Sommaire Introduction................................................................................................................................................. 7 1. Identifier et comprendre son exposition aux risques................................ 13 Risque informatique : Prendre conscience des risques liés à la dépendance à l’informatique ........................................................................................... 13 Ne pas négliger le facteur humain : les comportements à risque liés à la mobilité........................................................................................................................................... 19 L’externalisation : les limites de la sous-traitance ! .......................................................... 26
2. Les aspects législatifs et réglementaires..................................................... 35 La Loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978........................... 35 L’ordonnance d’août 2011 « le Paquet Telecom ».................................................... 38 Le cas particulier des Opérateurs d’Importance Vitale : la Loi de Programmation Militaire (LPM) du 18 décembre 2013................... 43 Le futur « Règlement européen ».................................................................................... 47
3. Les différentes typologies de risques................................................... 53 Les atteintes aux données et leurs conséquences........................................... 53 Les atteintes aux systèmes d’information et leurs conséquences.......... 63 Les acteurs dans la gestion de l’incident : qui est concerné dans l’entreprise pour gérer la crise ?................................ 66
4. Transférer le risque à l’assurance............................................................ 75 Assurer les conséquences des cyber-risques : quels contrats ?.............. 75 Analyse des garanties délivrées par les contrats de responsabilité civile.......................................................................................................... 80 Analyse des garanties délivrées dans les contrats de Dommages............. 91 Les contrats d’assurance cyber-risques et les différentes stratégies de placement........................................................................................................... 99
5. Les garanties offertes par le marché de l’assurance................... 103 Les garanties de responsabilité civile.................................................................................. 104 Les garanties de dommages........................................................................................................ 109 Le volet gestion de crise/ assistance.......................................................................................... 112
Index............................................................................................................................................................. 119 www.argusdelassurance.com
11
Identifier et comprendre son exposition aux risques
1. Risque informatique : Prendre conscience des risques liés à la dépendance à l’informatique Aujourd’hui il n’existe aucune entreprise ne disposant pas d’un système informatique sur lequel sont connectés les ordinateurs de chaque collaborateur. Ce système, c’est la colonne vertébrale de l’entreprise : tous les ordinateurs, portables ou fixes, les smartphones, les imprimantes, pour ceux qui les utilisent encore, les fax mais aussi les téléphones fixes sont tous connectés au réseau informatique de l’entreprise sans lequel elle ne pourrait fonctionner. Sans réseau, sans internet ou sans email, combien de temps votre entreprise peut-elle survivre ?
1.1 Les dangers des connections sans fil : le WiFi public ou privé Que ce soit au sein de sa propre entreprise ou chez un client, l’usage du wifi est devenu monnaie courante et on sait aujourd’hui que le wifi privé tout comme le wifi public n’est pas à l’abri de dangers. Dans l’entreprise, lorsqu’un salarié utilise le wifi privé mis à la disposition par l’entreprise, les mesures de protection mises en œuvre par le service informatique s’appliquent et les données postées sur l’ordinateur utilisé et les connections réalisées depuis ce pc restent relativement sécurisées. Toutefois, l’entreprise peut être exposée en cas d’utilisation de son wifi par une personne extérieure. En effet, pirater la clé de sécurité permettant d’ouvrir un réseau wifi privé d’une entreprise est assez aisé. Il existe aujourd’hui en vente libre des petits boîtiers qui permettent l’affichage de tous les points www.argusdelassurance.com
13
Enjeux et maîtrise des cyber-risques
wifi publics ou privés dans les 4 à 5 kilomètres à la ronde, et qui indiquent les clés de sécurité (mots de passe) qui en permettent l’accès. Grâce à ce boîtier, le pirate pourra facilement savoir quelle entreprise dispose d’un wifi puisque son nom s’affiche et quel est son code. La connexion au réseau devient alors une chose aisée pour le pirate qui dispose de l’ensemble des informations de l’entreprise et peut alors en profiter. L’exposition aux risques est encore plus forte lors de l’utilisation de wifi publics. L’utilisation des wifi publics, c’est-à-dire ceux mis à disposition de grands magasins, centres commerciaux, halls de gare ou encore d’aéroports constituent une mine d’or pour les pirates même les plus novices. Ils peuvent en effet se connecter au même titre que toutes les autres personnes qui s’y sont connectées et peuvent facilement s’introduire sur l’ensemble des appareils qui disposent d’une adresse IP. De nombreux cadres de haut niveau, voire de grands chefs d’entreprise, utilisent les accès wifi des « lounges » des aéroports internationaux et un très grand nombre de mails sont reçus et envoyés en utilisant ces accès à internet sans qu’aucun ne puisse se douter un instant que ces mails peuvent être interceptés, copiés ou lus. Pire encore, le pirate peut aussi accéder à l’ordinateur et à toutes les données qui s’y trouvent. Le pillage ou siphonnage d’un disque dur peut être réalisé en un clin d’œil. Il n’existe aucune charte informatique ou guide du voyageur émis par les grands groupes qui émettent des restrictions sur l’utilisation des wifi publics dans ce type de salons, dans lesquels pourtant de grands contrats ou marchés peuvent être négociés. Il faut en effet, pouvoir concilier l’utilisation des outils de travail en dehors du lieu de travail ou ceux-ci ne sont plus connectés au réseau et ou l’entreprise n’a plus aucune maîtrise des outils de sécurité informatique et ne peut en aucun cas agir ou réagir si une attaque est perpétrée. Important Il est déconseillé de se connecter à un réseau wifi non connu. En effet, il existe des dispositifs très simples qui permettent à des individus de créer des accès wifi et ainsi d’accéder à internet très facilement. Des salariés malveillants peuvent déposer cette « pirate box » qui est toute à fait légale et commercialisée partout en Europe et créent ainsi un environnement wifi. Le boîtier caché dans la rue offre au malveillant le moyen de transférer des fichiers alors qu’il ne possède qu’un pc sans connexion officielle. 14
www.argusdelassurance.com
Identifier et comprendre son exposition aux risques
1.2 Être en réseau : autant de portes d’entrée pour le pirate L’organisation du réseau informatique d’une entreprise est un point déterminant lorsqu’il s’agit de mettre en place la sécurité informatique dans l’entreprise. Si l’entreprise dispose de plusieurs bureaux ou établissements en France ou même dans le monde, un seul ou plusieurs systèmes d’informations peuvent être connectés les uns aux autres. Pour accéder au système d’information, les pirates pourront mener leurs attaques depuis une filiale quel que soit le lieu où celle-ci est basée et ceci leur permettra d’accéder à l’ensemble des données du réseau et ainsi s’introduire aisément dans les systèmes. S’introduire par la petite porte permet à la fois d’accéder à l’ensemble des informations d’un groupe et de savoir comment celui-ci est organisé, notamment l’arborescence du système. Le caractère international d’une entreprise peut donc se révéler un point majeur à prendre en compte pour le responsable informatique qui devra s’appuyer sur les directeurs informatiques locaux afin de s’assurer que les standards de sécurité informatique mis en place au siège sont bien respectés dans les filiales et qu’une attaque dans l’une d’entre elles peut être circonscrite suffisamment vite afin de ne pas infecter le réseau dans son intégralité.
1.3 E-commerce et pénalités PCI DSS Le e-commerce constitue une part non négligeable du chiffre d’affaires de certaines entreprises et pour d’autres, un business model. Mais vendre en ligne ou proposer des services en ligne nécessite généralement l’enregistrement de données personnelles telles que nom, prénom, adresse et coordonnées bancaires. Autant de données qui exposent l’entreprise au risque de violation de la confidentialité des données et au vol de données bancaires. Or, ces données constituent le patrimoine informationnel de l’entreprise. Important En France, dès 1978, le législateur a souhaité définir clairement la donnée à caractère personnel et a créé une autorité, la CNIL, en charge de la défense des intérêts des personnes physiques dont les données personnelles sont détenues, collectées et traitées. Il s’agit de l’article 2 alinéa 2 de la loi n° 78-17 du 6 janvier 1978 qui dispose : « Constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, www.argusdelassurance.com
15
Enjeux et maîtrise des cyber-risques
directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable de traitement ou toute autre personne. Pour les sites web de commerce en ligne (ou encore site marchand), le fichier client est le fichier clé de l’entreprise sans lequel non seulement aucune vente n’est possible mais également aucune démarche commerciale ou marketing. Ces données ont une valeur pour l’entreprise et les pirates l’ont bien compris. Dérober des données personnelles telles que nom, prénom, adresses email ou même coordonnées bancaires peut rapporter gros. Non seulement le pirate peut les revendre sur le black market ou à un tiers (concurrent ou acheteur de fichier pour prospection commerciale) mais peut également les utiliser pour dérober de l’argent : c’est la technique dite du phishing.
Qui n’a pas reçu sur sa boite mail un message provenant d’une grande entreprise (société de téléphonie, vendeur d’électricité ou de gaz, banque, etc.) dans lequel vous étiez invité à vous connecter soit pour renouveler un soi-disant abonnement soit pour confirmer vos données transmises. À cette occasion, non seulement un certain nombre de personnes croient réellement à la demande et restent persuadées que l’entreprise qui réclame ces changements est réellement leur banque ou leur fournisseur d’électricité et vont livrer leurs coordonnées bancaires. Pire encore, l’attaque est en réalité double : en cliquant simplement sur le mail pour l’ouvrir et le lire, vous laissez également pénétrer un malware (virus malveillant) qui va subrepticement s’installer dans votre ordinateur et permettre au pirate d’en prendre le contrôle. Il pourra ensuite utiliser votre ordinateur pour mener une attaque DoS (attaque par déni de service).
16
www.argusdelassurance.com
Identifier et comprendre son exposition aux risques
Pour les entreprises qui vendent en ligne et permettent le paiement en ligne, elles doivent respecter les standards PCI DSS : le Payment Card Industry Data Security Standards. Un référentiel de sécurisation des données de cartes bancaires a été créé à l’initiative de plusieurs grands noms tels que Visa, Mastercard ou encore Amex. Ce référentiel s’appuyant sur des bonnes pratiques doit être respecté par toute entreprise qui traite ou bien stocke des données bancaires. Si les entreprises sous-traitent à des sociétés externes le dispositif de paiement, c’est le sous-traitant qui sera soumis à la norme PCI DSS et qui devra la respecter : on parle alors de fournisseur de services. Toutefois, il ne faut pas oublier que les entreprises de vente en ligne restent responsables des vols de données bancaires même si elles sous-traitent ce service. Elles devront répondre de la défaillance des fournisseurs de services dans l’hypothèse ou après une attaque, il s’avère que ceux-ci ne respectaient pas tous les standards PCI DSS. Par contre, ce sont ces prestataires qui devront s’acquitter du paiement des pénalités PCI DSS qui peuvent atteindre plusieurs centaines de milliers d’euros ou dollars. Important Selon une étude menée par Symantec en 2013 (2013 Internet Security Threat Report) le coût moyen d’une atteinte aux données bancaires est estimé à 188.000 $ et dans 2/3 des cas, les entreprises ont disparu 6 mois après l’atteinte. La norme PCI DSS est remise à jour tous les 3 ans. Le 7 novembre 2013 est parue la dernière version de la norme : la version 3.0. Cette nouvelle version est applicable depuis le 1er janvier 2014. Du 1er janvier 2014 au 1er janvier 2015, la version 2.0 et la version 3.0 coexistent, ainsi les entreprises disposent d’un an pour se conformer à la nouvelle norme (Version 3.0) qui sera seule applicable au 1er janvier 2015.
Plusieurs grandes entreprises américaines ont subi des attaques informatiques de grande ampleur qui ont eu pour conséquence la compromission de plusieurs millions de cartes bancaires (TJX en 2006, Heartland Payment System Inc en 2008 ou encore Target en 2013 avec 70 millions de cartes bancaires compromises et enfin Home Depot à l’été 2014 avec 56 millions de cartes compromises).
www.argusdelassurance.com
17