Cybercrime : êtes-vous bien assuré ? Plongée

Point de vue
Cybercrime : êtes-vous bien assuré ?
Plongée dans les méandres du marché
de la cyber-assurance
Si le progrès technologique a
indéniablement transformé la
manière dont nous gérons nos
entreprises et interagissons avec nos
clients, il entraîne aussi dans son
sillage le fléau des cyberattaques.
Selon une étude récente1 un simple champ
de formulaire Web non protégé serait à
l’origine d’un incident de sécurité dont la
neutralisation aurait coûté 196 000 dollars
à une entreprise. Une dépense qui aurait pu
être facilement évitée si des techniques de
protection avaient été mises en œuvre. Les
pirates découvrent sans cesse de nouvelles
failles de sécurité. Or, malgré tous les efforts
déployés, les développeurs de technologies
de cybersécurité ne pourront jamais
contrecarrer toutes les attaques potentielles.
« La cybersécurité arrive en troisième
position des risques auxquels sont
confrontés les dirigeants d’entreprises
dans le monde. »
Lloyds Risk Index 2013
Face à ce constat, de nombreuses
organisations cherchent à souscrire des
contrats de cyber-assurance pour transférer
les risques financiers d’une telle attaque.
De leur côté, les assureurs sont tenus d’offrir
des polices qu’ils pourront garantir, tout en
remplissant leur devoir de conseil.
La cyber-assurance constitue un terrain
miné, riche en ambiguïtés. Ainsi,
certains assureurs peuvent refuser des
indemnisations sur la base de clauses en
petits caractères et d’une interprétation
complexe des contrats. Cela tient
principalement au fait que le cybercrime
est une forme relativement récente de
risque commercial. De fait, les assureurs
cherchent à poser des questions claires sur
la sécurité de l’assuré avant de s’engager.
De leur côté, les organisations en phase de
souscription ont souvent une connaissance
trop approximative de leur sécurité pour
répondre précisément aux questions de
l’assureur. Or, une information erronée peut
invalider un contrat, comme en témoignent
les nombreux dossiers d’indemnisation
rejetés sur cette base.
menaces dans le monde, les botnets arrivent
en tête avec 34 % du nombre d’attaques
commises en 2013, tous secteurs et zones
géographiques confondus. Viennent ensuite
les comportements anormaux (15 %), les
manipulations réseaux (10 %) et les attaques
d’applications Web (8 %).
Comment mieux se préparer à
souscrire un contrat de cyber-assurance ?
Comment choisir une couverture adaptée ?
Existe-t-il un risque d’invalidation du contrat
? Quels sont les dispositifs de protection
de l’information qu’exigent les assureurs ?
Autant de questions auxquelles nous vous
proposons de répondre.
Quelle que soit la nature de l’attaque, ces
incidents se ressentent incontestablement sur
les comptes des entreprises victimes. D’où le
besoin d’investir d’une part dans la protection
de leurs ressources, et d’autre part dans le
transfert des risques via une cyber-assurance
adaptée en cas d’attaque. Ces exigences
vont de pair, car il est primordial de mettre
en place un dispositif préventif avant de
souscrire un contrat.
La protection au cœur des enjeux
Chiffrer le coût du cybercrime est un
exercice difficile. Les estimations mondiales
varient considérablement et de nombreuses
statistiques publiées par le passé ont été
remises en question depuis. Pour commencer,
il n’existe aucune définition standard,
notamment du fait de la multiplicité des
formes de menaces : attaques DDoS (Déni de
Service Distribué), malwares, cyber-extorsion
par botnets, vol de données, vol de revenus,
etc. D’après le Rapport 2014 sur l’état des
« Avec l’avènement d’Internet, du PC
et d’autres avancées technologiques,
le cybercrime devient un véritable
phénomène mondial. »
JP Morgan
Cybercrime: The Growing Threat
Les entreprises à risque doivent évaluer
leur exposition et prendre les mesures de
protection nécessaires. Dans cette démarche,
les technologies apporteront certains
éléments de réponse. Toutefois, elles ne
pourront jamais assurer une protection
totale des ressources de l’entreprise dans un
environnement où l’innovation technologique
est constamment prise de vitesse par les
nouvelles menaces.
1. NTT Com Security, Solutionary, Dimension Data, NTT Innovation Institute and NTT Data collaborated to deliver NTT Group Security’s 2014 Global Threat Intelligence Report
www.nttcomsecurity.com
Copyright© NTT Com Security 2014
Dispositif de gestion des risques de cyber-incident
Réduction des risques à un niveau acceptable
Évaluation
des risques
Réduction des
failles de sécurité
potentielles via
une technologie
préventive
Réduction des
risques financiers
par l’assurance
Maintien des
risques à un
niveau acceptable
Source : A framework for using insurance for cyber-risk management: Lawrence A. Gordon, Martin P. Loeb,
Tashfeen Sohail: Communications of the ACM, Vol. 46 No. 3, Pages 81-85, 2003
Si le transfert des risques via un contrat
de cyber-assurance peut paraître sage,
l’immaturité de ce marché et le manque
de courtiers et d’assureurs dotés des
bonnes compétences en technologies et en
cybersécurité ne facilite pas la quantification
des risques, ni leur capacité à les couvrir.
Une entreprise doit prouver à son assureur
que des mesures de protection ont été prises
– dans une double optique d’évaluation et de
réduction des risques – et qu’un système de
cyberveille est également en place. Seules ces
informations permettront à l’assureur de bien
cerner le niveau d’exposition du client.
Choisissez soigneusement votre contrat
Indépendamment de leur taille, les
entreprises dépendent, à un degré ou à un
autre, de leur infrastructure informatique.
À tel point qu’en cas de panne ou
d’immobilisation de leurs systèmes, elles
s’exposent à des risques d’interruption de
leur activité, de perte de revenus, de chute
du cours2 de leur action et d’atteinte à leur
image de marque. Malgré cela, les entreprises
ne s’assurent pas correctement contre ces
attaques. Ainsi, ces dernières années, le
refus de certains assureurs d’indemniser des
clients dans le cadre de contrats usuels ont
donné lieu à un certain nombre de procès
retentissants. Dans ces litiges, les tribunaux
se sont rangés du côté des assureurs. Les
contrats d’indemnisation professionnelle ne
proposent pas le même niveau de couverture
« Bien que le coût mondial du
cybercrime et du cyberespionnage
se chiffre probablement en milliards
de dollars chaque année, ce simple
montant ne reflète pas complètement
les dommages subis par l’économie
dans son ensemble. »
The Economic Impact of Cybercrime
and Cyber Espionage
qu’une cyber-assurance, qui prévoit à la fois
une protection contre le manque à gagner
et un accompagnement dans la gestion
de crise (RP, conseil juridique, experts
forensiques, spécialistes informatiques)
en vue de réduire l’impact de la violation.
En pratique, le coût des spécialistes et de la
gestion de crise représenterait jusqu’à 50 %
des indemnisations versées. Ne croyez pas
que votre contrat en responsabilité civile
couvrira l’ensemble des coûts d’une violation
de données : cela ne sera vraisemblablement
pas le cas.
Évaluez votre exposition aux risques
Ce qui importe aux assureurs est que
leurs clients connaissent parfaitement leur
exposition aux risques. Sans cela, il est
impossible d’établir un contrat adapté à
votre entreprise.
Le diagramme ci-dessus présente un cadre
d’utilisation de l’assurance comme outil
de gestion des cyber-risques. On y voit
notamment que la réduction des risques à un
niveau acceptable passe par le déploiement de
technologies préventives. Quant à l’assurance,
elle a pour vocation de limiter les risques
financiers en cas d’incident.
Bonnes pratiques de protection
contre le cybercrime
1Connaissance des risques –
procédez à un bilan-risque annuel
pour évaluer et remettre à jour votre
exposition aux risques. Assurez-vous
que le cyber-risque reste une priorité
pour vos dirigeants
2 Configuration sécurisée – assurez
la mise à jour régulière des matériels
et logiciels de sécurité, car c’est
à force de persévérance que le
cybercriminel atteint son but.
Maintenez l’efficacité des
protections de base
3Télétravail et mobilité –
définissez des directives strictes
d’accès aux données. À mesure que
les appareils personnels investissent
la sphère professionnelle (BYOD),
vous devez protéger votre
réseau indépendamment du
périphérique d’accès
4Sensibilisation et formation de
vos collaborateurs – formez vos
salariés aux politiques et processus
d’intervention
5Gestion des incidents – établissez,
exécutez et testez régulièrement vos
plans d’intervention
6Monitoring – surveillez en
permanence tous les systèmes
d’information et de communication,
ainsi que les journaux associés, pour
détecter des attaques potentielles
7Sécurisation du réseau – gérez
le périmètre du réseau et filtrez les
accès non autorisés
8Protection anti-malware –
établissez des défenses anti-malware
et effectuez en permanence des
analyses de détection
9Gestion des privilèges des
utilisateurs – limitez les privilèges
des utilisateurs et surveillez
leurs activités
10Établissement d’un règlement
intérieur pour l’utilisation des
réseaux sociaux – les réseaux
sociaux deviennent peu à peu
l’un des principaux vecteurs
du cybercrime. Sensibilisez vos
collaborateurs aux règles de
base d’une utilisation acceptable
au travail
La première étape de la protection de votre
entreprise consiste à prendre l’entière mesure
de votre exposition aux risques à tous les
niveaux de l’entreprise. Vous devrez pour cela
vous appuyer sur un ensemble de bonnes
pratiques sectorielles. Si vous ne disposez
pas des compétences nécessaires en interne,
demandez conseil à un expert qui pourra
dresser un bilan-risque exhaustif de votre
organisation : détection des zones à risques,
recommandations, priorisation des actions et
élaboration d’un plan stratégique de gestion
du risque en continu. Ce bilan vous permettra
d’identifier les faiblesses de votre dispositif
de sécurité informatique, tout en mettant
l’accent sur les points critiques nécessitant
une attention immédiate. Il établira également
un calendrier de mise en œuvre des actions
correctrices requises, que vous pourrez
communiquer à votre assureur comme preuve
de votre sérieux sur les questions de sécurité.
www.nttcomsecurity.com
Copyright© NTT Com Security 2014
2. Étude de cas : Sony et Zurich Insurance, page 3
2
Pour réduire votre exposition aux
risques, glissez-vous dans la peau
d’un hacker
Les tests de vos dispositifs de protection
doivent évoluer au rythme des menaces,
au premier rang desquels on trouve
les APT (Advanced Persistent Threats).
Ces processus de hacking insidieux et
persistants demandent un travail de longue
haleine qui s’opère totalement à couvert.
Les APT sont ainsi à l’origine de nombreuses
violations de sécurité médiatisées dont ont
été victimes de grands groupes mondiaux
pourtant bien protégés. Or, si vous pouvez
observer votre organisation telle qu’un
pirate la voit, vous aurez déjà fait un grand
pas vers la protection de vos ressources
informatiques. Là encore, vous apporterez
à votre assureur la preuve concrète des
mesures de sécurité renforcées en place. La
prévention des attaques APT fait appel à des
tests différents des méthodes traditionnelles,
notamment des tests d’intrusion qui portent
sur un point ciblé de l’infrastructure ou
d’une application Web. C’est pourquoi des
entreprises procèdent régulièrement à des
simulations APT pour limiter ce risque.
Cette simulation empreinte le parcours
type d’un hacker cherchant à profiler
votre entreprise en vue de déjouer ses
défenses : collecte d’informations personnelles
et professionnelles, lancement de l’attaque
sur un point de moindre résistance,
infiltration du réseau de l’entreprise et
exfiltration clandestine de données. À l’issue
de la simulation APT, vous disposerez d’une
connaissance exhaustive des vulnérabilités
Le chiffre d’affaires de
Target chute de 16 % suite à
une violation de données
dédommagement
potentielles au niveau de vos processus, de
vos collaborateurs et de vos technologies.
Vous serez également en mesure de tester
vos procédures d’intervention et de mettre en
œuvre les systèmes adaptés en vue de réduire
les probabilités de réussite d’une attaque.
Sony accepte de payer
15 millions de dollars
de dommages et intérêts
et d’offrir gratuitement des
jeux PS3 en règlement de
l’affaire de piratage PlayStation
En souscrivant une assurance adaptée, vous
transférez les risques et, au final, réduisez le
coût d’une éventuelle attaque. Malgré tout,
la garantie de ces contrats reste un défi pour
les assureurs. C’est pourquoi les entreprises
souscriptrices doivent faire tout leur possible
pour déterminer leur exposition et prendre
les mesures nécessaires pour limiter les
risques et démontrer à leur assureur que la
sécurité de l’information et la gestion des
risques font partie de leurs priorités.
dédommagement
Le chiffre d’affaires attaque
Sony accepte de payer
de Target chute de
15 millions de dollars de
16 % suite à une
dommages et intérêts et
gratuitement des
violation de données d’offrir
jeux PS3 en règlement
violation
Target
Un fonds spéculatif
américain perd des
millions au cours
d’une cyberattaque
Soyez proactif
Jamais les risques d’attaque ne diminueront.
Leur fréquence et leur sophistication sont
au contraire appelés à s’intensifier. Face à
cette menace, il est désormais prouvé que
les contrats en responsabilité civile n’offrent
pas une couverture suffisamment efficace
compte tenu de la gravité de l’impact en
termes financiers, d’image et de perte de
clientèle. Un risque que votre organisation
ne peut pas se permettre de prendre.
Gestion des risques : faites la distinction
entre le bon et le mauvais
Les attaques APT se déroulent sur de
longues périodes et font appel à toute une
panoplie de techniques pour percer vos
défenses réseau. Les liens et les pièces
jointes d’e-mails restent de loin le principal
vecteur de ces attaques2, avec pas moins de
94 % des attaques ciblées pour les seules
pièces jointes malveillantes3. Une étude
récente4 indique que 54 % des malwares
conçus pour prendre le contrôle d’un
système compromis sont passés à travers
les mailles des solutions antivirus en place.
De même, il est désormais établi que les
logiciels antivirus, bien que très utiles
pour combattre certains malwares, ne sont
efficaces que dans environ 50 % des cas
et détectent difficilement l’ensemble des
malwares en circulation. C’est pourquoi
attaque
attaque
Les assureurs s’inquiètent eux aussi
des lacunes des solutions antivirus.
En prenant les devants et en leur
démontrant les mesures en place pour
le contrôle de l’ensemble des fichiers
entrant dans votre entreprise, vous leur
enverrez un signal fort quant au sérieux
de votre sécurité informatique.
« 77 % des entreprises prises en
charge dans le cadre d’une gestion
d’incident ne disposaient d’aucun
plan d’intervention. »
Rapport 2014 sur l’état des menaces
dans le monde
Le chiffre d’affaires
de Target chute de
16 % suite à une
violation de données Une compagnie d’assurances
se voit infligée une amende
Une compagnie
d’assurances se voit
de 6,8 millions de dollars
infligée une amende
pour violation de données
de 6,8 millions de
dollars pour violation
de données
des dispositifs complémentaires s’imposent
pour intercepter, inspecter et authentifier
les fichiers infectés, tout en transmettant
les fichiers légitimes en temps réel à vos
utilisateurs pour éviter toute perturbation de
l’activité.
Sony
Une compagnie d’assurances
se voit infligée une amende
de 6,8 millions de dollars
pour violation de données
Un fonds spéculatif
américain perd des
millions au cours
d’une cyberattaque
de l’affaire de piratage
PlayStation
démission
Une compagnie d’assurances
se voit infligée une amende
de 6,8 millions de dollars
pour violation de données
Le chiffre d’affaires de
Target chute de 16 % suite
à une violation de données
Sony accepte de payer 15 millions
de dollars de dommages et intérêts
et d’offrir gratuitement des jeux
PS3 en règlement de l’affaire de
piratage PlayStation
dédommagement
Sony accepte de payer
PlayStation
15 millions de dollars de dommages
PlayStation et intérêts et d’offrir gratuitement des jeux PS3
en règlement de l’affaire de piratage PlayStation
Un fonds spéculatif américain
perd des millions au cours
d’une cyberattaque
2. Étude de cas : Sony et Zurich Insurance, page 3 3. Bloor Research: The need to protect against file based attacks 4. Trend Micro: Spear-Phishing Email: Most Favored APT Attack Bait
www.nttcomsecurity.com
Copyright© NTT Com Security 2014
3
Pourquoi choisir NTT Com Security
Opter pour NTT Com Security, c’est faire
appel à un spécialiste de la sécurité
de l’information et de la gestion du
risque mondialement reconnu, à la tête
d’une équipe d’experts chevronnés et
ultra compétents. Nous proposons une
gamme étendue de services managés, de
technologies et de consulting garantissant à
votre entreprise une protection 24h/7j de ses
ressources, sur site ou via nos services de
sécurité managée WideAngle MSS.
« Si vous gérez d’énormes volumes
de données de cartes bancaires
et d’identifiants de connexion, la
sécurisation de ces informations
personnelles doit constituer votre
priorité. En l’occurrence, ce n’était
pas le cas. Si bien que lorsque
la base de données a été prise
pour cible – lors d’une attaque
criminelle certes particulièrement
virulente – les mesures de sécurité
en place étaient tout simplement
insuffisantes. »
David Smith
Commissaire délégué et directeur de
la protection des données
Pour un monde plus sûr
Chez NTT Com Security, la gestion du
risque et de la sécurité de l’information
est notre cœur de métier. En optant pour
WideAngle, nos clients font le choix de
services technologiques, de consulting et
de sécurité managée à la hauteur de leurs
enjeux. Ainsi, ils sont libres de se concentrer
sur leurs opportunités métiers, tandis que
nous nous occupons de la gestion du risque.
L’étendue de nos missions GRC
(Gouvernance, Risque, Conformité), nos
services innovants de sécurité managée
et nos implémentations technologiques
pragmatiques nous offrent une perspective
unique que nous plaçons au service de nos
clients. Ce faisant, nous les aidons à prioriser
leurs projets et à mettre en place des
standards fiables. Enfin, nous nous attachons
à fournir des conseils justes et objectifs sur
chacune de nos interventions.
Notre équipe de consultants interviendra
à vos côtés pour identifier vos failles de
sécurité informatique au moyen de notre
méthodologie WideAngle Risk Insight.
Elle vous accompagnera également à chaque
étape de votre simulation APT. La sécurité
de l’information et la gestion des risques
constituent, bien entendu, un travail de tous
les instants. C’est la raison pour laquelle
de nombreuses organisations confient
désormais la gestion de cette activité vitale
à NTT Com Security. Elles bénéficient
ainsi d’une surveillance et d’un pilotage
permanent de leur infrastructure de sécurité
par nos équipes.
Assurer vos ressources contre le cybercrime
ne vous dispense nullement de la mise en
œuvre et de l’application des protocoles
informatiques appropriés. De fait, la
souscription d’un contrat d’assurance doit
s’accompagner d’une stratégie robuste de
prévention des failles de sécurité. Pour en
savoir plus sur nos services de détection des
vulnérabilités et de gestion continue de vos
ressources, rendez-vous sur
www.nttcomsecurity.com
Notre approche globale vise à éliminer les
coûts et la complexité, dans un contexte
où l’importance croissante de la gestion
du risque et de la sécurité de l’information
agit comme un levier de compétitivité
dans les entreprises les plus performantes.
Innovante et indépendante, NTT Com
Security (anciennement Integralis) dispose
de nombreuses implantations en Amérique,
en Europe et en Asie-Pacifique. Elle fait
partie intégrante du NTT Communications
Group, propriété de NTT (Nippon Telegraph
and Telephone Corporation), un des plus
grands opérateurs de télécoms au monde.
www.nttcomsecurity.com
Étude de cas :
Sony et Zurich Insurance
En mars 2014, un tribunal de New
York a rendu un jugement dégageant
Zurich American Insurance Co. de
toute obligation de défense de Sony
Corp. of America et Sony Computer
Entertainment America dans le cadre
des litiges découlant du piratage en
avril 2011 des services en ligne Sony
PlayStation.
>Le piratage en 2011 de Sony
Playstation Network (PSN) a entraîné
la compromission des données de
millions d’utilisateurs
>PSN est resté indisponible pendant
plusieurs semaines après l’incident
>Selon les estimations, ce piratage a
coûté à Sony environ 173 millions de
dollars en 2011
>En 2013, l’ICO (Information
Commissioner’s Office) britannique
a infligé à Sony une amende de
250 000 de livres Sterling pour les
manquements à la sécurité ayant
entraîné cette violation
>Sony s’est tournée vers Zurich
American et Zurich Insurance Ltd
pour défendre l’entreprise contre
les poursuites et éventuelles
enquêtes engagées à son encontre
dans cette affaire
>Environ 50 recours collectifs ont été
déposés contre Sony
>Les pertes de Sony sont désormais
estimées à environ 2 milliards
de dollars
>En 2014, les tribunaux ont dégagé
Zurich de toute obligation de défense
de Sony
>Cette décision, qui fait l’objet
d’un appel, souligne le risque de
souscription d’un simple contrat
d’assurance en responsabilité civile
commerciale face à la menace du
cybercrime
>L’enquête de l’ICO a conclu que
l’attaque aurait pu être évitée si
les logiciels avait été à jour et que
certains développements techniques
n’avaient pas compromis la sécurité
des mots de passe
Copyright© NTT Com Security 2014
4