux clients des services visant à évaluer et réduire leur niveau d’exposition, mais les compagnies peinent encore à avoir une totale maîtrise du problème. Les clients ont envie de savoir ce que représente la notion de cyber-menace pour leurs activités respectives, à quel degré d’exposition ils sont exposés et où cette exposition est susceptible de se matérialiser. Enfin, ils veulent également savoir si le risque peut être réduit, et à quel niveau ou quel montant il peut être ramené. »

 

À cela ajoute M. Maumy : « Il va de soi que nous devons proposer une solution assurantielle, mais également travailler sur notre capacité à réunir ces services dans une offre intégrée. Cela nous permet de valoriser l’approche que nous avons de la gestion des risques. Il s’agit là d’une question que nous traitons avec nos collègues de WBN. C’est en ce sens que notre participation à ce réseau international se révèle très utile. »

 

M. Maumy conclut en soulignant que si le marché européen de l’assurance des cyber-risques en est encore à ses débuts, il n’en observe pas moins une diminution des déficits de couverture. En conclusion, malgré les améliorations indubitables obtenues en matière de couverture, il insiste une fois encore sur l’importance de voir émerger des offres de services associés comme par exemple des mesures d’intervention d’urgence mises en œuvre par des sociétés spécialisées.

 

 

« La question pour les entreprises n’est plus de savoir si une cyberattaque va les toucher, mais quand cette attaque va intervenir »

Frédéric Chaplain, Directeur IARD chez Verlingue, intervenait sur les ondes de France Bleu, au sujet de la dernière cyberattaque mondiale. 

 

Le 28 juin dernier, près de 2 000 entreprises ont été infectées par NotPetya, un virus bloquant les données des ordinateurs et exigeant des rançons (ransomware). Il s’agit de la deuxième cyberattaque mondiale en l’espace de cinq semaines.  La recrudescence de cette criminalité inquiète de plus en plus, notamment chez les entreprises, dont le maillon faible reste les collaborateurs.

 

Frédéric Chaplain, Directeur IARD chez Verlingue sur les ondes de France bleu :

« La question pour les entreprises n’est plus de savoir si une cyberattaque va les toucher, mais quand cette attaque va intervenir ».

« 80% des problématiques de cyberattaques ne sont pas technologiques, mais humaines. Cela s’explique par une absence de discipline sur le fait de ne pas ouvrir des messages dont l’expéditeur nous est inconnu. L’essentiel est d’avoir une première mesure d’avertissement auprès des collaborateurs en matière d’ouverture et de saisie de mails, indépendamment des systèmes de contre-mesure et autres firewall qui permettent d’éviter le pire. »

 

80% des entreprises françaises ont constaté une cyberattaque en 2016.

 

Verlingue a conçu une solution exclusive pour se prémunir et faire face à une crise cyber.

 

Nos experts vous répondent cybersolution@verlingue.fr 

 

Cyber risques et Big Data : Verlingue à l’Université d’Eté de la DFCG*

La recrudescence des attaques malveillantes auprès des entreprises est en nette augmentation ces derniers mois, avec des impacts financiers majeurs. Selon Symantec, la France est aujourd’hui dans le Top 10 des pays les plus touchés par le piratage informatique.

 

L’Université de la DFCG organise un atelier dédié « Cybersécurité et Big Data : où en sommes-nous ? » le mardi 27 juin prochain à Nantes. Aux côtés de Christian Belval, Directeur des Spécialités de Verlingue, interviendront Bertrand Guégano, Directeur Administratif et Financier d’Oceanet Technology, ainsi qu’Aldo Borsani, Souscripteur Cyber Risks et Risques Financiers de Chubb.

 

Comment limiter l’impact d’un sinistre ? Quel accompagnement en cas de crise ? Comment limiter ses risques ? Entre attaques nouvelles (ransomware), risques techniques et failles humaines, cet atelier établira également une cartographie des risques directement liés aux données et les axes prioritaires pour agir.

 

« Aujourd’hui, les stratégies de prévention et de protection ne sont plus des sujets uniquement préparés et traités par les Directions des Systèmes d’Information mais par les Comités de Direction et les Comités Exécutifs » déclare Christian Belval.

 

 

Informations pratiques

Université d’Eté de la DFCG
Mardi 27 juin 2017 de 9h à 17h30

 

CCI Nantes St-Nazaire
Centre des Salorges
16, quai Ernest Renaud – 44105 Nantes
http://www.universite-dfcg.com/

 

 

Les équipes de Verlingue seront à la disposition des participants toute la journée sur un stand dédié.

 

*DFCG : Association Nationale des Directeurs Financiers et de Contrôle de Gestion