A lire sur: http://www.itchannel.info/articles/140346/cybercriminalite-gestion-risques-pourquoi-assurer.html
Les données, nouvel enjeu de la gestion des risques…
L’émergence de nouvelles formes de menaces ainsi que des règlementations de plus en plus contraignantes dans le domaine de la protection des données, viennent renforcer l’importance d’une bonne gestion des risques.
Nombre d’études font état de l’impact grandissant de la cybercriminalité : 79%[1] des entreprises reconnaissaient en 2011 avoir été victimes de cyber-attaques, sans pour autant disposer de moyens efficaces pour se défendre. Selon l’étude TrustWave menée en 2012, 88% des virus créés dans le but de nuire à une entreprise ne sont pas détectés par les solutions de sécurité existantes.
Ces menaces externes représentent 43%[2] des violations de données. Au niveau interne, 30% des incidents sont liés à la négligence des employés (vols, pertes d’appareils mobiles, erreurs,…), et 27% viennent de défaillances des systèmes.
Le patrimoine informationnel de l’entreprise se trouve, de fait, de plus en plus exposé à des menaces, et donc à des coûts supplémentaires pour l’entreprise. Pour preuve, le coût moyen d’une cyber-attaque en France s’élève à 2,55 millions d’euros[3]. Au delà de cet aspect purement financier, les violations de données ont des impacts indirects tout aussi néfastes, parmi lesquels l’atteinte à laréputation de l’entreprise, la perte de confiance des actionnaires, la perte d’éléments de propriété intellectuelle, ou encore d’avantages concurrentiels. Les conséquences peuvent aller jusqu’à entraîner une entreprise à la faillite : la confidentialité des données est donc aujourd’hui un enjeu majeur.
Se pose dès lors une problématique relative à la gestion de ces données, à laquelle les gouvernements tentent de répondre par un renforcement du cadrerèglementaire, comme le montre le récent livre blanc de la Défense qui va proposer une loi obligeant les entreprises à se doter d'outils de détection et de protection en matière de cybersécurité.
… qui soulève des enjeux stratégiques quant à leur protection…
D’un point de vue assurantiel, une violation de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont manipulées par unepersonne qui n'y est pas autorisée. Ce type d’incident peut impliquer une grande diversité de données : personnelles, bancaires, financières, médicales, commerciales ou encore relatives à la propriété intellectuelle.
La protection des bases de données constitue désormais un réel enjeu puisqu’elle touche tous les échelons de l’entreprise, de ses utilisateurs aux dirigeants. Dans la mesure où les dernières innovations technologiques que sont le Big Data, le Cloud, le BYOD et les réseaux sociaux vont encore accroître l’exposition des entreprises, cet enjeu va devenir de plus en plus stratégique dans les années qui viennent.
Cette tendance est renforcée par des usages internes à l’entreprise, dont les risques sont méconnus et sous-évalués. Ainsi, selon une enquête menée en 2012 par l’éditeur Kaspersky et le cabinet Deloitte,seulement 38% des entreprises comptent mettre en place une politique de gestion des accès pour détecter les attaques. Plus inquiétant encore, 42% des entreprises jugent que le BYOD n’est pas un enjeu de sécurité, et 44% vont jusqu’à autoriser leur personnel à se connecter sans contrôle à leurs réseaux via un PC portable (33% via Smartphone).
Qui plus est, contrairement à ce que l’on pourrait penser, les PME sont plus exposées que les multinationales : leur système de sécurité moins efficient et leur petite taille permettent aux pirates d’agir en toute discrétion. Il est en effet peu probable qu’une attaque informatique ciblant une petite entreprise soit relatée par la presse dans les jours qui suivent. De plus, les PME sont particulièrement nombreuses dans les secteurs les plus sensibles aux vols de données : e-commerce, hôtellerie, transport…
… à laquelle l’assurance est à même d’apporter une réponse
Face aux limites des solutions de sécurité, l’objectif de la gestion des risques est désormais de dépasser le seul cadre des outils techniques pour limiter les conséquences d’une cyber-attaque, d’une part en sensibilisant les entreprises aux risques, et d’autre part en encourageant le transfert de ces risques à l’assurance.
Tout d’abord d’un point de vue opérationnel, il s’agit pour les entreprises de réévaluer leur chaîne de détection et de réaction aux incidents de sécurité, puis de mettre en place un plan de réponse graduée, pour limiter la portée et la durée des violations de données. D’un point de vue culturel ensuite, il faut provoquer une prise de conscience, même des menaces les plus anodines, rendre les entreprises plus vigilantes (en particulier sur l’utilisation de la messagerie électronique), et faire comprendre aux utilisateurs à privilègesélevés qu’ils constituent une cible de choix.
Compte tenu des conséquences possibles à l’heure actuelle, une perte de données peut avoir le même niveau de répercutions qu’un incident industriel. D’où la nécessité pour les entreprises de pouvoir recourir à une offre globale d’assurance et de services, qui intègre à la fois une dimension préventive (prise en charge d’un audit, établissement de recommandations d’amélioration des systèmes de sécurité), et une solution corrective complète pour couvrir les dommages et les frais engendrés (frais de gestion de crise/e-réputation, frais de notification, de veille et d’expertise IT, pertes de revenu subies par l’assuré, négociation avec les pirates en cas d’extorsion).
« Même si la sécurité informatique n’est pas une science exacte, une chose est certaine : aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson, responsable du marché Technologie-Media-Télécom (TMT) chez Hiscox en France.
[1]State of Security McAffe 2011
[2]Etude Symantec Mars 2012
[3]2012 State of Information Report, Symantec, mars 2012
Lundi 22 Avril 2013
L’émergence des nouvelles problématiques que sont la cybercriminalité,
le vol et la perte de données soulève de nombreuses interrogations en
matière de gestion des risques. Hiscox animait justement un atelier
consacré à ce sujet dans le cadre du dernier Forum DIMO qui s’est tenu à
Lyon, le 11 avril 2013. En voici les principaux enseignements.Les données, nouvel enjeu de la gestion des risques…
L’émergence de nouvelles formes de menaces ainsi que des règlementations de plus en plus contraignantes dans le domaine de la protection des données, viennent renforcer l’importance d’une bonne gestion des risques.
Nombre d’études font état de l’impact grandissant de la cybercriminalité : 79%[1] des entreprises reconnaissaient en 2011 avoir été victimes de cyber-attaques, sans pour autant disposer de moyens efficaces pour se défendre. Selon l’étude TrustWave menée en 2012, 88% des virus créés dans le but de nuire à une entreprise ne sont pas détectés par les solutions de sécurité existantes.
Ces menaces externes représentent 43%[2] des violations de données. Au niveau interne, 30% des incidents sont liés à la négligence des employés (vols, pertes d’appareils mobiles, erreurs,…), et 27% viennent de défaillances des systèmes.
Le patrimoine informationnel de l’entreprise se trouve, de fait, de plus en plus exposé à des menaces, et donc à des coûts supplémentaires pour l’entreprise. Pour preuve, le coût moyen d’une cyber-attaque en France s’élève à 2,55 millions d’euros[3]. Au delà de cet aspect purement financier, les violations de données ont des impacts indirects tout aussi néfastes, parmi lesquels l’atteinte à laréputation de l’entreprise, la perte de confiance des actionnaires, la perte d’éléments de propriété intellectuelle, ou encore d’avantages concurrentiels. Les conséquences peuvent aller jusqu’à entraîner une entreprise à la faillite : la confidentialité des données est donc aujourd’hui un enjeu majeur.
Se pose dès lors une problématique relative à la gestion de ces données, à laquelle les gouvernements tentent de répondre par un renforcement du cadrerèglementaire, comme le montre le récent livre blanc de la Défense qui va proposer une loi obligeant les entreprises à se doter d'outils de détection et de protection en matière de cybersécurité.
… qui soulève des enjeux stratégiques quant à leur protection…
D’un point de vue assurantiel, une violation de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont manipulées par unepersonne qui n'y est pas autorisée. Ce type d’incident peut impliquer une grande diversité de données : personnelles, bancaires, financières, médicales, commerciales ou encore relatives à la propriété intellectuelle.
La protection des bases de données constitue désormais un réel enjeu puisqu’elle touche tous les échelons de l’entreprise, de ses utilisateurs aux dirigeants. Dans la mesure où les dernières innovations technologiques que sont le Big Data, le Cloud, le BYOD et les réseaux sociaux vont encore accroître l’exposition des entreprises, cet enjeu va devenir de plus en plus stratégique dans les années qui viennent.
Cette tendance est renforcée par des usages internes à l’entreprise, dont les risques sont méconnus et sous-évalués. Ainsi, selon une enquête menée en 2012 par l’éditeur Kaspersky et le cabinet Deloitte,seulement 38% des entreprises comptent mettre en place une politique de gestion des accès pour détecter les attaques. Plus inquiétant encore, 42% des entreprises jugent que le BYOD n’est pas un enjeu de sécurité, et 44% vont jusqu’à autoriser leur personnel à se connecter sans contrôle à leurs réseaux via un PC portable (33% via Smartphone).
Qui plus est, contrairement à ce que l’on pourrait penser, les PME sont plus exposées que les multinationales : leur système de sécurité moins efficient et leur petite taille permettent aux pirates d’agir en toute discrétion. Il est en effet peu probable qu’une attaque informatique ciblant une petite entreprise soit relatée par la presse dans les jours qui suivent. De plus, les PME sont particulièrement nombreuses dans les secteurs les plus sensibles aux vols de données : e-commerce, hôtellerie, transport…
… à laquelle l’assurance est à même d’apporter une réponse
Face aux limites des solutions de sécurité, l’objectif de la gestion des risques est désormais de dépasser le seul cadre des outils techniques pour limiter les conséquences d’une cyber-attaque, d’une part en sensibilisant les entreprises aux risques, et d’autre part en encourageant le transfert de ces risques à l’assurance.
Tout d’abord d’un point de vue opérationnel, il s’agit pour les entreprises de réévaluer leur chaîne de détection et de réaction aux incidents de sécurité, puis de mettre en place un plan de réponse graduée, pour limiter la portée et la durée des violations de données. D’un point de vue culturel ensuite, il faut provoquer une prise de conscience, même des menaces les plus anodines, rendre les entreprises plus vigilantes (en particulier sur l’utilisation de la messagerie électronique), et faire comprendre aux utilisateurs à privilègesélevés qu’ils constituent une cible de choix.
Compte tenu des conséquences possibles à l’heure actuelle, une perte de données peut avoir le même niveau de répercutions qu’un incident industriel. D’où la nécessité pour les entreprises de pouvoir recourir à une offre globale d’assurance et de services, qui intègre à la fois une dimension préventive (prise en charge d’un audit, établissement de recommandations d’amélioration des systèmes de sécurité), et une solution corrective complète pour couvrir les dommages et les frais engendrés (frais de gestion de crise/e-réputation, frais de notification, de veille et d’expertise IT, pertes de revenu subies par l’assuré, négociation avec les pirates en cas d’extorsion).
« Même si la sécurité informatique n’est pas une science exacte, une chose est certaine : aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson, responsable du marché Technologie-Media-Télécom (TMT) chez Hiscox en France.
[1]State of Security McAffe 2011
[2]Etude Symantec Mars 2012
[3]2012 State of Information Report, Symantec, mars 2012
Aucun commentaire:
Enregistrer un commentaire