5957T CyberEdge playbook formerly 3031D › content › dam › aig › emea › ... · couvertures...

Comment vendre la couverture CyberEdge®?

Cliquer ici

2

DES OPPORTUNITÉS À SAISIR

QUELLES CIBLES ? GÉRER LES OBJECTIONS

EVALUATION DU RISQUE

SERVICES DE PRÉVENTION

GARANTIES SINISTRES EXEMPLES DE SINISTRES

NOUS CONTACTER

Une prise de conscience de la part des clientsLes statistiques révèlent un nombre croissant de risques et d’incidents liés aux données et systèmes d’information. Ces sujets préoccupent de plus en plus les entreprises qui commencent à rechercher des couvertures d’assurance adaptées, en complément des mesures de prévention mises en place sur leurs systèmes informatiques.

2

Un impact majeur

Préoccupation majeure des risk managers et des dirigeants, la vulnérabilité aux risques cyber est aussi l’une des moins couvertes. Les clients souhaiteront donc sans aucun doute s’informer sur leurs vulnérabilités à ces risques et sur les solutions d’assurance pouvant leur convenir.

Un marché prometteur

La protection des données, des produits, des biens et de la réputation est une source grandissante d’inquiétudes pour les organisations. Aucune entreprise n’étant à l’abri, les courtiers peuvent faire la différence en aidant leurs clients à évaluer leurs faiblesses et à travailler avec les prestataires à l’élaboration de solutions.

Autres enjeux cyber du moment :• De plus en plus conscients du risque de réputation pour l’entreprise, les dirigeants s’investissent davantage dans des

stratégies cyber.

• Les services informatiques ne peuvent être l’unique source de défense contre les risques cyber.

• Le Cloud-computing et les technologies mobiles constituent des vecteurs potentiels de risques cyber de plus en plus préoccupants.

• Les clients sont de plus en plus conscients qu’un problème de cybersécurité risque d’entraîner une interruption de leur réseau.

La cybercriminalité figure toujours parmi les trois premiers risques auxquels sont exposées les entreprises, le coût moyen d’un incident étant estimé à environ 3,6 millions $.1

1 Étude sur le coût des fuites de données réalisée en 2017 : Analyse mondiale ; rapport de recherche de l’Institut Ponemon, commandité par IBM ; juin 2017

Des Opportunités à saisir


3






NOUS CONTACTER

Toute entreprise qui stocke, traite ou transmet des données peut faire face à une attaque cyber.

Pour consulter les exemples de sinistres >

2 Rapport sur les menaces de sécurité sur Internet de Symantec (2017) extrait du site www.symantec.com/security-center 3 Rapport sur les menaces globales de Crowdstrike (2015) extrait du site www.crowdstrike.com/global-threat-report-2015/

Quelles cibles ?

QUELLES CIBLES ?

IndustrieLe secteur de l’industrie repose sur des systèmes de production intégrés. Ces systèmes d’information industriels ont une durée de vie longue et représentent une vulnérabilité forte du fait de leur conception non-adaptée à l’évolution rapide des risques cyber.

Grande DistritbutionLes entreprises de ce secteur détiennent un très grand nombre de données sur leurs clients, y compris des numéros de cartes bancaires. Les clients qui utilisent généralement le même mot de passe et enregistrent leurs identifiants de connexion pour plusieurs comptes s’exposent également à un risque plus élevé de fraude.

EnergieCes dernières années, l’importance de la sécurité informatique chez les fournisseurs d’énergie a fait l’objet d’une attention plus soutenue. Les éventuelles failles dans les systèmes de contrôle du secteur et les interactions toujours plus vastes entre les technologies opérationnelles et les technologies de l’information font craindre une vulnérabilité accrue aux risques cyber.

Services de SantéLa dématérialisation des dossiers médicaux et autres informations de santé ainsi que les recours à l’externalisation de prestations rendent le secteur médical de plus en plus vulnérable aux risques cyber.2

Institutions FinancièresLes établissements financiers sont depuis longtemps la cible privilégiée des hackers compte tenu des données sensibles en jeu. Programmes malveillants, appareils non approuvés et applications commerciales tierces sont autant de défis particuliers pour les banques et les autres établissements financiers. On dénombre approximativement 1,2 million de nouveaux programmes malveillants ou variantes en moyenne par jour.2

Etablissement d’enseignementLes établissements d’enseignement supérieur sont particulièrement vulnérables aux menaces informatiques étant donné leur environnement ouvert, les informations sur les étudiants et les enseignants qu’ils conservent et l’ampleur des services fournis. En outre, ces établissements peuvent être confrontés à des ressources limitées et des contraintes de budget, les empêchant de suivre l’évolution rapide des menaces informatiques.

Grandes entreprisesNombreuses sont les grandes entreprises à penser que leur service informatique gère de manière efficace le risque provenant de menaces informatiques.

Petites et moyennes entreprisesLes sociétés de taille moyenne peuvent héberger de grandes quantités d’informations précieuses – et sont plus susceptibles d’utiliser des systèmes plus anciens. Cependant, leur budget pour assurer la sécurité des données est loin d’égaler celui des grandes entreprises. 62 % des entreprises attaquées sont des petites ou moyennes entreprises (PME).3

Les experts sont unanimes : prestations de services, services financiers, assurance, immobilier et santé sont les secteurs les plus ciblés.2,3

4






NOUS CONTACTER

Gérer les objectionsComment convaincre les clients indécis ?

Même si les entreprises sont généralement conscientes des risques informatiques, elles ne mesurent pas les risques auxquels leurs activités sont réellement exposées. Vous trouverez ci-après quelques suggestions pour surmonter ces obstacles.

Nous avons déjà des mesures de sécurité en place.Certaines entreprises ont peut-être déjà acquis ou déployé des stratégies en matière de cybersécurité, mais savent-elles si ces services sont réellement efficaces ? AIG peut les aider à faire le bilan de leurs mesures en matière de cybersécurité.

Nous ne connaissions pas ces services complémentaires.Il est essentiel de prendre des mesures proactives pour anticiper une attaque cyber et gérer efficacement les risques. AIG propose des services gratuits tels que des supports de formation des services de blocage et des conseils en amont d’une faille de sécurité pour aider les assurés à prévenir les incidents informatiques et à s’y préparer. Par ailleurs, notre équipe de consultants spécialistes des risques cyber reste disponible pour vous aider à élaborer des stratégies sur mesure par le biais d’AIG et de ses partenaires. Veuillez vous reporter à l’onglet Prévention du playbook pour plus d’informations.

Notre service informatique gère les risques efficacement.Un service informatique robuste est essentiel pour gérer les risques cyber. Cependant, étant donné la prolifération des « ransomwares » et des nouvelles variantes quotidiennes de programmes malveillants, il est impossible de prévenir chaque attaque. En véritable complément du département informatique du client, l’assurance offre la tranquillité d’esprit de savoir qu’une équipe d’experts se tient prête à réagir si le pire se produit et si votre système est attaqué.

Nous identifions nos besoins en couverture en fonction de ce que font nos concurrents.Chaque entreprise est unique et les hackers, comme les employés et les concurrents, peuvent être intéressés par les ressources numériques de votre client. AIG assure plusieurs milliers de clients contre les risques cyber et connaît parfaitement les spécificités de nombreuses filières.

Nos données et/ou notre secteur ne sont/n’est pas une cible à haut risque pour les menaces informatiquesAucune entreprise n’est à l’abri d’une attaque cyber, et les personnes malintentionnées s’emploient à exploiter les failles des entreprises et des filières qui estiment ne pas être en danger. Votre client pourrait-il supporter un arrêt complet de son réseau pendant une durée indéterminée ? Le risque de perdre bien plus que des données est bien réel, et la couverture proposée par AIG est là pour y répondre. CyberEdge couvre en effet tous les risques, de l’interruption de réseau à la cyber extorsion.

Le coût financier d’un incident serait négligeable.Le coût moyen d’une intrusion informatique est aujourd’hui estimé à plus de 3,6 millions $.1 Vous voudrez certainement connaître le coût d’une faille et évaluer les incidences dans plusieurs cas de figure possibles.

POUR CONSULTER D’AUTRES OBJECTIONS POSSIBLES

GÉRER LES OBJECTIONS

5






NOUS CONTACTER

Gérer les objections

Les menaces informatiques évoluent rapidement, il est difficile de les suivre.Dans un paysage en rapide évolution, CyberEdge offre une protection inédite et des conseils adaptés sur la base de plusieurs années d’expérience. Avec l’aide d’AIG, les entreprises gardent une longueur d’avance dans la gestion de leurs risques cyber.

Le coût d’une couverture contre les risques cyber est trop élevé.Les primes pour couvrir les risques cyber sont modestes par rapport au coût pouvant être engagé en cas d’incident informatique, une fois prises en compte toutes les dépenses – récupération de données, gestion d’incident, préjudice porté à la réputation, interruption de réseau et autres responsabilités civiles engagées. Outil efficace et abordable, la couverture des risques cyber permet de gérer un incident et d’atténuer les perturbations pour l’activité de votre client.

Je n’ai jamais fait l’objet d’une attaque cyber, je n’ai donc pas besoin de cette couverture.L’environnement est en constante évolution, et à l’ère de la dépendance toujours croissante à l’égard des données, les sociétés sont plus que jamais exposées au risque de sécurité et d’atteinte aux données privées. Les futurs textes de loi et les normes industrielles de plus en plus strictes suggèrent en outre que le coût d’un incident va continuer d’augmenter. Une gestion proactive des risques est cruciale.

Nous n’en avons pas besoin. Nous ne sommes pas une grande entreprise et nous pensons que nos données et/ou notre filière ne sont/n’est pas à risque.62 % des entreprises attaquées sont des petites ou moyennes entreprises.3

Nous ne souhaitons pas vous communiquer toutes nos failles informatiques de peur qu’elles soient utilisées contre nous en cas de réclamation.AIG a pour mission de vous aider à protéger l’activité de votre client en cas de réclamation portant sur un incident informatique. Plus vous transmettez d’informations, plus nous serons à même de vous aider à le protéger.

Nous n’en avons pas besoin. Nous sous-traitons la gestion de notre sécurité.Les entreprises se tournent de plus en plus vers des prestataires extérieurs et des solutions de stockage dans le Cloud. Pour autant, ces prestataires doivent être correctement contrôlés. Il est recommandé aux assurés de bien lire les clauses de leurs contrats qui limitent souvent la responsabilité du fournisseur en cas de faille.

Nos polices existantes couvrent en principe certains risques cyber.CyberEdge est une solution complète de gestion des risques cyber. Aucune autre assurance ne propose une couverture aussi spécifique pour aider les clients à traiter tous les aspects d’un incident informatique. Bien que d’autres assurances puissent couvrir certains aspects du risque cyber, elles peuvent comporter des exclusions ou sous-limites venant restreindre les garanties.

CONSULTER LES PRÉCÈDENTES OBJECTIONS

GÉRER LES OBJECTIONS

6






NOUS CONTACTER

Evaluation du risqueLes entreprises cherchent à comparer leur maturité de sécurité informatique et à quantifier leur exposition cyber. Le positionnement unique d’AIG nous permet de répondre à ces nouveaux

besoins. Découvrez les nombreux avantages dont peuvent bénéficier les assurés en utilisant le questionnaire dynamique .

Le questionnaire Cyber interactif Le portail de souscription Cyber

Après réception du questionnaire, AIG analyse les données dans le cadre de son nouveau modèle de souscription Cyber.

Le risque cyber du client est noté puis quantifié selon les points suivants : maturité face aux risques Cyber + niveau de contrôle en matière de sécurité + possible impact d’une faille de sécurité informatique sur son fonctionnement + enseignements tirés de quelques milliers de sinistres pris en charge.

Notre modèle repose sur notre expérience sur la manière dont les entreprises gèrent une attaque cyber : failles, types d’attaques et vulnérabilités observés dans une majorité d’attaques informatiques.

Un questionnaire dynamique et interactif – le nombre de questions est fonction des réponses apportées relatives au secteur d’activité, à la taille et à l’exposition de l’entreprise et de la couverture souhaitée.

Dès lors que le client a répondu aux questions obligatoires, une proposition d’assurance peut être générée. Les clients sont toutefois invités à répondre au maximum de questions possibles de manière à recevoir une proposition la plus adaptée possible à leur profil de risque.

Avantages de notre questionnaire interactif :Rapidité : pour obtenir une proposition, il suffit de ne répondre qu’aux questions obligatoires ! (Pour autant, plus nombreuses seront les réponses apportées et plus précise sera la proposition d’assurance. A l’issue de cette étude, les clients recevront également un rapport détaillé sur leur profil de risque, tel que présenté à la page suivante.)Personnalisation : le questionnaire se déploie en fonction du profil du client et s’adapte à ses besoins.Reconnaissance : des réponses précises permettent de mettre en lumière les bons comportements des clients

SUIVANT >

-+


7






NOUS CONTACTER

Exemple d’un rapport complet avec évaluation et indicateurs des meilleurs contrôles permettant de réduire le risque

Evaluation du risque

Génération du rapport

< PRÉCÉDENT

>>

Après avoir rempli le questionnaire, les clients prospects peuvent obtenir un rapport simplifié, même s’ils ne souscrivent pas notre assurance cyber.

En revanche, les assurés reçoivent un rapport complet avec évaluations.

Ce rapport complet peut aider nos clients à identifier les contrôles les plus efficaces en termes d’atténuation du risque.

Quelle utilité ?

Le responsable de la sécurité des systèmes d’information (RSSI) peut exploiter ces informations pour se faire une idée précise des menaces auxquelles s’expose l’entreprise et de sa capacité de résistance, à la fois par type d’attaque et catégorie d’actifs. Il peut en outre ajuster la maîtrise globale de la sécurité grâce à la cartographie des contrôles efficaces selon le scénario de risque, établi par notre modèle.

Des services de prévention des risques aident le client à renforcer la maîtrise du risque cyber

Assistance 24h sur 24, 7 jours sur 7, en cas d’incident avéré ou présumé >>

Maturité face aux risques Cyber : niveau de préparation d’une entreprise contre les menaces cyber et capacité de la dite entreprise à protéger ses actifs informatiques

Probabilité de la menace : niveau de probabilité d’une action malveillante ou involontaire susceptible d’exploiter une ou plusieurs faiblesses du système informatique de l’entreprise.

Conséquence sur l’activité : impact sur le niveau de confidentialité, sur l’intégrité et la disponibilité des actifs informatiques touchés au sein de l’entreprise.

Efficacité du contrôle : indique dans quelle mesure chaque contrôle atténue le risque, s’il est correctement appliqué

Risque implicite : combinaison de la menace et des conséquences sur une organisation qui ne bénéficie pas d’une politique de cyber sécurité

Risque résiduel : combinaison résiduelle de la menace et de l’impact sur l’organisation qui bénéficie d’une politique de cyber sécurité


8






NOUS CONTACTER

Optimiser la valeur de CyberEdge Les assurés connaissent-ils la gamme de services mise à leur disposition ? AIG soutient une approche complète de la gestion des risques étayée par de nombreux services de prévention et de consultation sur les risques.

Services de prévention

Des outils et des services inclus dans l’offreDes outils et des services gratuits sont mis à la disposition des assurés Cyber pour leur fournir des solutions de formations et des conseils en sécurité, parmi lesquels : formation en ligne, blocage des adresses IP malveillantes, protection de domaine, …

Services AIG

L’équipe de consultants en risques cyber d’AIG met au service de nos clients ses 50 années d’expérience en sécurité informatique afin de les aider à toujours conserver une longueur d’avance face aux risques cyber. Travaillant main dans la main avec les assurés, elle leur offre des conseils ciblés et une expertise technique pour améliorer leur connaissance du risque cyber.

Des partenaires de confianceNos partenaires sont des experts des risques cyber qui offrent à nos clients des solutions pour renforcer leur principale ligne de défense.

POUR EN SAVOIR PLUS POUR EN SAVOIR PLUS POUR EN SAVOIR PLUS


*Les clients ayant souscrit la couverture CyberEdge pour une prime supérieure à 5 000 € sont éligibles aux services gratuits.

9






NOUS CONTACTER

Formation en ligne des employés – sensibilisation, formation et conformitéFormation à la carte, en ligne, et plateforme consacrée à la conformité pour réduire le principal risque cyber pour une entreprise : l’erreur humaine.

Blocage des adresses IP sur liste noire et Protection de domaine – Réduire risque d’attaque de 90% en amont du pare feuPermet aux entreprises de prévenir toute activité malveillante sur le réseau en bloquant le trafic, entrant ou sortant provenant d’adresses IP malveillantes et d’identifier et de bloquer les domaines contrefaits utilisés par les hackers.

Analyse des vulnérabilités des infrastructures – Identification des vulnérabilités dans les infrastructures à haut risqueSélectionne des portions de votre infrastructure pour les soumettre à l’examen d’experts et identifier les vulnérabilités aux éventuelles attaques de pirates informatiques.

Conseils juridiques sur les risques – Examen et amélioration des moyens d’intervention en cas d’incidentDeux heures avec un expert pour planifier les interventions en cas d’incident, examiner la conformité réglementaire, sensibilité à la sécurité ou former à la protection des données personnelles.

Conseils informatiques sur les risques – Préparation organisationnelle à différentes menacesUne heure avec un expert technique pour explorer ce à quoi l’organisation doit penser et ce à quoi elle doit se préparer dans l’hypothèse de différentes menaces.

Conseils en relations publiques sur les risques – Plan de communication, pratiques exemplaires et préparation en cas de crise.Une heure avec un expert pour préparer et planifier pour votre organisation la gestion de menaces potentielles si elles devaient se matérialiser.

Assistance téléphonique CyberEdge – 24h/24, 7 jours/7, 365 jours/365Une fois l’appel passé, l’équipe en charge des sinistres CyberEdge agira en coordination avec vos collaborateurs pour mettre en œuvre le plan d’intervention, engagera les prestataires nécessaires, notamment des consultants informatiques et des enquêteurs pour identifier les menaces imminentes et lancer les processus de restauration et de reprise d’activité.

Diagnostic des portefeuilles d’assurance Des experts examinent l’ensemble de votre portefeuille d’assurance afin de déterminer dans quelle mesure il vous couvrira en cas de pertes financières et matérielles occasionnées par une attaque cyber.

Portail d’information sur la cybersécurité – Accès en ligne aux informations concernant la cybersécuritéAccès 24h/24, 7 jours/7, 365 jours/365 aux dernières informations sur la cybersécurité.

*Les clients ayant souscrit la couverture CyberEdge pour une prime supérieure à 5 000 € sont éligibles aux services gratuits, disponibles en anglais uniquement.

Les outils et les services décrits peuvent être modifiés (par l’ajout, la suppression ou le remplacement d’un outil ou d’un service) ou suspendus à tout moment.

Des outils et des services* inclus dans l’offre Des outils et des services gratuits sont mis à la disposition des assurés Cyber pour leur fournir des solutions de formations et des conseils en sécurité

Pour plus d’informations, rendez-vous sur le site www.aig.com/fr

Services de prévention OUTILS ET SERVICES INCLUS DANS L’OFFRE

SERVICES AIG

DES PRESTATAIRES DE CONFIANCE

CYBERMATICS


http://images.www-102.aig.com/Web/AIG/%7B3ae43b8f-fcbc-4800-bf5f-27682747c5db%7D_Cyber-Risk-Consulting-Services-Checklist.pdf

10






NOUS CONTACTER

Des services en gestion des risques AIG*L’équipe de consultants en risques cyber d’AIG met au service de nos clients ses 50 années d’expérience en sécurité informatique afin de les aider à toujours conserver une longueur d’avance face aux risques cyber. Travaillant main dans la main avec les assurés, elle leur offre des conseils ciblés et une expertise technique pour améliorer leur connaissance du risque cyber.

Analyse des stratégies de défense cyber : vise à obtenir une vision des ressources, des processus et des outils composant le programme de cybersécurité de l’assuré puis à en identifier les forces et les faiblesses.

Examen du système connecté à Internet : aide les assures à identifier les risques auxquels leur infrastructure web est exposée, du point de vue d’un attaquant.

Atelier de simulations d’incidents : aide les clients à s’assurer que leur plan d’intervention en cas d’incident permettra une gestion efficace et les aidera à tirer le meilleur parti des avantages de leur couverture CyberEdge.

Présentation des menaces : aide les clients à mieux comprendre les menaces de sécurité du moment, propres à leur filière, et les méthodes d’attaque privilégiées par les hackers.

Etude techniques des risques cyber : explore les Ressources Humaines, les processus et les outils déployés par l’assuré pour protéger ses systèmes critiques ainsi que les contrôles industriels sur place.



OUTILS ET SERVICES INCLUS DANS L’OFFRE

SERVICES AIG


CYBERMATICS

* disponible en anglais uniquement

11






NOUS CONTACTER

Atelier de quantification et analyse de portefeuille, proposés par AXIO, aide les clients à comprendre leur vulnérabilité au risque cyber en termes financiers et donc, comment la variété d’attaques cyber possible peut impacter la totalité de leur portefeuille.

BitSight Security Rating, proposé par BitSight Technologies, et Vendor Security Ratings, proposé par SecurityScorecard, permettent aux entreprises de mesurer et de surveiller leur propre réseau et celui de leurs fournisseurs.

Dark Net Intelligence, proposé par K2-Intelligence, aide les clients à rester informés des dernières rumeurs qui circulent sur leur compte sur le « Dark Net ».

« Office of the CISO », proposé par Optiv, fournit un accès à la demande à l’expertise CISO, qu’elle soit virtuelle, temporaire ou humaine, ainsi que des services de conseil en sécurité critique.

L’évaluation du niveau de maturité de l’entreprise face à la cyber-sécurité proposée par RSA aide les organisations à évaluer leurs risques en termes de cybersécurité.

Formation de sensibilisation à la sécurité, proposée par Wombat Security, initie aux techniques du hameçonnage et propose des simulations aux employés de l’assuré.

Services additionnels* En sus de nos services gratuits, tous les clients CyberEdge bénéficient des services suivants à un tarif préférentiel, certains pouvant faire l’objet d’une démonstration gratuite.



OUTILS ET SERVICES INCLUS DANS L’OFFRE

SERVICES AIG


CYBERMATICS

* en anglais uniquement

12






NOUS CONTACTER

Dommages causés aux tiers résultant d’une atteinte à la sécurité ou d’une violation de données

• Frais de défense et dommages-intérêts si l’entreprise (ou son prestataire externe) est responsable d’une atteinte aux données personnelles ou aux données professionnelles

• Frais de défense et dommages-intérêts si la contamination de l’entreprise par un virus se propage aux données de tiers.

• Frais de défense et dommages-intérêts si l’entreprise est victime d’un vol de codes d’accès par des moyens non électroniques.

Frais de gestion de crise

• Frais de notification, frais de consultants en relations publiques et autres frais engagés dans le cadre de la gestion et de l’atténuation d’un incident cyber.

• Dépenses engagées pour restaurer, recréer ou recollecter les données électroniques perdues

• Frais d’expertise, de conseil juridique et frais de monitoring et de surveillance.

Interruption du système informatique

Perte d’exploitation et frais supplémentaires découlant d’une interruption prolongée du réseau de l’assuré par suite d’une atteinte à la sécurité des données.

Cyber-extorsion Remboursement de la rançon (extorsions) payée par l’assuré à un tiers contre la promesse de faire cesser une faille de sécurité ou la menace de divulguer des informations confidentielles.

Média Frais de défense et dommages et intérêts engagés en raison d’une violation des droits de propriété intellectuelle de tiers ou d’une négligence relative à la publication de contenus électroniques.

Pertes financièresGaranties CyberIl ne s’agit que d’une description sommaire fournie à titre informatif. L’étendue et les conditions d’application des garanties sont assujetties aux dispositions du contrat d’assurance.

Les risques cyber mettent en péril les organisations, tant sur le plan matériel qu’immatériel. CyberEdge protège les clients contre tous les risques cyber.

CyberEdge couvre le coût financier d’une attaque cyber, y compris la gestion de crise, la restauration des données, le coût financier supporté à l’égard des tiers, l’interruption de réseau et la cyber-extorsion.

GARANTIES

13






NOUS CONTACTER

Nous traitons environ quatre sinistre cyber par jour (EMEA). Nos équipes de souscription et de gestion des sinistres travaillent main dans la main pour offrir à nos clients la meilleure expérience possible et éviter toute mauvaise communication de bout en bout du processus. L’équipe de gestion des sinistres CyberEdge est prête à accompagner les clients dès qu’ils suspectent une atteinte à leur réseau.

Nos équipes locales d’experts s’appuient sur nos ressources mondiales pour gérer les sinistres et réagir rapidement aux demandes de chaque client. Nous aidons nos clients à informer les victimes, soutenons la reprise d’activité chez les clients affectés, gérons les communications de crise et déterminons précisément ce qui s’est passé.

Nous prenons également en charge les coûts liés à la gestion et à l’atténuation d’un incident cyber et indemnisons les manques à gagner et les coûts d’exploitation engendrés par la faille de sécurité.

Des services dédiés • Une ligne d’urgence 7 jours sur

7, 24 heures sur 24 pour déclarertout incident et organiser lespremières mesures d’urgence quis’imposent.

• Accès à un panel deconsultants et de spécialistes aurayonnement international.

Une expérience sans précédentNos spécialistes des sinistres sont prêts à aider les assurés à gérer un incident cyber dès le moment où celui-ci se produit. Notre équipe offre la ligne de défense complémentaire dont tout service informatique a besoin pour faire face auxproblèmes et à leurs conséquences.

Un soutien rapide lorsque le client en a le plus besoin• Nos spécialistes de gestion des sinistres réagissent rapidement pour orienter nos

clients, de l’évaluation de leurs besoins au traitement de leur sinistre.• La plupart des couvertures sont souscrites en première ligne, ce qui permet à nos

spécialistes des sinistres d’intervenir directement, avec le pouvoir de prendre desdécisions.

• Notre réseau de cabinets juridiques, d’experts informatiques et de sociétés enrelations publiques prend immédiatement en charge les assurés pour la gestiondes conséquences d’un incident informatique.

Une assistance technique rapide• Notre assistance téléphonique CyberEdge est disponible 24h/24, 7 jours/7,

365 jours /365. Une fois l’appel passé, l’équipe CyberEdge coordonnera lesopérations avec le client pour mettre en oeuvre son plan d’intervention, engageratout prestataire nécessaire, notamment des consultants informatiques et descabinets juridiques pour identifier les menaces (comme la présence d’un hacker àl’intérieur d’un réseau) et lancer les processus de restauration et de reprise.

EXEMPLES DE SINISTRES

Une expertise en gestion des sinistres dans le monde entier

ATTEINTE

EXPERTISE INFORMATIQUE

CONSEIL JURIDIQUE / COMMUNICATION

DE CRISE

NOTIFICATION

ENQUETES ET SANCTIONS ADMINISTRATIVES

RESPONSABILITE CIVILE

Premières mesures d’urgence et d’identification d’un consultant référant pour coordonner la crise via la hotline dédiée

L’expert informatique évalue l’étendue de l’incident.

Mise en place d’actions pour limiter l’impact du sinistre, notamment sur la réputation de l’assuré.

Prise en charge des frais de notification des personnes concernées par l’atteinte

Mise en place d’un conseil pour la préparation d’une enquête administrative et prise en charge des sanctions assurables

Frais de défense et conséquences pécuniaires de la responsabilité civile incombant à l’assuré suite à :

• Toute atteinte aux données de tiers par un virus,• La contamination de données de tiers par un virus,• Le vol de codes d’accès ou de mots de passe,• Le vol de matériel informatique contenant des

données personnelles,• La négligence d’un préposé de l’assuré.

Après avoir contacté l’assistance téléphonique CyberEdge, les clients peuvent s’attendre à ce qui suit :

Etapes de l’incident Réponses de CyberEdge

GARANTIES

14






NOUS CONTACTER

Dommages aux biens et interruption d’activitéAttaque Cyber à l’encontre d’un fabricant européen : Des pirates ont modifié le système de contrôle d’un fabricant, en empêchant la fermeture de son haut fourneau, entraînant d’importants dommages matériels.

Assuré

Fina

ncie

rM

atér

iel

Tiers

• Dommages aux biens

• Business interruption

Attaque Cyber à l’encontre d’un fournisseur d’énergie de premier plan : Données détruites et 30 000 ordinateurs bloqués par un programme malveillant introduit par un employé disposant d’accès privilégiés.

Assuré

Fina

ncie

rM

atér

iel

Tiers• Coûts d’interventiond’urgence

• Relations publiques• Juridique• Restauration des

données• Pertes de revenus

Attaque coordonnée contre un fournisseur d’électricité : Après de longs efforts de reconnaissance et plusieurs tentatives coordonnées - hameçonnage, programme malveillant, récupération d’identifiants et centres d’appel débordés - des hackers ont réussi à s’introduire dans le système SCADA d’un fournisseur d’électricité, privant d’électricité des centaines de milliers de clients.

Assuré Tiers

Fina

ncie

rM

atér

iel

• Coûts d’intervention• Juridique• Relations publiques• Restauration des

données• Pertes de revenus

• Responsabilitécivile contractuelle

• Dommages etintérêts aux sanctionsadministratives.

Scénarios Cyber

NEXT CLAIMS SCENARIOS PAGE >

SINISTRES

15






NOUS CONTACTER

Employé mal intentionnéUn employé a dérobé les dossiers et antécédents médicaux et les informations d’identité personnelle de près de 125 000 patients d’un hôpital assuré.

AIG et l’assuré ont travaillé ensemble pour constituer une équipe de gestion de crise composée de professionnels externes et AIG a remboursé à l’hôpital près de 800 000 € de dépenses liées à cette équipe. Par la suite, AIG a accompagné l’assuré dans la résolution d’une seconde faille en faisant appel à des partenaires expérimentés de son vaste réseau d’experts en cyber-sécurité.

Exemples de sinistres par secteur d’activité

Institutions financières

Santé

AIG accompagne plus de 22 000 entreprises dans leurs efforts pour prévenir une attaque cyber, une position unique pour identifier et anticiper les sinistres et les indemnisations à régler. Les exemples de sinistres ci-après illustrent concrètement l’étendue des garanties offertes par CyberEdge d’AIG.

EXEMPLES DE SINISTRES

Les exemples de sinistres cités ci-dessus ne sont donnés qu’à titre informatif. L’étendue et les conditions d’application des garanties dépendent de chaque événement ou sinistre et sont assujetties aux dispositions de la police d’assurance. Pour toute question concernant la couverture CyberEdge, il convient de demander un exemplaire de la police pour une présentation des conditions d’application et des limites de garantie.

Vol de donnéesUn serveur de messagerie et un disque dur externe de notre client ont été dérobés dans ses locaux par un fournisseur externe. Les données personnelles de près de 175 000 personnes ont été compromises.

AIG a travaillé en étroite collaboration avec l’assuré et remboursé 1 million € pour alerter les victimes et engager des professionnels.

Vol de donnéesLe compte email d’un médecin a été piraté et tous ses emails ont été automatiquement transférés vers un compte de messagerie en Europe de l’Est, compromettant les informations personnelles de plus de 3 500 patients.

L’intervention rapide d’AIG et de son réseau de partenaires a permis à l’assuré d’engager sans tarder des experts pour l’accompagner à chaque étape nécessaire de la gestion de l’incident : notification, mise en place d’un centre d’appels et communication avec le ministère de la santé et des services sociaux.

Programme malveillantDes hackers sont parvenus à s’introduire dans le système de point de vente d’un assuré et, avant d’avoir pu être neutralisés, ont réussi à accéder à plus de cinq millions de numéros de cartes bancaires de clients.

AIG a rapidement pris contact avec l’assuré pour engager un consultant informatique référant et un spécialiste des moyens de paiement. Sur la base de l’enquête réalisée, nous avons mis en relation l’assuré et le consultant pour choisir et engager les prestataires chargés de gérer la communication au grand public et les notifications nécessaires aux organismes de réglementation et des consommateurs.

Nous avons informé les consommateurs et mis en place un centre d’appels pour traiter leurs demandes. Le consultant juridique a assuré la défense contre une dizaine de recours collectifs en justice et a répondu aux enquêtes règlementaires nationales. Grâce à la couverture CyberEdge, cette activité a été prise en charge, ainsi que les dépenses liées à la gestion de l’incident pour 750 000 € d’enquête informatique, 3 millions € de frais de surveillance et de notification et 50 000 € de relations publiques. CyberEdge a également couvert 1,5 million € de frais de conseil, 1,2 million € d’amendes réglementaires et 2 millions € d’amendes pour le secteur des cartes de paiement

Santé – Vol de donnéesUn hôpital assuré a été alerté d’un risque de violation sur les données de santé protégées de plus de 40 000 patients.

AIG a rapidement pris contact avec l’assuré pour engager un consultant informatique. Sur la base de l’enquête réalisée, nous avons mis en relation l’assuré et le consultant référant pour choisir et engager les prestataires chargés de gérer les notifications obligatoires aux organismes de réglementation et aux patients. Nous avons pris en charge les frais de notification et mis en place un centre d’appels pour traiter les demandes. AIG a remboursé à l’assuré 450 000 € au titre des frais de notification

et de surveillance, 175 000 € pour les notifications et les frais du centre d’appel, 25 000 € de frais d’enquête et 90 000 € de frais de justice. Des amendes réglementaires d’un montant de 500 000 € prononcées à l’encontre de l’assuré ont également été prises en charge dans le cadre de la police.

16






NOUS CONTACTEREXEMPLES DE SINISTRES

Données d’entreprise exposéesUne école a accidentellement envoyé à près de 80 étudiants un email contenant un fichier avec les données personnelles de tous ses étudiants.

Ensemble, AIG et l’école ont réussi à récupérer 55 des emails avant qu’ils ne soient ouverts. AIG a travaillé en étroite collaboration avec le doyen de l’école et a organisé les mesures de notification et de surveillance pour les étudiants touchés.

Vol de cartes bancairesTrois terminaux de paiement par carte bancaire ont été piratés dans une grande université, et le service informatique de l’université a découvert peu de temps après, dans le réseau de l’université, une faille découlant des terminaux corrompus.

Les spécialistes de la cyber-sécurité d’AIG ont rapidement été mobilisés pour soutenir l’enquête. AIG a travaillé avec l’assuré pour engager un consultant informatique ainsi qu’un consultant spécialisé en attaques cyber et a évalué les besoins de notification et de surveillance.

Faille de sécuritéL’audit d’une université a permis d’identifier une faille de sécurité qui permettait l’accès non autorisé à une liste d’aides financières comprenant des données personnelles.

Les spécialistes de la cyber-sécurité d’AIG ont accompagné l’université durant les travaux de vérification informatique qui ont abouti à la conclusion que plus de 18 000 dossiers étudiants pouvaient avoir été compromis. AIG a également aidé l’université à mettre en place un centre d’appel et à notifier les étudiants concernés. AIG a remboursé à l’assuré près de 70 000 € en sus des fournisseurs engagés pour leurs services.

Enseignement supérieur

Cabinet d’avocats

Ransomware Un constructeur automobile a été contraint de stopper la production dans l’un de ses usines après avoir découvert qu’un ransomware avait infecté son réseau informatique. L’usine s’est retrouvée à l’arrêt total.

Piratage d’un ancien employéSuite à la résiliation de son contrat de travail chez un papetier, un ancien employé a découvert qu’il pouvait toujours accéder aux services d’un fabricant via un réseau privé virtuel (VPN). Une fois introduit sur le réseau du fabricant, il a installé un logiciel lui permettant de manipuler les systèmes de contrôle industriels et a ainsi provoqué une perte de production de près de 1 million €.

IndustriePanne de système subieSuite à une panne informatique générale, un fabricant de matériel médical s’est retrouvé dans l’impossibilité de produire et d’honorer ses commandes pendant plusieurs jours. Il a été demandé aux employés de faire des heures supplémentaires pour répondre aux commandes dans les plus brefs délais.

Interruption d’activitéUn associé ayant démissionné d’un cabinet d’avocats assuré a détruit tous les disques durs accessibles et supprimé la propriété intellectuelle du cabinet ainsi que les principales informations des systèmes de sauvegarde.

L’équipe spécialisée dans la prise en charge d’incidents de cyber-sécurité a travaillé en étroite collaboration avec le cabinet pour recréer toutes les applications et informations supprimées, et l’assuré a été remboursé de près de 300 000 € de frais.

Vol d’identitéUn ordinateur portable contenant une base de données de numéros de sécurité sociale de près de 7 500 étudiants inscrits ou déjà diplômés a été dérobé, ainsi que le mot de passe permettant d’accéder aux données contenues sur le disque dur. Plusieurs étudiants ont signalé des tentatives d’utilisation à distance de leur carte bancaire.

AIG a mobilisé toute son expertise pour venir immédiatement en aide à l’université, qui a pu bénéficier des services d’un centre d’appels, d’un expert informatique, de services de surveillance et de notification. L’intervention rapide d’AIG a permis à l’université de proposer aux étudiants une prise en charge immédiate pour atténuer les risques liés au vol de leur identité.


Exemples de sinistres par secteur d’activité (suite)

17







Faille de sécurité Près de trois millions de mots de passe ont été volés à un fournisseur de services en ligne et ont été divulgués sur Internet.

L’équipe de gestion des sinistres d’AIG et le consultant référant ont travaillé main dans la main avec l’assuré pour prendre les mesures qui s’imposaient : recommander aux personnes concernées de renouveler leurs mots de passe, prodiguer des conseils de sécurité aux utilisateurs, communiquer par e-mail avec les trois millions de clients potentiellement affectés et diffuser les coordonnées de l’équipe d’assistance à la clientèle de l’assuré.

Interruption de réseauDes hackers se sont introduits dans le système de l’assuré en lançant une attaque dite de « harponnage ». Ils ont installé un programme malveillant sur le système qui, une fois activé, a codé toutes les données contenues dans le système de l’assuré. Sept serveurs et des centaines de PC ont été infectés. Les hackers ont exigé 12 Bitcoins contre les clés de cryptage. L’assuré s’est mis en relation avec les spécialistes d’AIG pour coordonner le recrutement d’un consultant en violation de données personnelles et d’un cabinet de vérifications informatiques pour gérer l’incident. AIG et le consultant référant ont coordonné leurs efforts avec ceux des forces de l’ordre. L’assuré et le cabinet de vérifications informatiques sont parvenus à décoder les données de l’assuré et, après consultation d’AIG et des forces de l’ordre, l’assuré a décidé de payer la rançon. Nous avons facilité le recrutement de fournisseurs pour réunir la somme en bitcoins nécessaire au paiement de la rançon. Une fois la rançon payée, l’assuré a reçu les clés de décryptage nécessaires. Il a fallu plusieurs jours pour rétablir progressivement les systèmes. En définitive, les systèmes d’exploitation de l’assuré ont été déconnectés pendant 2 jours et demi. AIG a remboursé à l’assuré 4 500 € de rançon, 2 500 € pour l’obtention et le paiement des bitcoins, 950 000 € d’enquête et de résolution informatique, 65 000 € de frais de justice et 32 000 € de frais de relations publiques. Par ailleurs, AIG a remboursé à l’assuré 1,1 million € pour la pertede revenus et 850 000 € pour les dépenses additionnelles liées à l’interruption d’activité.

Programme malveillantUne compagnie de carte de crédit a alerté un bar d’un possible vol de données de compte.

Pour le compte de l’organisme de paiement du bar, AIG a aidé le commerçant à engager un consultant informatique qui a identifié le programme malveillant installé sur son serveur. AIG a travaillé avec l’organisme de paiement du commerçant pour aider à remplacer le serveur compromis et à renforcer la sécurité de ses données. Pour le compte de l’organisme de paiement, AIG a remboursé au commerçant 17 000 € de services liés aux vérifications.

Usurpation d’identitéUn concessionnaire automobile assuré a été alerté du vol d’une boîte contenant des dossiers commerciaux et, après vérification, a découvert que d’autres boîtes contenant des contrats commerciaux avec les informations personnelles de clients avaient également disparu.Bien que la loi applicable en matière de notification ne s’applique pas étant donné que les dossiers étaient sous format papier, AIG a vivement recommandé à l’assuré, qui a accepté, d’informer spontanément les clients éventuellement affectés. AIG a également engagé un consultant pour accompagner l’assuré et a assuré gratuitement la surveillance des personnes affectées pendant un an.

Données d’entreprise exposéesUne chaîne de magasins de luxe a été informée d’un possible incident impliquant un organisme de paiement inconnu et exposant les données personnelles de plus de 35 000 porteurs de carte du magasin.Faisant appel à son solide réseau de prestataires, AIG a travaillé avec l’assuré pour recruter les meilleurs professionnels afin d’informer les victimes et remplacer les cartes de crédit. AIG a remboursé à l’assuré près de 200 000 €.

Distribution

Suspicion de fraudeUne compagnie de carte de crédit a alerté une pharmacie d’une suspicion de fraude.

La compagnie de carte de crédit a demandé au commerçant de vérifier ses systèmes informatiques afin de s’assurer que son environnement de traitement des paiements était bien conforme à la norme de sécurité PCI-DSS.

Déployant sa vaste expérience en cyber-sécurité, AIG, pour le compte de l’organisme de paiement du commerçant, a aidé à procéder à l’enquête informatique qui a démontré que le commerçant n’était pas en conformité.

Vol de cartes bancairesLe directeur informatique d’un fabricant de pièces automobiles a découvert qu’un fichier qui ne faisait pas partie du site Web de l’entreprise servait à dérober des données de cartes bancaires.

Pour le compte de l’organisme de paiement de l’assuré, AIG a aidé le commerçant à recruter un consultant judiciaire et a remboursé 7 000 € au titre de l’enquête et 3 500 € de frais et amendes à la compagnie de carte de crédit.



18







Cyber ExtorsionUn programme malveillant a été installé dans le réseau d’un cabinet juridique lorsqu’un employé a été victime d’une manoeuvre de hameçonnage. Le programme s’est téléchargé lorsque l’employé a ouvert ce qui était présenté comme une invitation valide à une vidéo-conférence. Le hacker a menacé d’arrêter le système et d’empêcher l’assuré d’accéder à ses données à moins de payer 10 bitcoins. Le hacker a précisé que la somme augmenterait chaque semaine jusqu’à ce que la rançon soit payée.AIG a rapidement pris contact avec l’assuré pour engager un consultant informatique. L’assuré a déclaré l’affaire aux autorités locales. Les contrôles informatiques ont permis d’établir que le hacker avait les moyens de mettre à exécution ses menaces et ont confirmé que l’assuré ne possédait aucune source fiable de sauvegarde pour ses données. CyberEdge a permis de couvrir le paiement de la rançon ainsi que 25 000 € de frais de conseil et 85 000 € de vérifications informatiques pour évaluer la menace et s’assurer de l’éradication du programme malveillant.

Cyber ExtorsionLe serveur informatique d’un assuré a été attaqué par un virus qui a codé les données et demandé une rançon de 5 000 € contre le décryptage. L’assuré a déclaré l’affaire à la gendarmerie, qui lui a conseillé de ne pas payer la rançon. AIG lui a apporté son aide pour engager un expert informatique qui a effectué une analyse des systèmes. L’expert informatique apu déterminer que le serveur infecté ne contenait aucune information confidentielle mais des données d’inventaire de l’entreprise. L’expert informatique a éradiqué le virus et renforcé les protections de sécurité des données de l’assuré. AIG a remboursé à l’assuré plus de 45 000 € de coûts d’enquête.



19






NOUS CONTACTER

Contact AIG

Responsable Souscription Cyber et Responsabilité Civile ProfessionnelleProduct Leader Cyber

Sophie Parisot [email protected]

NOUS CONTACTER

AIG Tour CB21 16 place de l’Iris 92040 Paris la Défense cedex

www.aig.com/fr

American International Group, Inc. (AIG) est l’un des leaders mondiaux de l’assurance. Fondée en 1919, les sociétés membres d’AIG offrent aujourd’hui un large choix de solutions d’assurance dommages et responsabilité, d’assurance-vie et de retraite, d’assurance hypothèque ainsi que d’autres services financiers dans plus de 100 pays et territoires. Ces divers produits et services aident les entreprises et les particuliers à protéger leur patrimoine, à gérer les risques et à s’assurer des revenus de retraite. AIG est cotée à la bourse de New York et à la bourse de Tokyo.

Pour en savoir plus sur AIG, rendez-vous sur www.aig.com et www.aig.com/strategyupdate | YouTube : www.youtube.com/aig | Twitter : @AIGinsurance | LinkedIn : http://www.linkedin.com/company/aig Ces références et leurs informations complémentaires sur AIG ne sont données qu’à titre informatif, et le présent communiqué de presse ne fait nullement mention des informations contenues dans ces sites Web.

AIG est le nom commercial du réseau mondial d’assurances dommages et responsabilité, d’assurances de personnes et d’assurances Vie-retraite-prévoyance d’American International Group Inc. Pour obtenir des informations complémentaires, veuillez consulter notre site internet www.aig.com. Nos produits et services sont fournis par des filiales ou des entités affiliées d’American International Group, Inc. et peuvent ne pas être disponibles dans tous les pays. L’étendue et les conditions d’application des garanties sont assujetties aux dispositions du contrat d’assurance. Certains produits ou services hors assurance peuvent être fournis par des tiers indépendants. Certaines solutions d’assurance dommages et responsabilité peuvent être fournies par un assureur complémentaire. Les assureurs complémentaires ne participent généralement pas aux Fonds de garantie prévus par les États, et les assurés ne sont donc pas protégés par ces fonds.

Les assurances sont fournies par AIG Europe SA. Le présent document est fourni à titre informatif uniquement et ne peut en aucun cas servir de justificatif d’assurance. Ce document n’a pas de valeur contractuelle et ne saurait engager la responsabilité de la compagnie. L’offre est susceptible de varier selon les pays et peut ne pas être disponible dans tous les pays européens. L’étendue et les conditions d’application des garanties sont assujetties aux dispositions du contrat d’assurance, qui sont disponibles sur simple demande. Pour plus d’informations, vous pouvez visiter notre site internet: www.aig.comAIG Europe SA – compagnie d’assurance au capital de 47 176 225 euros, immatriculée au Luxembourg (RCS n°B218806) dont le siège social est sis 35D Avenue J.F. Kennedy, L-1855, Luxembourg.Succursale pour la France : Tour CB21 – 16 place de l’Iris, 92400 Courbevoie – RCS Nanterre 838 136 463 – Adresse Postale : Tour CB21 – 16 place de l’Iris, 92040 Paris La Défense Cedex. Téléphone : +331.49.02.42.22 – Facsimile : +331.49.02.44.04.

FL00002882 AUG 18 - FRDMC 004 Cyber Playbook 032019

5957T CyberEdge playbook formerly 3031D › content › dam › aig › emea › ... · couvertures...

Documents

Transcript of 5957T CyberEdge playbook formerly 3031D › content › dam › aig › emea › ... · couvertures...