Quelles sont les principales obligations légales en matière de sécurité ?
Comment intégrer la cybersécurité dans les processus juridiques ?
Comment gérer les incidents de sécurité ?
Quelles sont les solutions d’assurance disponibles sur le marché ?
par Alexandre CRUQUENAIRE, Thomas ESPEEL, Alexandre CASSART, Anne-Sophie COPPENS (Cyber Practice Leader BELUX, Marsh).
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
1. Cyberattaque – Comment se préparer et bien
s’assurer ?
Alexandre CRUQUENAIRE - Lexing
Alexandre CASSART - Lexing
Thomas ESPEEL – Lexing
Anne-Sophie COPPENS – Marsh
2. https://lexing.be/academie/earlegal/
Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Larcier et Lexing - Belgium
Un fil rouge - Quatre questions
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines
plus tard : https://creactivity.lexing.be/earlegal/
2
5. https://lexing.be/academie/earlegal/
Larcier / Lexing
4 questions
5
Quelles sont les principales obligations légales en matière de
sécurité ?
Comment gérer les incidents de (cyber-)sécurité ?
Comment intégrer la cybersécurité dans les processus
juridiques ?
Quelles sont les solutions d’assurance disponibles sur le
marché ?
6. Larcier / Lexing https://lexing.be/academie/earlegal/
Quelles sont les principales
obligations légales en matière de sécurité ?
6
7. https://lexing.be/academie/earlegal/
Larcier / Lexing
La double nature des règles relatives à la cybersécurité
7
La réglementation relative à la cybersécurité se compose de:
- textes de portée horizontale, dédiés à la problématique de la
sécurité, et
- dispositions particulières intégrées dans des textes relatifs à
d’autres sujets, mais soumis à des risques de cybersécurité
8. https://lexing.be/academie/earlegal/
Larcier / Lexing
La double nature des règles relatives à la cybersécurité
8
Règles transversales/ horizontales :
le Règlement 2016/679 du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à
caractère personnel (RGPD).
la Directive 2016/1148 du 6 juillet 2016 concernant des mesures
destinées à assurer un niveau élevé commun de sécurité des
réseaux et des systèmes d'information dans l'Union (NIS)
Règles spécifiques :
le Règlement 2014/910 sur les services de confiance (eIDAS)
la Directive 2015/2366 relative aux services de paiement (DSP 2)
Quelques exemples:
10. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
10
Obligations de
nature préventive
Les obligations préventives sont souvent
définies par une référence explicite au
niveau de risques et à une exigence de
proportionnalité des mesures adoptées
aux risques de sécurité concernés.
Par exemple:
• mise en œuvre de mesures
techniques et organisationnelles
nécessaires et proportionnées ;
• obligation d’accountability ;
• principe du « security-by-design » /
« compliant-by-default »
11. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
11
Approche par les risques (article 32 RGPD)
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de
la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de
probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le
responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y
compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la
résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique
ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des
mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
12. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
12
Quelques mesures concrètes:
Sensibiliser les utilisateurs ;
Authentifier les utilisateurs (surtout accès externes MFA);
Gérer les habilitations ;
Tracer les accès ;
Sécuriser les postes de travail ;
Protéger le réseau informatique interne ;
Sécuriser les serveurs et les sites web ;
Prévoir des back-up ;
Archiver de manière sécurisée ;
Encadrer la maintenance et la destruction des données ;
Gérer la sous-traitance ;
Protéger les locaux ;
Chiffrer, garantir l’intégrité ou signer ;
…
13. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
13
Obligations de
nature curative
Quatre principaux types d’obligations
relatives au suivi d’un incident de
sécurité :
• obligation de mettre en place des
procédures de gestion et suivi des
incidents ;
• obligation d’analyse post-incident et
d’adoption de mesures
d’atténuation;
• obligation de réparer les
conséquences dommageables de
l’incident ;
• obligation de notifier l’incident à une
autorité de contrôle et/ou aux
personnes potentiellement affectées
par les conséquences de l’incident.
14. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
14
• Obligations « indirectes » de sécurité
• Interdiction de certaines pratiques créant un risque de sécurité
• Ex.: principes de minimisation des données et de limitation de durée de
conservation des données (RGPD) ces principes ont une incidence sur
les risques de sécurité (préjudice potentiel réduit)
• Promotion de services présentant un niveau de sécurité plus élevé
• Ex.: valeur juridique plus forte pour les services « avancés » et « qualifiés »
dans Règlement eIDAS incitant juridique à prendre en compte l’aspect
cybersécurité
• Le maillon le plus faible détermine le niveau de sécurité de toute la chaîne
Nécessité de prendre en compte toute la chaîne d’approvisionnement
Dimension intégrée dans les textes les plus récents (Règlement IA, proposition
Directive NIS2 par ex.)
Importance de la gestion des contrats
15. https://lexing.be/academie/earlegal/
Larcier / Lexing
Portée des obligations en matière de cybersécurité
15
En conclusion:
• Importance fondamentale de la gestion des risques toute réflexion en matière de
sécurité commence par une solide analyse des risques
• Identification des risques + définition des points critiques/priorités
• Plan de gestion des risques
• Mesures préventives/d’atténuation des risques (diminuer la probabilité de
survenance; diminuer les conséquences du risque « si »)
• Report des risques sur des tiers lorsque possible contrats avec les
fournisseurs/clients, assurances
• L’approche par le risque rend la documentation cruciale !
• Illustrations
gestion des incidents de sécurité
dispositions contractuelles spécifiques
Assurance cyber-risques
16. Larcier / Lexing https://lexing.be/academie/earlegal/
Comment gérer les incidents
de (cyber-)sécurité ?
16
17. https://lexing.be/academie/earlegal/
Larcier / Lexing 17
“There are only two types of companies: those that have
been hacked and those that will be. And even they are
converging into one category: companies that have
been hacked and will be hacked again.”
Robert S. Mueller, III
Introduction
20. https://lexing.be/academie/earlegal/
Larcier / Lexing
Cyberattaque : comment réagir ?
20
Identifier l’incident et enclencher les procédures internes
de traitement d’incident
• Prendre les mesures techniques nécessaires permettant:
- d’identifier la cause de l’incident ; et
- de minimiser les conséquences
Security
Breach
Management
Policy
Business
Continuity
Plan (BCP)
Disaster
Recovery
Plan (DRP)
24. https://lexing.be/academie/earlegal/
Larcier / Lexing
RGPD
24
• Obligation ou non de notifier?
Si risque pour les droits et libertés des personnes physiques
Guide : lignes directrices 250.rev01 du CEPD (ancien groupe 29)
• Respect délai 72 h
APD
(si risque)
Personnes
concernées
(si risque ELEVE)
24
25. https://lexing.be/academie/earlegal/
Larcier / Lexing
Directive NIS et loi belge du 7 avril 2019
25
CSIRT national
Autorité
sectorielle/CSIRT
sectoriel
CCB
Opérateur de services essentiels (OSE) Fournisseur de service numérique (FSN)
Sans retard
Incident ayant un impact significatif sur la
disponibilité, la confidentialité, l’intégrité ou
l’authenticité des réseaux et des services
d’information
Incident ayant un impact négatif sur la fourniture
d’un service numérique
Obligation même si l’opérateur ne dispose que
d’une partie des informations pertinentes pour
évaluer le caractère significatif de l’impact de
l’incident
Obligation? Seulement si fournisseur a accès aux
informations nécessaires pour évaluer l’impact de
l’incident
26. https://lexing.be/academie/earlegal/
Larcier / Lexing
Synthèse
4
RGPD NIS
72 h Sans retard
Si risque : À l’APD
Si impact significatif/négatif :
- au CSIRT national;
- à l’autorité sectorielle ou à son CSIRT
sectoriel
- au CCB
Si risque élevé : aux personnes concernées /
Sanctions administratives et pénales Sanctions administratives ou pénales
Formulaire en ligne sur site APD Plate-forme de notification
29. https://lexing.be/academie/earlegal/
Larcier / Lexing 29
Communication en cas
d’incident de
cybersécurité
Identification des parties
prenantes
- Internes, ex. direction,
employés, etc.
- Externes, ex. clients,
fournisseurs, médias, etc.
- Institutionnelles, ex. APD,
CCB (CERT.be), police,
autorité sectorielle, etc.
Identification des objectifs
de la communication
CCB, Cybersécurité – Guide de gestion des incidents, p. 18,
Cyberattaque : comment réagir ?
« Need to know »
33. https://lexing.be/academie/earlegal/
Larcier / Lexing
Plan(s) de gestion des incidents
33
• Procédure de gestion des incidents (« Security Breach Management Policy »)
• Procédure en cas de violation des données (« Data Breach Procedure » ou « DBP »)
• Plan de continuité d’activités (« Business Continuity Plan » ou « BCP »)
• Plan de reprise d’activités (« Disaster Recovery Plan » ou « DRP »)
35. https://lexing.be/academie/earlegal/
Larcier / Lexing
Contractualisation en amont
35
• EMPLOYÉS :
• Clauses de confidentialité / traitements de données
• Politique de sécurité de l’information / Charte IT
• ! Au respect des normes de droit social (ex. CCT 81, 68, 89)
• FOURNISSEURS ET PRESTATAIRES
• Clauses de confidentialité / traitements de données
• Exigences de niveaux de service (pénalités)
• Backup et BCP/DRP
• Audit
• CLIENTS
• Limitation de responsabilité (plusieurs angles possibles)
• Définition du périmètre et du niveau de service
• Collaboration et obligations à charge du client
• ! Au droit de la consommation s’il s’applique
36. https://lexing.be/academie/earlegal/
Larcier / Lexing
Fournisseurs et prestataires
36
• Evaluation du caractère critique
• Exigences renforcées quand critique
• Niveau de service (SLA) contraignant - Pénalités
• Localisation et sauvegarde des données
• Droits d’accès (granularité)
• Migration
• Audit
• Prévoir des clauses d’audit
• En réaliser (e.g. pentesting) + feedback
• Vérifier la documentation (DRP, BCP, …)
• Analyse des incidents et feedback
• Prévoir évolution des technologies et impact sur le prix
• ! Pas toujours possible de négocier Analyse de risque
37. https://lexing.be/academie/earlegal/
Larcier / Lexing
Conclusions
37
• Documentation dans les processus internes
• Prête
• Connue
• A jour
• Simple
• Contractualisation
• Clarifier le cadre règlementaire applicable
• Identifier les fournisseurs/clients/employés critiques
• Intégrer la réflexion cybersécurité dans le cycle de vie
contractuel
• Analyse de risque et prises de mesures
41. https://lexing.be/academie/earlegal/
Larcier / Lexing
Sondage
4
Quelle est votre position par rapport à l’assurance
« cyber risque » ?
• Je sais que ce type d’assurance existe mais n’en connais
pas bien les détails.
• J’en connais les caractéristiques mais n’envisage pas d’en
souscrire une.
• Je suis dans le processus de placement.
• Je dispose de ce type d’assurance.
43. https://lexing.be/academie/earlegal/
Larcier / Lexing
3rd Party
Liability
Loss of
Turnover
Additional
Costs
Cyber Event
Impact
Consequence
Resulting in:
Property Damage Bodily Injury
“Non-physical
cyber”
“Physical cyber”
Integrity issues Availability issues
Confidentiality
issues
TECHNOLOGY (incl. IT & OT) & DATA
(in-house or outsourced)
Accidental Event
Malicious Attacks
Resulting in: Resulting in:
Fund
embezzlement
Cyber insurance Crime insurance
Assets Loss of
Turnover
Property insurance ? Casualty insurance ?
3rd party
liability
Leading to losses/claims: Leading to losses/claims:
No Property or bodily injury
Resulting in:
Comprendre l'impact et les conséquences d'un
événement cyber
43
44. https://lexing.be/academie/earlegal/
Larcier / Lexing
Qu'est-ce qui peut être couvert par l’assurance cyber ?
IT Malicious
Attacks
Breach of
Personal Data
IT Accident
Insurance
• Loss of Turnover
• Additional costs:
investigation,
restauration,
ransom &
negotiation costs,
notification, PR,
legal advice,
insurable fines, …
• Third party claims
Prevention
• Tips to increase
cybersecurity
• Crisis
management
exercise
• Etc.
Assistance
24/7/365 hotline
• Forensics experts
• Legal experts incl.
data breach experts
• PR experts
• Etc.
44
46. https://lexing.be/academie/earlegal/
Larcier / Lexing
Situation du marché et facteurs de risque
Les primes dépendront fortement de :
- de l'industrie
- de la quantité de données et de la typologie des données
- des zones géographiques concernées
- de l'architecture IT et de sa sécurité : ségrégation,
procédures de sauvegarde (back-up), règles
d’encryptage, gestion des accès (physical and IT, authentication (MFA),
…), …
- l'existence d'un BCP (Business continuity plan), d'un DRP (disaster recovery plan) et des
leçons tirées des expériences passées/de l'historique des pertes
- le niveau de sensibilisation et de maturité, y compris pour le personnel (formation,
processus RH, ...)
analyse holistique, pas seulement sur les aspects purement technologiques de l'IT
La capacité globale du marché se réduit, avec moins de
concurrence sur les premiers rangs, et des assureurs qui
examinent le risque très attentivement. La capacité
moyenne des assureurs se situe entre 5 et 10 M € par police.
Enorme focus sur les attaques par ransomware.
46
47. https://lexing.be/academie/earlegal/
Larcier / Lexing
Aperçu du marché de l’assurance cyber
Pricing & Terms Claims Underwriting
Rates Limits /
Coverage
Frequency Severity Information
Needs
Carrier
Flexibility
Steady price increase
across all Cyber
markets globally*.
Carriers have begun
restricting total
exposed limits and
ransomware-related
coverages.
Ransomware is more
accessible for bad
actors. Short tail
nature of losses is
changing insurer
profitability weekly.
Average downtime
from ransomware is
up 53% YoY to 19
days. Demands is in
the millions.
Full application &
responses to
ransomware Q’s.
Non-invasive scans
for vulnerabilities is
common.
Ransomware
responses required
prior to quoting.
Third party scans
may lead to
remediation
requests.
Buyer Friendly Neutral Insurer Friendly
Future Expectations
Anticipate increases to accelerate into the
2nd half of the year, with some clients
witnessing increases in excess of 75%.
Future Expectations
Ransomware attacks will continue to
increase in sophistication & more often
include data exfiltration.
Future Expectations
Underwriters will demand additional
information to assess risk and may
further restrict cover for systemic loss.
*Regional detail follows
Aperçu du marché de l’assurance cyber
47
48. Key facts
Durcissement violent depuis 2020
• Après 18 mois de durcissement des conditions,
les assureurs continuent d'accroître la pression
• Court terme: les réclamations pour ransomware
continuent de frapper les assureurs
• PE (perte d’exploitations) & les coûts sont au cœur de
l'attention
Nouvelles restrictions de couverture depuis 2021
• Remboursement des rançons : un sujet politique - voir .
AXA France
L’information sur la souscription est focalisée sur ce
thème
• Moyen terme: risque systémique et supply chain
• Croissance de la fréquence pour ces événements (MS
Exchange, Solarwind…)
Restrictions de couverture supplémentaires (guerre, infrastructure,
Chubb new approach)
• En moyenne, la maturité de la sécurité informatique
est vue comme étant faible par les assureurs
• Faible réaction des entreprises en cas de cyberattaques
(ex: MS exchange patched late)
• Les assureurs cherchent à réduire la volatilité sur la
fréquence des cas de ransomware ( ex : franchise ?)
Un marché
très difficile
La cyberassurance sera une
branche d'activité très
étendue, accessible
uniquement à ceux qui ont
un diagnostic avec risque
maîtrisé.
Capacité/couverture en
baisse
Augmentation de la
franchise
Mais pas de prévision de
sortie du marché
49. https://lexing.be/academie/earlegal/
Larcier / Lexing
PME vs grandes sociétés - approche recommandée
Segment des PME (chiffre d'affaires inférieur à 100M et pas dans
un secteur d'activités à haut risque cybernétique) : moins de
questions, approche simplifiée car l'engagement de l'assureur est
beaucoup plus faible.
Grandes entreprises et secteurs critiques (institutions financières,
soins de santé, sociétés de vente en ligne, ...): une souscription
détaillée est requise.
démarrer 6-9 mois à l’avance de l’échéance (s’il s’agit d’un
renouvellement d’un contrat) par la collecte des données
Cela permet d’avoir le temps de réagir et implémenter des mesures
correctrices, d’adapter les budgets, et aborder un large panel
d’assureurs
49
50. Cyber Self-Assessment tool
Results are presented using the five traditional
NIST CSF functions: Identify, Protect, Detect,
Respond, and Recover, and can be used as a
diagnostic for all stakeholders in the firm.
3
The Cyber Self-Assessment is built using key
elements from multiple cybersecurity
frameworks, including the NIST CSF, CIS CSC-
20, and ISO 27001.
2
The Cyber Self-Assessment provides a maturity
analysis of an organization’s cybersecurity
program based on user responses.
1
To be completed by an oral discussion with the
candidate insurers (Market meeting)
4
51. • Cyber incident
response
planning and
testing
• Cybersecurity
awareness
training and
phishing testing
• Logging and
monitoring/net
work
protections
• Hardening
techniques,
including Remote
Desktop Protocol
(RDP) mitigation
• End-of-life
systems
replaced or
protected
• Vendor/digital
supply chain risk
management
Note: Each insurance carrier has their own specific control requirements that may differ by company revenue size & industry class.
Top Cybersecurity Controls
Multifactor
authentication for
remote access and
admin/privileged
controls
Patch management and
vulnerability
management
Email filtering and web
security
Privileged Access
Management (PAM)
Secured, encrypted, and
tested backups
Endpoint Detection and
Response (EDR)
!
53. https://lexing.be/academie/earlegal/
Larcier / Lexing
Conclusion
Les solutions d’assurance offrent une réelle plus value à la
société assurée:
Moyens financiers qui lui permettent de faire face en cas d’incident
Accès à de l’expertise, tant sur le plan de la prevention que de la gestion
de crise
Le processus de souscription permet de réaliser le niveau de maturité de sa
société et de détecter les axes d’amelioration
L’assurance cyber devient plus stricte dans ses conditions
d’acceptation.
Pour y accéder, le candidat assuré doit satisfaire à des exigences
minimales.
La prevention reste le premier pilier, l’assurance est un pilier de defense
supplémentaire
53
55. Nous vous remercions pour votre
attention
et au plaisir de vous revoir lors d'une
prochaine formation
Prochaine formation "Creactivity" : 18 février 2021 - earlegal - e-
réputation : préservez votre image sur le net !
Programme complet : Événements de Lexing et Larcier | Eventbrite