Nous avons sélectionné un produit simple, adapté aux PME, qui couvre la gestion de crise en cas d’atteinte aux données et plus particulièrement :
•La fourniture d’une prestation pour aider l’entreprise à gérer la crise et à maîtriser les conséquences
•L’impact financier que peut avoir une fuite, perte ou violation des données (frais de restauration de données)
•La responsabilité de l’entreprise vis-à-vis de tiers (clients ou autres subissant un préjudice)
•Les frais de communication nécessaires pour rétablir la réputation de l’ entreprise et notifier l’incident.
•Les frais de défenses engagés en cas de procédure
2. 2
BONJOUR- LES INTERVENANTS
JEAN-LUC BOURGEOIS
LUCIEN MOUNIER
3. 3
- PRÉVOYANCE
- FRAIS DE SANTÉ
- CONTRAT MADELIN
- PERTES D’EMPLOI
- TEMPORAIRE DÉCÈS
- HOMME CLÉ…
Nous sommes des courtiers à taille humaine intervenant sur
les 3 domaines des risques d’entreprises:
- MR
- RESPONSABILITÉ CIVILE
- FLOTTE AUTOMOBILE
- TRANSPORT MARCHANDISE
- CYBER RISQUES
- FRAUDE DETOURNEMENT
- PROTECTION JURIDIQUE…
- ASSURANCE CREDIT
- AFFACTURAGE
- CAUTION
- RISQUES POLTITIQUES
- EXTERNALISATION
- RELANCE CLIENT
Jean-Luc
Bourgeois
4. 4
COMPRENDRE LES PME POUR:
•Mettre en place des programmes d’assurances sur-mesure
•Sélectionner les meilleurs produits et partenaires assureurs
Protections en
place les
protègent
suffisamment
Atteinte directe
aux données qui
ne sont pas
assurées dans
les contrats MR.
RC PRO
importante et
mise en jeu
complexe
Fausse idée
du prix de la
couverture
COMMENT LES PME PERCOIVENT L’ASSURANCE DES CYBER-RISQUES?
Impact des
cyber risques
sous estimés:
« Tous
concernés »
6. 6
• AIG, un des leaders mondiaux de l’assurance.
• AIG c’est 63.000 personnes dans 130 pays.
• Une présence dans 26 pays d’Europe.
• 15 ans d’expérience dans la gestion des cyber-risques.
Installé en France depuis 1948 et aujourd’hui avec plus de 320 personnes et des
équipes dédiées par segment. Au sein de ces segments, celui des Risques
Financiers des PME dont les Cyber-Risques font partie.
7. 7
LES RISQUES- TOUS EXPOSES
Quelle que soit sa taille, toute entreprise est aujourd’hui exposée aux cyber-risques
DES DÉFIS…
Un monde de plus en plus dématérialisé
La mobilité, le Cloud, l’externalisation de
services informatiques…
ET DES CONTRAINTES:
Toute entreprise est détentrice de
données pour son propre compte,
ou pour celui d’un tiers,
et peut représenter une porte d’entrée
vers une ou plusieurs autres entreprises.
8. 8
Les Menaces Cyber
MALVEILLANCE INTERNE
Vol de matériels
Vol de données
Avantage concurrentiel
Recel de données
Données Bancaires
NEGLIGENCE
Envoi de données erronées
Perte de matériel
Hameçonnage
MALVEILLANCE EXTERNE
Déni de Service
Vol de Données
Hacktivisme
Organisations criminelles
Déni de service
Vol de Données
Agences gouvernementales Espionnage Industriel
Déni de service
Logiciels malveillants
Extorsion
Arrêt des réseaux
Menaces persistantes
Données Bancaires
Données Gouvernementales
Données Personnelles
Données de Santé
Données Confidentielles
PRESTATAIRES
Cloud
Data Centers
Sous-traitants
Interruption de réseau
Atteinte à la sécurité du réseau
Accès non-autorisé aux données
Perte de Données
Interruption de réseau
Vol de matériels
Vol de données
Interruption de Réseau
Intrusion dans les systèmes
Employées
Négligence
Malveillance
RESEAUX SOCIAUX
Twitter
Facebook
LinkedIn
9. 9
CYBER- Les conséquences d’un incident
Qu’elles soient d’origine accidentelle ou malveillante, les conséquences d’un incident cyber sont
nombreuses et peuvent avoir un fort impact sur l’activité de l’entreprise.
INDISPONIBILITÉ
passagère des
ressources
informatiques.
Prise de contrôle du
site et compte
Twitter par SEA
PERFORMANCES
dégradées des
systèmes.
Hacktivisme, 5 jours
de blackout pour 40
domaines
MENACES de
divulgation
650.000 données,
tentative
d’extorsion
10. 10
CYBER- Les conséquences d’un incident
Qu’elles soient d’origine accidentelle ou malveillante, les conséquences d’un incident cyber sont
nombreuses et peuvent avoir un fort impact sur l’activité de l’entreprise.
CYBER-ESPIONNAGE
Faille zero-day,
espionnage
industriel
DESTRUCTION,
manipulation de
logiciel & données
Des hackers font
disparaître la trace de
conteneurs ayant
servi au trafic de
drogues
PERTE DE DONNÉES
Deux attaques
consécutives,
Février (800.000
données) et Mai
(1.300.000) 2014
11. 11
CYBER RISQUES- Prévention et protection
Malgré les mesures que vous avez mis en place au sein de votre entreprise:
Analyse des cyber-risques pouvant mettre en péril l’entreprise
Mise en place d’une « politique sécurité »
Formation et communication aux salariés autour des cyber-risques
Firewall et antivirus actifs sur le réseau et les ordinateurs
Plan de crise et de continuité d’activité informatique
Filtrage des adresses IP et protocoles autorisées
Protection contre le sabotage, terrorisme, les événements naturels
Vous n’êtes pas à l’abris d’une cyber-attaque ou d’une simple négligence et/ou
erreur humaine et d’avoir à gérer une situation de crise!
12. 12
ENQUÊTES ET
SANCTIONS
Conseiller et épauler
l’entreprise lors d’une
démarche de la CNIL
LA REPONSE- CYBEREDGE
INTERRUPTI
ON DE
RÉSEAU
Protéger le bilan de
l’entreprise et sa
continuité d’activité
CYBER-EXTORSION
Accompagner
l’entreprise dans la
résolution d’une
tentative d’extorsion
RESPONSABI
LITÉ CIVILE
Notamment du fait
de la divulgation
de données
conservées par
l’entreprise ou par
un sous-traitant
GESTION DE CRISE
Perte d’image - Intervention sur les SI - Restauration de données –notification
13. 13
CYBEREDGE- Gestion de crise
Qui? Cabinet médical (4 médecins)
Le sinistre?
Données hébergées chez un prestataire.
Une patiente découvre son dossier médical sur le net ,
en fait tous les dossiers médicaux sont en ligne.
Information relayée par la presse locale.
Le coût ?
Frais d’experts informatique
Frais de communication
Réclamation de la patiente
Facture totale : 24 570 €
14. 14
CYBEREDGE- Interruption de réseau
Qui? Cabinet d’avocats
Le système informatique?
22 ordinateurs fixes, 2 serveurs, imprimantes. Antivirus
installé, à jour, scan automatique 1* par semaine.
Protection anti-virus en temps réel (scan de tout fichier
avant ouverture) désactivée
Le sinistre?
Un virus se propage sur le réseau,
Impossible à supprimer sauf reformatage complet des
ordinateurs
interruption totale de ses systèmes pendant 4 jours.
Le coût?
Décontamination totale + restauration des données
électroniques: 15.300 € Interruption du réseau : 20.000
€
15. 15
CYBEREDGE- Cyber Extorsion
Qui? Site de vente en ligne de vêtements
Le sinistre?
Situation d’extorsion: le hacker laisse 5 jours à
l’entreprise avant sa prochaine attaque. Il
demande une rançon pour stopper ses
attaques.
Le coût?
honoraires d’expert informatique + consultant
de gestion de crise
Perte de revenus due à l’interruption du
fonctionnement du site marchand.
Le coût total du sinistre est évalué à 318.000
€
16. 16
CYBEREDGE- Responsabilité civile
Qui? Avocat en droit civil
Le sinistre?
Vol ordinateur portable et mots de passe. Le
voleur accède aux données personnelles de
clients contenues sur l’ordinateur et organise la
vente de celles-ci sur internet.
Les conséquences?
Frais d’expert informatique, de communication
aux clients impactés. Réclamations de plusieurs
clients
Le coût du sinistre : 84.000 €
17. Qui? Pizzeria
Le sinistre?
Paiements frauduleux par cartes bancaires.
Ces paiements proviennent de cartes de
L’émetteur de cartes bancaires décide de
réaliser un audit de conformité aux règles
PCI-DSS.
Les conséquences?
L’audit, à la charge de l’entreprise, coûte
10.500 €. L’amende subséquente infligée
par l’émetteur de cartes de paiement à
l’entreprise s’élève à 4.500 €
17
CYBER-RISQUES- Enquêtes et sanctions
18. 18
CYBEREDGE- L’offre d’AIG
UN OBJECTIF:
Garantir la tranquillité des dirigeants face aux cyber-risques
et les accompagner dans toute situation de gestion de crise
QUEL EST LE COUT DE CES GARANTIES ?
19. 19
CYBEREDGE- Exemples de tarifs
Chiffre d’affaires 450.000€,
4 médecins, 1 secrétaire médical
Activité: Médecine générale
Dématérialisation de l’ensemble des
données et hébergements chez
prestataire
Montant garanti: 250.000 €
Franchise: 1.000 €
Prime annuelle TTC : 800 €
Soit 67 € / mois
PROFESSIONNEL
S
DE SANTE
20. 20
CYBEREDGE- Exemples de tarifs
PROFESSIONS
REGLEMENTEE
S
Chiffre d’affaires 900.000 €
Activité: cabinet d’avocats
Montant garanti: 500.000 €
Franchise: 1.500€
Prime annuelle TTC: 1.350 €
Soit 113 € / Mois
21. 21
CYBEREDGE- Exemples de tarifs
Chiffre d’affaires 2.000.000 €
Activité: expert comptable
Montant garanti: 750.000 €
Franchise: 2.000€
Prime annuelle TTC: 1.730 €
Soit 144 € / Mois
EXPERT
COMPTABLE
22. 22
CYBEREDGE- Exemples de tarifs
Chiffre d’affaire: 31.000. 000€
Activité: conception et développement de
logiciels
Montant garanti: 3.000.000 €
Franchise: 15.000 €
Prime annuelle TTC: 9.200€
Soit 767 € / Mois
SSII
23. 23
CYBEREDGE- Un contrat d’assurance pour qui ?
Pour vous : Vous recevrez rapidement un devis ou mail, vous demandant 4
éléments nécessaires pour l’établir.
Pour vos clients : Vous conseillez des entreprises ?
Vous hébergez leurs données ?
Vous devez leur parler de ce produit d’assurance simple et peu onéreux.
Vos contacts : 01.56.43.39.39
Letitia DOUVILLE : ldouville@cabinet-saintpaul.fr
Jean-Luc BOURGEOIS : jlbourgeois@cabinet-saintpaul.fr
Dans un Monde de plus en plus dématérialisé, les entreprises doivent relever de nombreux défis et notamment ceux de la mobilité ou du cloud tout en faisant face aux cyber-risques et à leur évolution constante.
Tous exposés, multinationales ou PME.
Par « les entreprises », j’entends bien toutes les entreprises, qu’elles soient des TPE, PME, ou de grandes multinationales.
Toute entreprise est aujourd’hui détentrice de données pour son propre compte, pour celui d’un tiers, ou représente une porte d’entrée vers une ou plusieurs autres entreprises de plus grande taille.
Pour ces raisons, il est désormais essentiel que les cyber-risques fassent partie des préoccupations principales des dirigeants.
3) L’exemple PME / Target
Je vous parlais il y a un instant des entreprises représentant une porte d’entrée… Un exemple récent subi et géré par AIG est celui de TARGET aux Etats-Unis. TARGET, multinationale de la distribution discount, a comme vous le savez, subi une atteinte résultant en un sinistre catastrophique :
40m cartes de crédit, dont 1m à 3m vendues et utilisés
70m données personnelles
46% de baisse de bénéfices au 3e trimestre 2013
200m de pertes aux banques (réémission de CB)
100m de MaJ des systèmes de paiement Target
Tour d’assurance brulée (100M€ en Cyber, 200M€ en D&O impactée)
L’origine de ce sinistre ? Des pirates ont infiltré les systèmes de TARGET via un prestataire, une PME, s’occupant de la climatisation des magasins (ayant accès à certains systèmes de target, dont les systèmes au sens large ne sont pas isolés les uns des autres).
Récap des garanties:
Gestion de crise – frais de consultant (expert informatique, expert en communication de crise, restauration des données, frais de notification, frais de monitoring et de surveillance//exposition US).
Interruption du réseau – Perte de marge brute et frais supplémentaires d’exploitation
Cyber-extorsion – frais de consulting et rançon
Responsabilité Civile – réclamations suite à divulgation de données ou atteinte à la sécurité du réseau.
Enquêtes et sanctions administratives – frais d’enquête (accompagner l’entreprise dans la démarche + frais de conseil), coût de la sanction assurable.
Autres exemples autour d’enquêtes et sanctions:
SARENZA – jugement suite à base de données hackée et utilisée par une société tierce identifiée. Jugement rendu = 100.000 € d’amende à la société tierce, ramenée à 70.000 € au titre du défaut de sécurisation de SARENZA => conséquence financière pour Sarenza.
Sanctions PCI-DSS aux USA pour une chaine de pizzerias ne respectant pas les règles de protection de données bancaires imposées par VISA / MASTERCARD (frais d’enquête + amende)