Cybersécurité : Êtes-vous sur un nuage?

Cybersécurité : Êtes-vous sur un nuage?
Le jeudi 6 octobre 2016
Participez aux discussions
Envoyez des tweets #NLegalVision et connectez-vous à @NLawGlobal
Connectez-vous à nous sur
LinkedInlinkedin.com/company/nortonrosefulbright
2
Conférenciers
3
Jacques Lemieux
Stephen Atkinson
Associé
Norton Rose Fulbright Canada,
S.E.N.C.R.L., s.r.l.
Montréal
Vice-président
Institutions Financières, Aon
Conseillers en gestion des risques
Montréal
Jacques Lemieux pratique en droit des
affaires, dans les domaines de l’acquisition,
de la vente et de la fusion d’entreprises, du
transfert de technologies, du financement
de sociétés privées, de la structuration
d’alliances stratégiques et de partenariats
ainsi que de l’impartition.
Stephen Atkinson représente la pratique
d’Aon en institutions financières au Québec
et dans les Maritimes. En travaillant en
collaboration avec des collègues locaux,
nationaux et internationaux, il offre le
meilleur d’Aon Risk Solutions en matière
de courtage en assurance et de services
de consultation en gestion des risques à
des gestionnaires d’actifs, des sociétés de
capital d’investissement et de capital de
risque, des assureurs et des banques.
Trois questions
Combien de
temps, de
ressources et
d’argent devonsnous consacrer
au problème de
la sécurité
informatique?
4
Situation actuelle : Perception du Cyberrisque
o World Economic Forum – Global Risks 2015 Report
(10th edition) - (www.weforum.org/risks)
•
vol de données et fraude (9e rang comme probabilité de survenance)
•
cyberattaque (10e rang comme probabilité de survenance)
•
« critical information infrastructure breakdown » (7e rang parmi les 10
risques les plus importants)
o Évaluation dans le monde des assurances
Ce n’est plus « Si » ça arrivera mais plutôt
« Quand »
5
10 principaux
risques
Atteinte à la
réputation/
marque
Ralentissement
économique/
lente reprise
Modifications
d’ordre
réglementaire/
législatif
Incapacité à recruter
ou maintenir en
fonctions les
meilleurs talents
Responsabilité
des tiers
Concurrence
accrue
Incapacité à
innover/ répondre
aux besoins des
clients
Interruption
de l’exploitation
Criminalité
informatique/piratage
informatique/virus/
programmes
malveillants
Atteinte à la
propriété
Situation actuelle : Incidence de la technologie
• Infonuagique (Cloud)
• Wi-Fi, Bluetooth, GPS
• Médias sociaux
• Apportez vos appareils personnels (BYOD)
• Internet des objets
• « Big Data » (mégadonnées)
• Capacité de traitement des données « Loi de Moore »
• Capacité d’hébergement des données
7
Situation actuelle : Incidents - D’où ça vient?
Violation de données*
Incidents
Canada
2015
Canada
2016
États-Unis
2016
Attaques
malveillantes ou
criminelles
52%
54%
50%
Erreurs humaines
24%
21%
27%
Problèmes de
systèmes
24%
25%
23%
*Ponemon Institute 2015 Cost of Data Breach Study – Canada
* Ponemon Institute 2016 Cost of Data Breach Study – Global Analysis
8
Situation actuelle : Estimation des coûts reliés à la
violation de données*
Coût total moyen pour une violation au
Canada était légèrement supérieur à 5,3
million $ CDN
(250 $ / dossier)
(basé sur 100 000 dossiers ou moins étant
le nombre le plus représentatif d’une
violation – exclut les « méga violation »)
Facteurs de réduction des coûts:
Formation des employés, implication du
CA, planification, plan d’intervention,
gestion de la continuité des affaires,
couverture d’assurance ont aidé à réduire
les coûts par dossier
* Ponemon Institute 2015 Cost of Data Breach Study - Canada
9
Qu’en est-il des menaces physiques?
2010 : Stuxnet – 1ère arme digital (virus
attaque centrifugeuses iraniennes)
2014 : cyber-piratage d’une aciérie
allemande
Création en 2010 du United States
Cybercommand (USCYBERCOM).
2015 : cyber-piratage des Jeep Cherokee
2015 : Rapport publié par Lloyd concernant
la panne d’électricité découlant d’une cyberattaque
Le directeur de la CIA, Leon Panetta, a
lancé cette mise en garde : « Le prochain
Pearl Harbour pourrait être une cyber2016 (Sept.) : Tesla Modèle S piraté dans un attaque ».
laboratoire chinois
… et la liste continue…
10
Les litiges sont à la hausse : Poursuite contre les
administrateurs et dirigeants
Quelques exemples :
• Target (2013)
• Hearthland Payment Systems (2009)
• Wyndham Hotels (2007)
11
Pourquoi la cybersécurité n’est pas seulement
un enjeu de TI mais implique le CA et la haute
direction : Impacts stratégiques
Administrateurs
et
dirigeants
12
• Réputation
• Propriété intellectuelle et
secret de commerce
• Avantages concurrentiels
• Affecte les opérations
(employés, clients)
• Volet financier
• Poursuites
Pratiques exemplaires en matière de cybersécurité et
de protection
• Connaître la législation, règlementation et politiques
(voir Annexe 1)
• Mise en place d’un cadre d’analyse, de suivi et d’intervention /
remédiation (voir Annexes 2 et 3)
• Réflexion stratégique et diligence
Délai de détection et confinement des incidents*
Moyenne
globale
Attaque
malveillante
criminelle
Problème de
système
Erreurs
humaines
Détection
201 jours
229
189
162
Confinement
70 jours
82
67
59
* Ponemon Institute 2016 Cost of Data Breach Study – Global Analysis
13
Visez la cyber-résilience / assurances
Combien de temps, de
ressources et d’argent
une entreprise doit-elle
consacrer au problème
de la sécurité
informatique?
Il n’existe pas de
solution universelle et à
ce titre, il revient à
chaque entreprise de
prendre les décisions en
la matière qui lui semble
les plus appropriées.
Aon Risk Solutions
Une approche cyber-résiliente peut
permettre :
Pour adopter une approche cyberrésiliente, vous devez :
 Une réaction efficace après une
intrusion ou une attaque informatique
ou une autre forme d’incident
 Identifier vos risques, menaces et
actifs
 Une défense de vérification diligente
pour le conseil, le chef de la direction et
le chef des finances
 Comparer vos pratiques en
matière de sécurité aux pratiques
exemplaires d’après vos risques,
menaces et actifs
 La réduction de l’attention portée par
les médias en cas d’intrusion et moins
de répercussions politiques
 Mettre en place un plan
pour atténuer ou accepter
officiellement les risques
 La protection globale de votre marque
 Cerner ce qui peut être
transféré, négocier les
contrats et coordonner les
 La réduction des probabilités
d’amendes imposées par des
organismes gouvernementaux ou
de réglementation
plans d’intervention en cas
d’attaque (au chapitre des
finances et des activités)
Assurance en matière de sécurité des renseignements personnels et
des réseaux (cyber-assurance)
La « cyber-assurance » couvre les coûts suivants de l’assuré
Atténuation
 Intrusions en ligne et hors
ligne
 Actions accidentelles ou
commises sciemment par
un employé
 Intrusions causées par des
fournisseurs ou des soustraitants
 Coût de notification
 Analyses technicolégales informatiques
 Relations publiques +
publicité
 Surveillance du crédit
 Réponses « clés en
main » aux intrusions de
la part des transporteurs
Réglementation
 Enquêtes
réglementaires
 Fonds de recours des
consommateurs
 Sanctions civiles
 Amendes aux termes
de la PCI-DSS
 Amendes aux termes
de la HIPAA et
HITECH
Responsabilité
 Actions individuelles
 Actions collectives
intentées par les
consommateurs
 Poursuites par les
partenaires d’affaires
 Poursuites par les
institutions financières
 La protection devrait être personnalisée en fonction de la nature de l’entreprise
– Par exemple : les personnes autres les consommateurs qui font face à des entreprises pourraient faire face à une chaîne des
responsabilités différente
 Protection additionnelle offerte :
– Interruption de l’exploitation de l’assuré : perte de revenus en raison d’une sécurité de réseau défaillante
– Actifs liés à l’information : pertes ou coûts associés à la restauration des données détruites
– Cyber-extorsion : paiement d’une demande de rançon à une partie qui garde le système ou les données de l’assuré en otage
– Médias : préjudices liés au contenu (en ligne et aussi hors ligne)
Aon Risk Solutions
Construire un modèle de coûts… au moyen de
renseignements sur le marché de l’assurance
Étude comparative
Montant d’assurance
moyen
Montant d’assurance
médian
Montants d’assurance
20 461 538 $
10 000 000 $
Rétention
1 520 513 $
500 000 $
13 635 $
12 612 $
N = 100 / Aon GRIP
Coût/tranche de $1M
Modèle d’évaluation
Facteur de risque:
Étude de référence(s)
NetDiligence
(Montant assuré)
(Coût moyen)
(Ponemon Institute '15)
Coût total
(évaluation prudente)
Coût total
(Ponemon Institute '15)
Option de montants
d’assurance
10,000,000
nombre de fichier
Coût par fichier
Évaluation de la
responsabilité
$13.00
Portefeuille d’assurance
Prime
Administrateurs et dirigeants
Crime
Biens
Responsabilité civile générale
Total du coût de l’assurance/
prime
250 000
250 000
250 000
250 000
Montant de
garantie
60 000 000
40 000 000
150 000 000
30 000 000
1 000 000 $
$2,600,000.00
$5,400,000.00
$150.00
$30,000,000.00
$250.00
$50,000,000.00
$
Coût par tranche de
$1 million
12,612.00
$
126,120.00
20,000,000
$
12,612.00
$
252,240.00
30,000,000
$
12,612.00
$
378,360.00
40,000,000
$
12,612.00
$
504,480.00
Aon Risk Solutions
16
200,000
Société hypothétique X, budget d’exploitation de 100 M$
Augmentation de
~0,25 % à 0,37 %
du budget
d’exploitation de
~100 M$
Coût du transfert
Delta de + 12,6 % à 50 % des ressources
consacrées à l’assurance
Si nous reconnaissons qu’il existe un risque de
perte…
Quelles sont les probabilités que cet événement
se produise ?
1 à 5 – en tenir compte dans le budget?
1 à 10
Comment constituer des
prévisions à l’égard
d’événements peu probables,
très graves, négatifs?
*Il s’agit d’une question
stratégique relevant du conseil
1 à 20
1 à 50
Que nous révèle le marché de l’assurance?
378 360,00 $/ 30 000 000 $, sous réserve d’une
franchise autoassurée de 500 000 $
= ~1/79 probabilité par année de subir une perte
totale au cours de la période couverte par
l’assurance
• Ces prévisions exprimées en pourcentage du budget sont-elles
raisonnables?
• Même dans l’affirmative, qu’arrive-t-il à votre entreprise si la
perte survient au cours de l’année suivante?
Quelle est la gravité possible de cette perte?
Responsabilité
hypothétique
Fréquence Prévision annuelle
estimative équivalente pour
perte
de la perte
(années)
(au prorata)
Si la perte
Pourcentage du survient l’année Pourcentage du
budget
suivante – perte
budget
d’exploitation
subie
d’exploitation
30 000 000 $
1à5
6 000 000,00 $
6,00 %
-24 000 000
-24 %
Budget d’exploitation
100 000 000 $
1 à 10
1 à 20
1 à 50
3 000 000,00 $
1 500 000,00 $
600 000,00 $
3,00 %
1.50 %
0.6%
-27 000 000
-28 500 000
-29 400 000
-27 %
-29 %
-29 %
Aon Risk Solutions
Option
d’assurance
1 à 79
378 360,00 $
0.37 %
-500 000
17
Incidence sur la
réputation et la
marque / perte
d’emplois?
-1 %
Conclusion
Trois questions
18
Questions
et réponses
19
Personne-ressource
Jacques Lemieux
Associé
[email protected]
20
Annexe 1 : Cadre réglementaire et gouvernance
pour la cybersécurité au Canada : un bref survol
• Lois
o Articles 35 à 41 du Code civil du Québec
o Loi sur la protection des renseignements personnels numériques
(Projet Loi S-4 sanctionné en juin 2015) et amendant la Loi sur la
protection des renseignements personnels et les documents
électroniques
o Lois provinciales (notamment Ontario, NB et Terre-Neuve qui
prévoient une notification)
• Guides et normes
o ISO 27001
o BSIF - (Note d’information – 28 octobre 2013)
o AMF – Questionnaire sur la cybersécurité (automne 2015)
21
Annexe 1 : Cadre réglementaire et gouvernance
pour la cybersécurité au Canada : un bref survol
(suite)
• Instruction Nationale 58-201 (« Duty of Care »)
• AMF – Questionnaire sur la cybersécurité (automne 2015)
• Formulaire 51-102F2 (« Divulgation des facteurs de risques
importants »)
• Organisme canadien de réglementation du commerce de
valeurs mobilières (OCRCVM / IIROC)
• Autorités canadiennes en valeurs mobilière (ACVM) –
Avis 11-332 (26 septembre 2016) et Avis 11-326 (2013)
22
Annexe 1 : Cadre réglementaire et gouvernance
pour la cybersécurité au Canada : un bref survol
(suite)
• Association canadienne du commerce des valeurs mobilières
(ACCVM / IIAC)
• North American Electric Reliability Corporation (NERC) –
standards révisés adopté le 21 janvier 2016 – Critical
Infrastructure Protection
• PCI-DSS (Industrie des cartes de paiements)
23
Annexe 2 : Cadre conceptuel de protection des
données et systèmes
Identifier et
répertorier vos
systèmes
informatiques
24
Sécurité des
données et
politique de
protection des
renseignements
Implantation,
formation et
suivi
Plan de gestion
des événements
ou incidents
Procédures
d’intervention en
cas d’incidents
Annexe 2 : Réponse à un incident de sécurité
(données ou systèmes)
Identification
de
l’incident
Besoin
de
notification
25
Confinement
Enquête /
Investigation
Communication
Validation
et
remédiation
Annexe 2 : Post-Intrusion : Fournisseurs de services et
Assurance
Menace
externe
(Internet)
Menace
interne
Défaillance
de la
technologie
de sécurité
Vous devez valider
avec l’assureur ou
vous risquez de ne
pas pouvoir couvrir
le risque en cas
d’intrusion.
Équipe de
gestion de
crise en
matière de
cyber-sécurité
Défaillance
de la
procédure
de sécurité
Pertes financières
Conseillers
juridiques
externes
Équipe de gestion
de cyber-incident
Fournisseurs
de services
externes
Assurance
Conseillers
juridiques
externes
Source : PWC, Capgemini
26
Parties prenantes
Relations publiques
Équipe principale
Notification de violation
Équipe d’investigation Surveillance du crédit
Atténuation de la fraude
Surveillance du crime
clandestin
Autorités
d’application de la
loi et organismes
de réglementation
gouvernementaux
Organes
gouvernementaux
d’application de la loi
Annexe 3 : Détection des événements de sécurité TI
Security Operation Center
Données opérationnelles
SOC
Protection physique
Données contextuelles
Source
publique
Bouclier
Threat
Intelligence
Serveur
Politique de
sécurité
Réseau
Collecte
Base de
données
SIEM
Corrélation
Security Information
&
Event Management System
Détection
de fuite
Contrats en
vigueur
Passerelle
de messagerie
Faire des « scan »
Authentification
des utilisateurs
Événements suspects
dénoncés
27
Lois et
règlements
Système
« Pot de miel »