Télécharger le support de conférence

Report
*
Sommaire
I
– Les cyber-risques, l’e-réputation et leur évolution
- Atteintes aux données
- E-réputation
- Autres
Vu
- Par les entreprises
- Par les particuliers
II -
Les réponses actuelles pour les Risk Managers
Les cyber-risques : quelles solutions internes, quelle réponse des assureurs ?
Quel avenir pour les assureurs ?
l’e-réputation : quels risques pour l’entreprise et comment s’y protéger ? Des
solutions internes et des alternatives d’assureurs.
Témoignage M Eric Lemaire, Directeur de la Communication et de la
Responsabilité d’Entreprise d’Axa France
III -
2
Nous sommes de plus
en plus exposés aux
cyber-risques …
•
5 milliards d’appareils connectés et accessibles via internet en 2013,
31 milliards en 2020
•
Le Wi-fi, les réseaux sociaux, le BYOD, le cloud computing…
•
•
Le volume de données stockées augmente de 62% annuellement et
Or moins de 20% de ces données auraient fait l’objet de protections
3
Chaque jour 1,5M de personnes
sont hackées soit 18 par seconde
110 milliards US$ : coût annuel
de la cybercriminalité dans le
monde .
En France 2,5 milliards d’euros
de pertes pour les entreprises
90% des entreprises américaines
ont été piratées au cours des 12
derniers mois.
83% des internautes chinois ont
été victimes de cybercrimes
4
Pourquoi le cyber-risque nous intéresse-t-il en tant
qu’assureurs / courtiers
•
Jusqu’à présent une couverture « par défaut » des cyber-risques
•
Un transfert des polices généralistes vers les polices cyber?
•
Des entreprises encore sceptiques face à ces polices spécialisées
5
1.
Pertes ou dommages des biens numériques.
2.
Violation de la confidentialité des données.
3.
Indisponibilité du réseau informatique et destruction matérielle.
4.
Prise de contrôle de processus informatiques.
6
• Double attaque
sur le réseau de jeu en ligne et le service de musique et
vidéo à la demande de Sony
• Conséquences dramatiques :
sites inaccessibles, données personnelles de
millions d’utilisateurs dérobées, dont 2.2 millions de données de cartes
bancaires, service interrompu pendant plus d’un mois, pertes estimées à
environ 122 millions d’euros, poursuites judiciaires…
• Pourquoi ?
Sony utilisait des versions obsolètes de logiciels, et ses serveurs
n’étaient pas protégés par un pare-feu
7
1.
Les risques médiatiques pour l’entreprise
•
•
•
2.
Les atteintes informationnelles
Les atteintes touchant à l’identité de l’entreprise
Les atteintes d’ordre technique
Les risques pour l’individu
•
•
Des risques nombreux
Le droit à l’oubli
8
• Février 2013 : Findus révèle que ses lasagnes surgelés contiennent
de la viande de cheval
• Présence sur le Net minime : twitter ou facebook très peu actifs.
Communication sur l’affaire uniquement dans un question/réponse
• Une volonté systématique d’effacer les commentaires des
Internautes, pas de dialogue
• Violent retour de bâton : le scandale devient « l’affaire Findus »
9
Les réponses
actuelles pour les
Risks Managers
10
1.Une nécessaire prise de conscience et une future
obligation légale
2.Protection
3.Prévention, contrôle et réparation
4.Transfert du risque résiduel
11
«
1.Identification des personnes impliquées
2.Cartographie des risques
* « first-party risks » :
* Déni de service
* Vol ou fuite de données
* Risques de réputation
* Fraude (non spécifique aux cyber risques)
* Distinction risques externes et internes
* « third-party risks » : responsabilité
12
3.Analyse des contrôles existants
* Pertinents ?
* Suffisants ?
* Complets ?
4. Le tout dans le cadre d’une politique générale de sécurité à
définir au plus haut niveau de l’entreprise selon son « appétit
pour le risque »
13
1 - Déni de service: destruction, dégradation
* Distinction sécurité physique et sécurité système
* Protection des accès :
* Physique: sécurité d’accès aux locaux
* Système: plusieurs couches de sécurité : antivirus, antispam, antibot,
etc . , sur réseaux et postes de travail individuels, agissant en coupe
circuit ou en parallèle
* Protection face aux risques liés au web 2.0 (applications P2P: partages
de fichiers) : contrôle et application de règles de sécurité (blocage
d’applications ou fonctionnalités), sensibilisation au moment de
l’accès aux applications et demande de justification
14
2 - Vol ou fuite de données
* Risque principal : équipements mobiles des collaborateurs
* Protection: mots de passe (complexité, renouvellement),
chiffrage, non-stockage sur disque local, contrôle supports
amovibles (clé USB)
* Détection des données protégées avant qu’elles ne quittent
l’entreprise (solutions « prévention des pertes de données »
(DLP))
* Cohérence accès réseau et équipements mobiles / présence dans
l’entreprise
* Contrôle des postes de travail et des imprimantes
15
 Sensibilisation des utilisateurs
* Charte d’usage et de bonnes pratiques
* Éducation et formation sur les comportements à risque.
 Contrôles et suivi
* Associés à la cartographie des risques
* Automatisés et aléatoires
* Exemples de contrôles: tests d’intrusion, d’usurpation d’identité, « ethical
hacking », etc.
* Monitoring sécurité informatique: revue et régularisation des comptes à
privilèges élevés, suivi et gestion des événements de sécurité
 Normalisation
 Réparation
* Plans de reprise et/ou de continuité d’activité
* Plan de secours informatique
16
 Identification des risques non ou partiellement couverts
 Confrontation avec l’offre du marché de produits d’assurance
contre les cyber risques
 Décision de transfert ou amélioration du dispositif de contrôle
interne.
 Maintien de l’effort de veille sur les risques et les technologies et
mise à jour régulière de la cartographie et des contrôles
 Et toujours en cohérence avec la politique de sécurité choisie par
l’entreprise
17
Les solutions assurantielles pour les entreprises
Cyber-risques
18
Ace - Dataguard
Descriptif
Les garanties proposées
Ce produit permet d’accompagner l’entreprise dans
ses actions préventives.
Dommages matériels
En effet, couverture très large, avec une
indemnisation optimale, qui tient compte de la
nature et de l’ampleur
des sinistres.
Ce produit combine des garanties de Dommages et
de Responsabilité civile.
Trois garanties peuvent être également actionnées,
même en l’absence de réclamation, pour
accompagner
l’Assuré:
• dans ses investigations,
• dans ses relations avec la CNIL,
• dans la notification aux tiers.
• Garantie Tous Risques Sauf couvrant les dommages aux
ordinateurs et équipements annexes sous contrat de
maintenance informatique
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation consécutives
Erreurs et accidents
•
•
•
•
Frais de reconstitution
Frais supplémentaires d'exploitation
Pertes d'exploitation consécutives
Carence des fournisseurs
Actes de malveillance
• Sabotage et vandalisme des systèmes
• Fraude commise par tout moyen, y compris informatique
(contrat DATA PROTECTOR)
• Virus
• Frais de reconstitution des données
• Frais supplémentaires d'exploitation
• Pertes d'exploitation ou perte d'activité bancaire consécutives
• Carence des fournisseurs
• Dépenses engagées pour restaurer l'image de la marque
• Préjudices liés à une divulgation de données confidentielles
(contrat DATA RISKS PROTECTION)
19
• Pénalités
Hiscox – Data Risks
Descriptif
Avantages

Ce contrat est une offre globale de
services, qui s’appuie sur un réseau
d’experts mis à la disposition des
entreprises destinés à les protéger contre
les risques liés à l’intégrité de leurs
système d’information, de leurs données

personnelles et ou sensibles
Cible

Toutes entreprises responsables du 
traitement de données à caractère
personnel (e-commerce, distribution,
hôtellerie, santé, restauration)
Toutes les tailles d’entreprises de la PME
aux grands comptes
Hors cible
Un accompagnement avant et après souscription pour prévenir et
sensibiliser les entreprises face aux risques liés à la gestion des
données:
- audit possible de la sécurité informatique de l’entreprise
- accès gratuit à notre solution d’information globale sur la
protection des données personnelles via notre portail de
ressources dédié (Hiscox eRisk HubTM)
Engagement de services avec la mise en œuvre de la réponse à
incident dans les 48 heures en cas de perte ou
violation de données.
Une prise en charge immédiate par des experts informatiques pour
arrêter l’intrusion dans les systèmes de sécurité.
Une prise en charge immédiate par des spécialistes (avocats, agence
de communication de crise, call center) pour gérer les
conséquences financières et sur votre réputation :
- frais de notification, de veille et de remise en service des
systèmes informatiques
- perte de chiffres d’affaires
- frais de négociation en cas d’extorsion

Une prise en charge des réclamations de tiers ou des autorités
administratives au titre de la responsabilité civile de l’entreprise en
cas de perte ou violation de données :
- frais de défense, y compris devant un tribunal pénal
- dommages et intérêts

Une police d’assurance flexible et adaptable aux besoins de
l’activité de l’entreprise.
20
Institutions bancaires
Sociétés de jeux en ligne
Aig - Cyber Edge
Descriptif
Les garanties proposées
•
Le nouveau produit CyberEdge offre une solution aux
diverses conséquences des cyber-risques.
Les fuites et les pertes de données peuvent entraîner
des sanctions réglementaires, entacher
gravement l’image de l’entreprise et remettre en
cause sa pérennité.
Conscient de l’effet domino d’une cyber-crise, AIG
propose une couverture d’assurance intégrant le
conseil de spécialistes.
CyberEdge couvre les principaux risques liés aux
atteintes à la sécurité d’un réseau mais offre
également les services de spécialistes afin d’aider les
assurés à prendre les meilleures décisions en
cas de crise.
La plupart des entreprises ne sont pas assurées
spécifiquement contre les cyber-risques.
•
•
•
•
•
•
Les responsabilités liées aux données => conséquences financières de
perte ou de détournement de données de clients ou d‘employés.
La gestion de crise et l’assistance => frais de consultants permettant de
minimiser et de mettre fin à un cyber-incident (sont compris : les frais
d’expert informatique pour sécuriser votre réseau, les coûts de
notification et de surveillance associés à une atteinte à la protection
des données et les frais de consultant en relations publiques suite à une
atteinte à la réputation des dirigeants et/ou de la société)
Les enquêtes administratives => frais liés à une enquête administrative
ainsi que les sanctions prononcées suite à une violation de la
réglementation relative à la protection des données personnelles.
La restauration des données électroniques => coûts de récupération, de
recollecte ou de reconstitution des données après une fuite ou une
atteinte à la sécurité des données.
L’interruption du réseau (En option) => perte de profit net résultant
d’une interruption matérielle du réseau assuré après une attaque de
déni de service ou une atteinte à la sécurité du réseau.
La responsabilité multimédia (En option) => dommages et frais de
défense engagés en raison d’une violation des droits de propriété
intellectuelle de tiers ou d’une négligence relative aux contenus
électroniques;
La cyber-extorsion (En option) => paiement de rançons à des tiers qui
menacent de divulguer des informations confidentielles piratées via
votre réseau.
21
22
23
Warren Buffet : « It takes twenty years to build a
reputation and five minutes to destroy it ».
24
Démarche de Risk-Management
* Analyse des risques liés à l’e-réputation
* Définition des orientations de politique de gestion de l’eréputation
Toutes les entreprises ne sont pas toutes égales au risque d’eréputation
25
Une mutation des rôles des parties prenantes
7 familles de risques
numériques
1. Stratégique
2. Ethique et juridique
3. Lié au contrôle des SI
4. Lié aux RH
5. Marketing
6. Lié à la
dématérialisation des
rapports humains
7. Périphérique
26
Veille interne ou ST
et outils type
Digimind
Equipe Communication
et Community
Management
Stratégie de
communication
Collective (e-réputation,
top réputation) et
individuelle (console
d’engagement)
Plateforme PCA / SI
27
La gestion du Workflow par le Community
Manager
Console d’engagement Digimind : un lieu unique pour engager la discussion avec
les internautes via les différents comptes sociaux à disposition de l’entreprise
28
La gestion de « l’e-réputation de flux » et la « top réputation »
29
Stratégie juridique
Sensibilisation
interne
30
Sensibilisation
interne
Stratégie de communication
Collective (e-réputation, top
réputation)
31
Les solutions assurantielles pour le particulier
Protection Juridique spécialisée
32
SWISS LIFE
Contrat Optionnel e-réputation
AXA
Inclusion dans contrat de
protection de la famille type GAV
avec Assistanc et PJ
FINAREF
Option dans un contrat Protection
Juridique
GARANTIES DE PROTECTION JURIDIQUE
L’atteinte à l’e-réputation désigne
dénigrement, injures, diffamation,
la diffamation, injure ou
publication via l’Internet de
divulgation illégale de la vie privée
e-réputation
déclarations, d’écrits, de
de l’assuré à l’aide d’une
photographies ou de vidéo
photographie, d’un écrit, d’une
préjudiciables, sans votre
vidéo, d’une déclaration publiée
consentement.
sur un blog, forum de discussion,
réseau social, site web.
L’usurpation d’identité désigne un
usage non autorisé des éléments
d’identification ou
d’authentification de l’identité de
usurpation d'identité
NON
l’assuré par un tiers dans le but de
réaliser une action frauduleuse
entraînant un préjudice pour
l’assuré.
Protection Juridique - plafond d'intervention
10 000 €
10 000 €
indemnisation du Préjudice
5 000 €
Garanties d'ASSISTANCE
OUI
OUI
partenaire spécialiste
reputation squad
reputation squad
identification , suppression ou noyage des sources
OUI
OUI (plafond 5000)
assistance psychologique
NON
OUI
Limite
vie privée uniquement
vie privée uniquement
Prix public TTC
9,90€/mois
13,00€/mois
Coût de la prestation de 'réparation' par spécialiste
200 à 3000 €
200 à 3000 €
NON
OUI
20 000 €
NON
vie privée uniquement
12,50 €/mois
33
* Le marché du particulier entre contrat dédié
optionnel peu vendu
* Coût trop élevé pour des garanties complètes
* Risque d’antisélection
* Inclusion dans des contrats de Protection Juridique
* Risque de dilution des garanties
* Risque d’insuffisance de garanties
* La solution résiderait-elle dans l’Assurance
affinitaire liée aux produits nomades ?
34
Les solutions Assurantielles :
Une solution ‘Care & Cure’ pour
les entreprises: e-réputation
35
AUDIT
E-Reput.
+
Crise
CARE
CURE
Veille eRéputation
Gestion de crise
(incl. Crise e-Réputation)
(module optionnel)
assisteur
Possibilité d’inclure l’audit de eréputation dans l’évaluation du
risque par Generali ?
assureur
assureur
ALERTE
Entreprise
36
* Les garanties « Gestion de la Crise » spécialisées e-réputation
combinant assurance, assistance et protection juridique
* ASSISTANCE  Via le consulting d’experts en gestion de crise (prise en charge
limitée en nombre d’heures) qui mettra en œuvre
* l’intervention d’un prestataire spécialisé qui mettra à la disposition de
l’entreprise ses ressources spécialisées en community management et/ou en
content management
* L’intervention du réseau de prestataires spécialisés Gestion de crise selon la
nature de la crise à traiter (médias off line, accident,…)
* PROTECTION JURIDIQUE  Via la prise en charge du volet juridique si nécessaire
* ASSURANCE  Via une éventuelle indemnisation en pertes pécuniaires
37
38

similar documents