verlingue infos · en france ( source : symantec). et les chiffres, même s’ils diffèrent selon...
TRANSCRIPT
Courtier en assurances spécialisé
dans la protection des entreprises
Numéro 019
Novembre 2013
Edito
SOMMAIRE
Cybercriminalité :ce qu’il faut retenir
SYSTÈMES D’INFORMATIONS
La cybercriminalité n’est pas un phénomène de mode. Son coût est estimé à 2,5 Mds € en France (source : Symantec). Et les chiffres, même s’ils diffèrent selon les sources, n’en restent pas moins inquiétants…
Ce n’est donc pas par hasard si ce sujet fait partie des priorités en termes de gestion de risques au sein des entreprises (cf. interview d’Anne-Marie Fournier, Vice-Présidente de l’AMRAE*, dans notre numéro d’avril 2012).
Ce numéro de Verlingue Infos vous apporte un regard sous différents angles sur la cybercriminalité.
Dans la rubrique Actualités, vous découvrirez les lauréats du Prix de l’Entrepreneur 2013 qui ont été récemment récompensés, tant en régions qu’au niveau national.
Je vous souhaite une bonne lecture de cette nouvelle édition du Verlingue Infos.
Jacques Verlingue
* Association pour le Management des Risques et des Assurances de l’Entreprise
infosVerlingue
Cybercriminalité : ce qu’il faut retenir p. 1
Parole d’expert p. 2 et 3
Actualité p. 4
Fiche Technique :Cybercriminalité : illustrations et questions clés
www.verlingue.fr
En matière de cyberattaque, la question n’est plus de savoir si vous allez vous faire pirater mais... à quel moment !
En quelques années, les attaques informatiques se sont multipliées et diversifiées. Aucune cible n’est épargnée : Nations, particuliers et entreprises.
Ainsi, en France, 79 % des entreprises ont été victimes de cyberattaques au cours des 12 derniers mois*. Et 50 % de ces attaques ont visé les PME et ETI, leurs systèmes d’informations étant plus vulnérables que ceux des grandes entreprises.
* Source : Symantec
Suite en page 2
À quoi correspondent précisément les cyber-risques ?
Les cyber-risques regroupent l’ensemble des conséquences financières supportées par une entreprise à la suite d’une défaillance, d’une mauvaise utilisation ou d’un piratage de ses systèmes d’informations.
Les réseaux ont rendu les attaques plus simples et plus rapides ; quelques clics suffisent désormais pour faire transiter plusieurs millions d’euros entre deux comptes bancaires !
Concrètement, ils peuvent viser :
L’espionnage informatique
Le piratage d’un site internet
L’indisponibilité des serveurs à la suite d’un sabotage ou d’un déni de service
Le sabotage d’une chaîne de production
Le racket (les hackers menacent d’endommager le système d’informations si une somme ne leur est pas versée)
Et, plus couramment, le vol ou la perte de données sensibles, qu’elles soient à caractère personnel (état civil), bancaire (cartes de crédit), médical (données patients), commercial (contrats, données clients) ou stratégique (propriété intellectuelle, données de production)
À titre personnel, qui n’a pas encore fait l’objet de fishing (technique visant à obtenir des données personnelles ou bancaires en se faisant passer par un tiers de confiance) ? Ou reçu sur son téléphone mobile un message l’invitant à cliquer sur un lien ou à appeler un numéro inconnu afin d’écouter un message laissé à son attention ?
Y a-t-il des secteurs plus sensibles ?
Pour les dix années à venir, peu d’experts se risquent à déterminer l’ordre prioritaire des secteurs qui seront impactés.
La finance et le commerce électronique sont toujours cités en premier en raison de leur fort attrait lucratif et des milliers d’attaques dont ils font l’objet chaque année pour récupérer les codes, mots de passe et numéros de cartes bancaires.
Mais tous les secteurs sont concernés, quelle que soit la taille des structures. Le secteur de la Santé, qui a connu en 2009 la contamination d’appareils médicaux par le virus Conficker, en est la parfaite illustration.
Des conséquences souvent très lourdes…
Les cyberattaques engendrent des pertes importantes, d’autant plus si le risque n’a pas été suffisamment appréhendé : la production peut s’arrêter plusieurs jours, parfois plusieurs semaines…
Il faut, selon les cas et en urgence :
Reconstituer les données perdues
Faire appel à des experts en informatique ou en gestion de crise
Informer s’il y a lieu les autorités concernées et les victimes NB. : depuis la directive européenne du 25 novembre 2009, les
fournisseurs d’accès à internet et les opérateurs télécoms sont obligés de notifier au régulateur et aux personnes concernées les incidents de sécurité et les violations de données à caractère personnel. La Commission Européenne envisage d’étendre cette obligation de notification à toutes les entreprises stockant des données personnelles.
SYSTÈMES D’INFORMATIONS
Vous êtes précurseur dans votre profession dans l’intérêt porté à la cybercriminalité… Quel a été l’élément déclencheur ?
« En 2008, une des entreprises clientes du Cabinet s’est fait voler un fichier numérique comportant les données de deux millions de ses clients,
avec un préjudice estimé à 1,7 M€. Bien que disposant d’une Direction juridique, les questions du dirigeant ont été multiples : que faire ? À
qui s’adresser ? Quel risque pénal à titre personnel et pour ma société ? Avant d’agir, nous avons réalisé une cartographie des risques. En
effet, il fallait s’assurer, avant toute démarche auprès des autorités, que la situation n’allait pas se retourner contre l’entreprise. Ainsi, nous
avons contrôlé avec la DSI le niveau de sécurité du système d’informations, examiné le process d’habilitation des collaborateurs sur les fichiers
clients, vérifié les déclarations réalisées auprès de la CNIL… Nos interventions auprès des services de police et de gendarmerie ont ensuite
permis de faire opérer des perquisitions, d’identifier les voleurs (des salariés indélicats…) et de réparer le dommage tout en préservant avant
tout la réputation de l’entreprise. »
Quelle est l’actualité qui doit alerter les chefs d’entreprise ?
« Aujourd’hui, le sujet numéro un est la protection des données personnelles. Les cybercriminels sont organisés, avec des tactiques qui,
bien que parfois grossières, marchent ! On peut citer notamment l’usurpation d’identité d’un dirigeant ou d’un DAF qui demande un prétendu
envoi de fonds à l’étranger pour réaliser une opération d’investissement. La difficulté réside dans la propagation des attaques. Par ailleurs,
les entreprises manquent de rigueur dans le contrôle de la création au quotidien de leurs fichiers (RH, clients…), ne sont pas à jour de leurs
PAROLE D’EXPERT
Maître Emmanuel Daoud,associé au sein du Cabinet d’avocats Vigo
Engager des frais juridiques
Notifier aux clients la perte potentielle de données sensibles et indemniser les dommages qu’ils ont subi
Gérer des tentatives d’extorsion ou de demandes de rançon
Sans compter l’effet « domino » de la cyberattaque : atteinte à la réputation de l’entreprise, perte de clientèle…
Certaines entreprises ont essayé de contourner la difficulté en externalisant leurs systèmes d’informations. Dans bien des cas, cela a été un facteur aggravant car les contrats d’externalisation ne précisaient pas (ou insuffisamment) où et comment étaient stockées les données.
De nouveaux visages pour la cybercriminalité
Les cybercriminels changent régulièrement de tactique. Aujourd’hui, ils ciblent les plateformes mobiles qui sont en plein essor, ainsi que les réseaux sociaux dont les usagers sont moins conscients des risques en termes de sécurité.
La mobilité, et plus spécifiquement le nomadisme, facilite l’action des cybercriminels : les appareils mobiles (smartphones, tablettes) regorgent d’informations, et les systèmes d’informations sont fragilisés par la généralisation des accès distants. Sur un réseau ouvert ou non-crypté de type borne Wifi, les informations qui sont reçues ou envoyées via internet (sites web consultés, identifiants mots de passe saisis, mails envoyés, comptes accédés…) deviennent facilement interceptables par n’importe quelle autre personne connectée au même réseau. Les lieux d’action privilégiés des cybermalfaiteurs sont ainsi les hôtels, les restaurants, les aéroports et les gares ! Ils utilisent deux techniques.
Soit ils capturent les informations en vue de les utiliser ou de les revendre sur des marchés spécialisés. Soit ils font apparaître sur l’écran des utilisateurs des fenêtres pop-up qui proposent un bouton « Installer » sous forme de mises à jour Flash ou PDF ; si l’utilisateur naïf ou distrait clique dessus, un virus ou logiciel espion est aussitôt introduit dans le système…
Le problème est intensifié avec la pratique du « BYOD - Bring your own device » qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel. Cette tendance pose des questions sociales et juridiques, et également en termes de sécurité de l’information. Et ce n’est pas anodin… 71 % des collaborateurs utiliseraient à titre professionnel des solutions non mises à disposition par leur entreprise ! (source : Markess International)
Il y a également ce que l’on appelle l’« Ingénierie sociale » qui repose avant tout sur le facteur humain : les cybercriminels exploitent l’abondance d’informations personnelles disponibles sur les sites de réseaux sociaux (Facebook, Twitter, LinkedIn, Viadéo…), pour cibler leurs attaques sur les individus clés au sein des entreprises visées. Leur objectif est d’obtenir de façon frauduleuse des informations stratégiques en faisant semblant de sympathiser avec le collaborateur d’une entreprise « cible » ou en utilisant un profil de façon illicite. Peu coûteuse à mettre en œuvre, l’ingénierie sociale s’épanouit dans une période de crise économique où les cybercriminels cherchent également à assurer le R.O.I. de leurs activités...
Et ces nouvelles techniques ne relèvent pas du mythe : en France, un internaute majeur sur dix aurait été victime de l’une des ces attaques en 2012 !
déclarations auprès de la CNIL et s’exposent donc à des peines d’amende et à un préjudice réputationnel.
Demain, c’est le « Big Data » qui sera le thème clé. Le Big Data permet l’interconnexion de fichiers d’origines diverses qui, après avoir été
mélangés, reclasse les données en fonction des attentes des utilisateurs. Or, ce qui est la colonne vertébrale de la sécurité des données
personnelles est la finalité des fichiers. Avec le Big Data, si les fichiers sont identifiés avec une finalité précise en entrée, ils sont restructurés
avec une finalité pas toujours définie (loin s’en faut) en sortie. La difficulté réside dans le fait que les opérateurs prennent des libertés, tant
en termes de sécurité qu’en termes de déclaration auprès des autorités. Une recommandation : restez en veille par rapport aux prochaines
règlementations relatives aux données personnelles. Si le prochain règlement européen est adopté, il sera d’application immédiate. Et dans
tous les cas, les pouvoirs de la CNIL vont continuer de s’amplifier, ainsi que les sanctions financières associées…»
Quel premier conseil donner aux chefs d’entreprise ?
« Dans 90 % des entreprises, le dirigeant ne s’intéresse à la cybercriminalité que lorsque la réputation de l’entité ou de la marque est susceptible
d’être mise en cause, ou lorsqu’il est lui-même victime directe. Aussi, anticipez en vous posant quelques questions simples : combien de
temps personnel ai-je consacré à la protection des données ? La cartographie des risques de l’entreprise est-elle à jour sur cette thématique ?
En cas de cyberattaque, la procédure interne de gestion de crise est-elle adaptée ? L’entreprise sait-elle quels sont les services d’enquête
auxquels nous pouvons nous adresser pour protéger au mieux nos actifs ? »
ACTUALITÉ
Directeur de la publication : Eric Maumy - Responsable de la rédaction : Valérie Leprovost - Imprimeur : Cloître Imprimeurs ZA Voie express RN 12 29800 Saint-Thonan - Date de parution et de dépôt légal : novembre 2013 - N° ISSN : 2106 - 5144
Siège social : 12 rue de Kerogan - CS 44012 - 29335 QUIMPER Cedex Tel 0 820 260 260 (0,118 € TTC/mn) Fax 0 820 209 242 / SAS au capital de 2 083 498 € au 01.12.13 / Code APE 6622 Z / Siren 440 315 943 RCS QUIMPER / Numéro
Orias : 07 000 840 - www.orias.fr Sous le contrôle de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) 61 rue Taitbout 75009 PARIS.
Verlingue : le goût d’entreprendre
Le Prix de l’Entrepreneur de l’Année EY - Groupe L’Express distingue des femmes et des hommes qui démontrent chaque jour qu’il est possible de conquérir de nouveaux territoires, d’innover et de créer de la valeur.
L’esprit entrepreneurial fait partie de l’ADN de Verlingue. Aussi, nous sommes heureux d’être partenaire du Prix de l’Entrepreneur pour la deuxième année consécutive.
Jacques Verlingue remettant à Patrick Daher le Prix de l’Entreprise Familiale
Les partenaires aux côtés de l’ensemble des lauréats lors de la Cérémonie nationale
The Winner is...
Toutes nos félicitations à l’entreprise strasbourgeoise Soprema qui a été récompensée tant par le jury régional (Prix de l’Entrepreneur + Prix de l’Entreprise Internationale) que par le jury national (Prix de l’Entrepreneur).
Bravo également à l’ensemble des entreprises qui ont été récompensées par le Prix de l’Entrepreneur 2013 en régions :
Grand Ouest : Armor
Ile de France : Manutan
Nord : Florimond Desprez
PACA : Esker
Sud Ouest : Figeac Aéro
Méditerranée : JMB Energie
Ainsi qu’à l’ensemble des entreprises lauréates des différents autres Prix lors des cérémonies : Prix de l’Entreprise Internationale, Prix de l’Entreprise d’Avenir, Prix de l’Innovation, Prix du Business Vert, Prix de l’Engagement Sociétal...