Le bon, la brute et le négligeantUn survol du risque de piratage informatique des entreprises

3

Le bon, la brute et le négligeant

Au cours des dix dernières années environ, l’internet a vraiment tout changé. Surtout pour le meilleur. Toutefois il a donné lieu a des risques majeurs de cyber attaques surtout pour des vols et des accidents. Les crimes et les accidents virtuels peuvent mener à des pertes de biens, de revenu et de réputation réelles, ainsi qu’à une responsabilité accrue. De plus, ces pertes peuvent être inter-reliées; l’une peut entraîner l’autre et créer une réaction en chaine comme un jeu de dominos.

Prenez par exemple Target, le magasin à grandes surfaces des É.-U. Vers la fin 2013, des voleurs auraient pénétré par infraction dans le réseau de l’entreprise en utilisant des mots de passe subtilisés dans une autre entreprise qui assurait le service du chauffage et de l’air conditionné, ce qui a permis d’accéder aux systèmes de paiement et de voler les renseignements des cartes de paiement de 40 millions de consommateurs.1 L’infraction pourrait coûter à Target des centaines de millions de dollars, comprenant des frais juridiques, de conseil, et les services de contrôle des cartes de crédit. Le coût de la perte de confiance de la part des consommateurs n’est pas connu.

Zurich Compagnie d’Assurances SA (Direction canadienne) fait du piratage informatique une priorité. Nous faisons des recherches, nous avons des actions de lobbying à ce propos, nous offrons une expertise et des garanties d’assurance. Vous pouvez trouver un aperçu général sur notre site Web : http://www.zurichcanada.com/can/en/solutions/security-privacy-solutions/cyber-thought-leadership.htm

Ce document technique s’adresse aux entreprises clientes – existantes ou potentielles – et toute autre personne qui partage notre intérêt pour ce problème grandissant. Le document a pour but de donner une vue d’ensemble des risques cybernétiques, ce qui comprend : • Qui sont les auteurs, qui causent les

risques cybernétiques?• Que font-ils, comment est-ce que

cela survient?• Qu’est-ce qui est exposé au risque?• Que peut-on faire pour se protéger?

1 Vijayan, Jaikumar. ‘Target breach happened because of a basic network segmentation error.’ Computerworld. 6 February 2014. http://www.computerworld.com/article/2487425/cybercrime-hacking/target-breach-happened-because-ofabasic-network-segmentation-error.html

4

La puissance de l’informatique : le bon, la brute et le négligeantNous ne travaillons plus ni ne vivons de la manière à laquelle nous étions habitués. Les communications et le stockage d’informations ont changé de façon spectaculaire. La technologie est au pouvoir. Dans une certaine mesure, beaucoup d’entre nous auraient pensé inconcevable que nos vies deviennent numériques. Le numérique ou la technologie virtuelle est un amplificateur. Ceci permet aux utilisateurs de faire des choses beaucoup plus importantes qu’ils auraient pu faire auparavant. Ceci comprend de très bonnes choses et de très mauvaises.

Beaucoup de recherche et d’attention a été accordée à ce qui est bon. Ce rapport toutefois se concentre sur ce qui est mauvais – moins connu mais toutefois très important. Ceci commence avec les auteurs. Ils tombent dans deux catégories. Les gens qui menacent les compagnies pour des raisons de cupidité, de malveillance ou d’hostilité, et ceux qui mettent les autres en danger à cause de leur propre négligence.

Qui sont les vrais cybercriminels?Les menaces intentionnelles du monde informatique tombent dans deux catégories de base. Premièrement il y a les criminels et les vandales qui veulent voler, escroquer ou nuire aux compagnies ou à leurs clients. Deuxièmement il y a les espions ou les combattants, qui lorsqu’ils épient ou attaquent de la part d’un gouvernement, peuvent indirectement toucher une compagnie et créer des dommages.

Les voleurs virtuels et les escrocsPeut-être ironiquement vous pouvez en trouver certains facilement sur l’internet. Il suffit de regarder la liste «Cyber’s Most Wanted» qui est affichée par le Federal Bureau of Investigation aux É.-U.2 Presque toujours, les inculpations sont soit le vol – d’argent ou de données – ou la fraude.

Qui sont ces gens? Il s’avère, que la plupart ne correspondent pas à la fausse image populaire d’un jeune fana de l’informatique qui travaille seul. Selon une étude en 2012 par BAE Systems et la London Metropolitan University, 80 pourcent des crimes cybernétiques sont le travail de criminels professionnels. Ce n’est pas un passe-temps. C’est leur travail.3

Dans la plupart des cas les cybercriminels travaillent pour une organisation, comprenant environ cinq à six membres, pouvant aller quelquefois jusqu’à 15. Beaucoup sont basés dans l’ancienne Union Soviétique avec d’autres groupes similaires dans les Amériques, en Chine en Inde et au Nigéria. Ces groupes ne sont pas – en tout cas pas encore – aussi grands et établis que les syndicats du crime organisé. Ils sont plus nébuleux, informels et éphémères. Souvent ils fonctionnent comme une sorte «d’équipe de projet» composée de travailleurs indépendants.

Aussi et en dépit de tous les stéréotypes, les voleurs virtuels ne sont pas particulièrement jeunes. Leur âge moyen se situe entre 26 et 35 ans, selon l’étude de BAE- London Metropolitan University.4 Ils ne sont pas non plus tous des as de l’informatique. Bien sûr il y en a quelques uns, mais le reste est en général des criminels ordinaires qui travaillent de 9 à 5. Ceci est surtout en raison de la «déqualification» de la criminalité informatique qui est rendue plus accessible par la disponibilité de «logiciels malveillants» qui peuvent être achetés librement et utilisé par n’importe qui. Ces outils offrent toute une panoplie allant de virus tout prêts pour exploiter les points vulnérables de systèmes individuels au «robot-réseau». En bref des outils de fabrication «à faire soi-même» de logiciels criminels ou des «exploithack packs» et autres outils qui collectent des renseignement à l’insu des utilisateurs qui ne savent pas que leur ordinateur est infecté.

2 The Federal Bureau of Investigation (FBI), ‘Cyber’s Most Wanted.’ http://www.fbi.gov/wanted/cyber

3 McGuire, Michael R. ‘Organised Crime in the Digital Age.’ John Grieve Centre for Policing and Security, London Metropolitan University, BAE Systems Detica. March 2012.

4 Ibid.

5

Vandales virtuels : les hacktivistesDans le monde réel, il y a des gens qui inscrivent des graffitis ou protestent contre la cupidité des entreprises en utilisant des moyens illégaux. Maintenant ils sont une opération multicanal avec une présence en ligne.

Selon la façon dont on le voit, les soit disant hacktivistes peuvent être classés du fauteur de trouble cherchant de l’attention au «combattant pour la liberté». Ils se décrivent comme des Robin des Bois sur l’internet, combattant les puissants corrompus pour défendre les droits des faibles et des innocents. Peut importe ce qu’ils sont, leurs activités se déroulent souvent dans les zones d’ombre de la loi, quelque chose entre le droit légal de protester, la désobéissance civile et la délinquance criminelle.

Les mieux connus sont sans doute les Wikileaks et Anonymous.

Dommages indirects : les espions et les guerriersLes gouvernements, pour de bonnes ou mauvaises raisons, ont joué un rôle actif dans le développement de la technologie. Arpanet, le précurseur de l’internet d’aujourd’hui, a été conçu à l’origine par le Ministère de la défense des É.-U.5 L’étendue de la surveillance et des attaques cybernétiques ne sont pas connues du grand public en général. Différents rapports ont suggéré l’implication des gouvernements de la Chine, de l’Israël, des É.-U. et d’autres.

Erreurs involontaires : négligence (ou malveillance)Pour avoir une idée de sources potentielles d’attaques cybernétiques, regardez autour de vous au bureau ou même dans un miroir. Les accidents arrivent, quelquefois avec des données de valeur. Ceci est d’abord dû à la négligence selon les recherches du marché. Toutefois, au moins un quart de ces incidents pourraient être du sabotage intentionnel par des employés mécontents et qui passent pour des erreurs de bonne foi.

Les trois visages du risque cybernétiqueRencontrez le trio infernal : le vol et la fraude, les préjudices volontaires, et les accidents. Ceci sont les principales formes du risque cybernétique. Il y a même une quatrième source hybride de danger. C’est lorsque une série de risques sont reliés entre eux et créent une somme de dommages plus grande que ses parties individuelles.

Une étude estime que le coût annuel du piratage informatique pour l’économie internationale pourrait être de 400 milliards de dollars US ou peut-être davantage.6 C’est une guerre qui escalade, alors que les deux côtés améliorent leur tactique. Les enjeux sont de taille.

Le piratage pour volerMalheureusement, il est incroyablement bon marché et facile d’acheter des cartes de crédit volées. Un site Web basé en Russie donne des détails sur des cartes de crédit volées pour moins de 5 $US chacune. Ricardo Villadiego, le fondateur et le PDG de consultants en sécurité, copie ces site en ligne, en raison de la facilité avec laquelle ceci peut être obtenu, c’est un peu comme «l’Amazon® de l’économie des cybers crimes.»8

Et il ne s’agit pas seulement des cartes de crédit qui sont en vente. Les voleurs informatiques prendront pratiquement tout ce qu’ils peuvent pour personnifier un client réel : mots de passe, numéros d’identification personnels, code pour la fiscalité ou des avantages sociaux. De ce point de vue ils travaillent de la même façon que les autres cambrioleurs, en volant des montants d’argent relativement peu importants (peut-être entre 100 $US et 200 $US par transaction) jusqu’à ce que la personne dont l’identité a été usurpée s’en aperçoive et modifie ses coordonnées.

À quel point est-il facile de décoder un mot de passe?Des mots de passe simples peuvent être décodés en quelques secondes ou même une fraction de seconde. Comme toute la technologie en général, les outils de décodage de mots de passe ont évolué. Il peut s’agir d’une approche qui essaye différentes combinaisons et utilise des attaques du genre «devinette» avec les plus vulnérables qui s’ouvriront probablement en l’espace de quelques secondes et même de fractions de secondes.

Il existe une bibliothèque de recherche sur la vulnérabilité de différents types de mots de passe et les outils pour les décoder, certains avec des noms fantaisistes comme «Jack l’éventreur». Mais tandis que des outils sophistiqués sont disponibles, il est souvent possible d’utiliser une console de jeu normale pour obtenir les mêmes résultats.7

5 Bellis, Mary. ‘Inventors of the Modern Computer. ARPAnet – the first Internet.’ http://inventors.about.com/library/weekly/aa091598.htm

6 “Cybercrime is a growth industry. The returns are great, and the risks are low. We estimate that the likely annual cost to the global economy from cybercrime is more than $400 billion. A conservative estimate would be $375 billion in losses, while the maximum could be as much as $575 billion.” Center for Strategic and International Studies, McAfee, part of Intel Security, a subsidiary of Intel Corporation. ‘Net Losses: Estimating the Global Cost of Cybercrime.’ 2014. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf

7 Bonneau, Joseoph. ‘Guessing human-chosen secrets.’ University of Cambridge Computer Laboratory. Technical Report Number 819. http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-819.pdf

8 Wagenseil, Paul. ‘How to Buy Stolen Credit Cards from the ‘Amazon of Cybercrime.’ Tom’s Guide US. 27 February 2014. http://www.tomsguide.com/us/how-to-buy-stolen-creditcards, news-18387.html#how-to-buy-stolen-creditcards%2Cnews-18387.html?&_suid=1415896618243009643911586010756

6

«

Les voleurs sont également à la recherche de données. Par exemple, en 2014, les É.-U. ont accusé cinq officiers militaires chinois, de piratage informatique qui leur ont permis de voler des secrets de fabrication, y compris chez Westinghouse, alors que la compagnie était en train de négocier avec la Chine pour y construire une usine nucléaire.9

Au début, les voleurs informatiques travaillaient surtout avec la force brute. En 1994, un mathématicien russe, Vladimir Levin, a mené ce que l’on peut considérer comme le premier cambriolage «virtuel» d’une banque.

Levin manipulait les ordinateurs à Citibank pour envoyer de l’argent en Finlande, en Israël et à San Francisco.10

Face à cela, Citibank et d’autres ont commencé à investir des sommes importantes dans des pare-feu, protection de mot de passe, cryptage et tous les autres pièges d’une communication sécuritaire. Clairement, ceci représente une énorme barrière aux pirates d’aujourd’hui. Plutôt que de s’engager dans une course aux armements digitale, beaucoup d’entre eux préfèrent une cible plus docile : les humains naïfs.

Modcons – la sociologie appliquée«Je suis là pour vérifier le système», dit la personne indéfinissable en jeans et T-shirt qui prétend venir du Service des TI. «J’ai égaré mon mot de passe dit une voix qui serait un responsable à l’autre bout de la ligne téléphonique qui grésille. «Urgent» indique un faux courriel, «veuillez renvoyer ces calculs de prix».»

L’ingénierie sociale est le terme général pour désigner les escroqueries et les cyber-arnaques. Bien que cela semble incroyable, il y a des gens qui se laissent encore prendre par les courriels nigériens qui demandent des transferts bancaires. Il y a des méthodes plus raffinées que le FBI aux É.-U. appelle «rançongiciel» ou «logiciel de la peur». Par exemple, quelqu’un qui est en train de naviguer sur l’internet soudain voit apparaître une fenêtre qui dit que l’ordinateur est infecté par un virus et offre un logiciel «antidote» à l’achat. Diaboliquement, le soi-disant antidote corrompt en fait la machine.

Les escroqueries exploitent la nature humaine: Le désir de la plupart des gens de faire confiance aux autres et d’éviter des conflits ou de la gêne. Il est plus facile de manipuler les gens que la technologie. Kevin Mitnick , l’homme que le magasine Wired appelle «un pirate légendaire» est un exemple brillant de cela. Selon les dires des medias, il pouvait pénétrer en partie grâce à ses aptitudes en «ingénierie sociale». Avec des accents, des imitations et autres aptitudes similaires «discrètes» il pouvait convaincre des employés sans méfiance de divulguer des renseignements qu’il utilisait pour entrer par infraction dans les systèmes. L’homme décrit par certain come un «farceur» ou un «pirate récréatif» a été arrêté en 1995 et condamné pour avoir piraté les ordinateurs de certaines grandes entreprises. À présent il touche des honoraires pour son travail en tant que consultant en sécurité.11, 12, 13

9 Johnson, Kevin; Leinwand Leger, Donna. ‘U.S. accuses China of hacking Westinghouse, U.S. Steel’. USA Today. 19 May 2014. http://www.usatoday.com/story/news/nation/2014/05/19/ us-accuses-china-of-cyber-espionage/9273019/

10 Johnston, David Cay. ‘Russian Accused of Citibank Computer Fraud.’ New York Times. 18 August 1995. http://www.nytimes. com/1995/08/18/business/russian-accused-of-citibankcomputer-fraud.html

Les pourriels représentent plus de deux tiers de tous les courriels. La plupart sont innocents mais quelques-uns visent vos données.»

11 Shimomura, Tsutomu. ‘Catching Kevin.’ Wired. Issue 4.02. February 1996 http://archive.wired.com/wired/archive/4.02/catching.html

12 O’Neill, Ann W. ‘”Condor” Myth Loop of Contradictions: Computers: To some, Kevin Mitnick is an electronic terrorist. Others say he’s a prankster.’ Los Angeles Times. 18 February 1995. http://articles.latimes.com/1995-02-18/news/mn-33388_1_kevin-mitnick/2

13 Greenberg, Any. ‘Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits‘. WIRED. 24 September 2014 http://www.wired.com/2014/09/kevin-mitnick-sellingzero-day-exploits/

7

Le vol ou un autre nom : la surveillanceIl ne s’agit pas juste de pirates conventionnels. Ceci a été exposé au grand jour par Edward Snowden, qui au milieu des années 2013 a laissé fuir l’écoute illicite perpétrée par la U.S. National Security Agency. Quelques années auparavant, un groupe canadien a détecté ce que l’on pense être une opération de cyber-espionnage, qui serait basée principalement en Chine, qui a infiltré des cibles de grande valeur comprenant des ministères étrangers, des ambassades, des organisations internationales, des medias et des organisations non-gouvernementales.14

Pourriels et virusLa masse de pourriels est tout simplement énorme. Plus de deux tiers de tous les courriels sont des pourriels, en se basant sur des données de 2013 rassemblées par la compagnie de sécurité des TI, nommée Kaspersky Lab.15 Tous ne sont pas criminels, bien sûr. Mais une minorité, toutefois importante de pourriels sont envoyés avec l’intention de voler ou de frauder.

Les pourriels particulièrement sournois sont ceux qui arrivent avec un contenu odieux – un lien à un site Web risqué, ou un virus qui attend d’infecter votre réseau. Ce dernier peut causer toute sorte de problèmes: faire tomber un ordinateur en panne, voler des renseignements confidentiels, épier les utilisateurs, ou même utiliser le courriel pour envoyer d’autres pourriels, en général sans que l’utilisateur le sache.

La plupart des années connaissent trois à cinq alertes au virus qui causent des perturbations majeures et des arrêts. Les mieux connus peut-être étaient «Mydoom» qui a infecté 250 000 ordinateurs en quelques jours en 2004 et «ILOVEYOU» qui a atteint des proportions similaires en 2000.

La nuisanceNuire est le deuxième type important de risque cybernétique. Nuire intentionnellement tombe dans deux catégories principales: Les actes internes et l’hacktivisme /guerre informatique.

Les actes internesLe problème prend une dimension toute nouvelle lorsqu’un employé mécontent a accès à l’informatique et possède des compétences. Des statistiques précises à propos des actes

14 Munk School of Global Affairs, University of Toronto. The SecDev Group.’The Information Warfare Monitor Project Publishable Summary.’ Project closed in 2012. http://www.infowar-monitor.net/reports/IWM-Project%20Publishable%20Summary.pdf

15 Kaspersky Lab, ‘Spam News.’ 23 January 2014 http://www.kaspersky.com/about/news/spam/2014/financial_data_leads_the_malicious_spam_hit_list_for_third_year_in_a_row

16 Software Engineering Institute, Carnegie Mellon University. ‘2011 Cybersecurity Watch Survey: Organizations Need More Skilled Cyber Professionals to Stay Secure.’ 31 January 2012. http://www.sei.cmu.edu/news/article.cfm?assetid=52441&article=031&year=2012

17 Mulligan, Thomas S. ‘Technician Charged in Forbes Sabotage Case. Los Angeles Times. 25 November 1997. http://articles.latimes.com/1997/nov/25/business/fi-57410

18 Hosenball, Mark. ‘Swiss spy agency warns U.S., Britain about huge data leak.’ Reuters. 4 December 2012. http://www.reuters.com/article/2012/12/04/us-usa-switzerland-datatheftidUSBRE8B30ID20121204

posés par des employés ne sont pas disponibles, parce que la plupart des cas sont réglés en privé. Une étude a trouvé que 70 pourcent des incidents internes étaient traités au sein de l’entreprise sans action juridique.16

Pour les employés en colère, vouloir c’est pouvoir.• Le technicien mis à la porte : un

technicien informatique a été accusé de saboter le système informatique de Forbes Inc. pour se venger d’avoir été mis à la porte. Les médias, qui citaient les forces de l’ordre, disent que l’attaque a causé une interruption du service informatique pour les employés, et que le chaos a coûté plus de 100 000 $US.»17

• Un technicien à NDB, du service des renseignements en Suisse a téléchargé des informations confidentielles qui provenaient peut-être d’agences de renseignements britanniques et américaines et a tenté de les vendre, après les avoir fait sortir des immeubles du gouvernement dans un sac à dos. Il est possible qu’il soit devenu frustré après que ses conseils sur l’exploitation des systèmes de données n’aient pas été pris au sérieux, suggère un rapport.18

8

L’hacktivisme et la guerre informatiqueLes hacktivistes et les cyber-combattants peuvent aller à l’assaut des organisations. La menace est à peut près la même. Ils travaillent simplement pour différentes personnes.

Les hacktivistes sont exemplifiés par Anonymous, une collectivité de pirates informatiques qui, grâce à plusieurs attaques sont tout sauf «anonymes».• Operation Japan: en 2012, un fil

Twitter® associé à Anonymous a temporairement pris le contrôle de plusieurs sites Web du gouvernement, sur ce qui a été rapporté comme être une protestation contre une nouvelle loi sur les droits d’auteurs dans ce pays, qui selon les déclarations d’Anonymous, allait réduire la protection de la vie privée.19

• En plein jour: une année auparavant, Aaron Barr, PDG d’une entreprise de sécurité aux É.-U. a menacé de nommer les leaders d’Anonymous. En l’espace d’un jour, le magasine Wired a déclaré qu’Anonymous avait réussi à infiltrer le site Web de la société de Barr, à le fermer et à le remplacer par un message en faveur d’Anonymous. Ceci a compromis le serveur du courriel de sa société et a affiché plus de 40 000 courriels sur une plate-forme publique. Il paraît même que son iPad a été effacé à distance.20

Les cyber-combattants n’attaquent pas seulement les gouvernements.• La prise du New York Times:

pendant une demi-journée en août 2013 «toutes les nouvelles qui étaient prêtes à imprimer, ne l’étaient plus». Un groupe qui se déclarait le soi-disant Syrian Electronic Army a désintégré le site Web du journal, probablement pour protester contre la couverture des conflits armés de ce pays. Le groupe a aussi tenté des attaques similaires sur les sites respectifs de la CNN, le Financial Times et le Washington Post.21

• Les vols dans les entreprises financent le terrorisme: en 2011, quatre personnes ont été arrêtées aux Philippines pour pirater les comptes des clients d’AT&T, et envoyer l’argent à un groupe qui finançait des attaques terroristes en Asie. La police des Philippines a dit que le complot a coûté 2 millions de $US, et ont choisi comme proie, des comptes téléphoniques protégés par des mots de passe faibles.22

• Un ver dans la machine: en 2010, un ver informatique, «Stuxnet,» apparemment attaquait le programme nucléaire de l’Iran, qui était conçu de façon à créer une perte de contrôle des centrifugeuses nucléaires. Ces changements pouvaient faire exploser des centrifugeuses utilisées pour enrichir de l’uranium destiné à des réacteurs ou des bombes.23

19 ‘Anonymous linked to Japan’s government websites attacks.’ BBC. 27 June 2012. http://www.bbc.com/news/technology-18608731

20 Anderson, Nate, ‘How One Man Tracked Down Anonymous – And Paid a Heavy Price.’ 10. February 2011.

21 Haughney, Christine; Perlroth, Nicole. ‘Times Site Is Disrupted in Attack by Hackers.’ New York Times. 27 August 2013. http://www.nytimes.com/2013/08/28/business/media/hacking-attackis-suspected-on-times-web-site.html?_r=0

22 Sengupta, Somini. ‘Phone Hacking Tied to Terrorists.’ 26 November 2011 http://www.nytimes.com/2011/11/27/world/asia/4-in-philippines-accused-of-hacking-us-phones-to-aidterrorists.html?_r=0

23 Broad, William J.; Sanger, David E. ‘Worm Was Perfect for Sabotaging Centrifuges.’ New York Times. 18 November 2010. http://www.nytimes.com/2010/11/19/world/middleeast/19stuxnet.html?pagewanted=all

9

Des accidents surviendrontDes accidents surviendront et tandis que les réseaux informatiques et les communications grandissent, leur possibilité grandit aussi. Les erreurs d’hier étaient possibles sur une série limitée de terminaux et de points d’accès. Les erreurs d’aujourd’hui peuvent arriver sur des milliards d’appareils qui opèrent à peu près n’importe où.

Combien de dommages peuvent causer les employés?• Provoquer la fuite de données

confidentielles: les gouvernements, les hôpitaux, les banques, les universités et d’autres dépositaires de données confidentielles (résultats académiques, rapports médicaux, demandes d’hypothèque, avantages et identificateurs financiers) sont donnés involontairement et avec une régularité déprimante. Une agence du gouvernement a affiché les numéros de sécurité sociale de trois million de gens sur son site web pendant plus d’un an. Une grande banque a laissé fuir les dossiers de plus d’un million de clients, parce qu’un certain nombre des membres de son personnel avait pendant des années partagé des codes d’accès et des mots de passe.

«Les risques se multiplient» - avec une cascade de dangersUne menace moins évidente mais potentiellement plus dangereuse émerge lors que tous les risques se regroupent.

Dans le rapport 2014 du Conseil de l’Atlantique et du Groupe Zurich Insurance on peut lire: «Juste imaginez qu’un fournisseur de services dans les nuages ait un épisode «Lehman» avec toutes les données disponibles le vendredi et disparues le lundi. Si cette défaillance tombe en cascade vers un fournisseur important en logistique ou une compagnie qui gère une infrastructure critique, ceci pourrait s’amplifier et créer une onde de choc catastrophique qui se propagerait dans toute l’économie d’une manière difficile à comprendre, modéliser ou prédire à l’avance. En particulier, si cet incident coïncide avec un autre, l’interaction pourrait causer un effondrement d’une étendue, d’une durée et d’une intensité beaucoup plus grande qu’il semblerait possible - semblable à la série d’événements qui ont frappé le système financier en 2008.»24

24 Zurich Insurance Company, Atlantic Council, ‘Beyond data breaches: global interconnections of cyber risk.’ 15 April 2014. http://knowledge.zurich.com/cyber-risk/cyber-risk/

Il y a un scénario qui est pire encore qui a mené certains experts à parler d’un «Cybergeddon:» L’internet devient un champ de bataille entre les voleurs et les volés, les agresseurs et les victimes, les prédateurs et les proies. Les lieux deviennent si dangereux que les personnes ordinaires et les entreprises cessent de l’utiliser.

Cybergeddon, car en effet, est-ce que vous, ou quiconque, pouvez imaginer la vie aujourd’hui sans l’internet?

Quoi (et combien) est en danger?Est-ce que vous utilisez des plates-formes en ligne populaires? Qu’en est-il des logiciels de consommation courante? Que se passe t ‘il à propos des détaillants populaires, des sites de ventes aux enchères en ligne, des fabricants de jeux électroniques, des supermarchés, des télécommunications et des moteurs de recherche en ligne? Les entreprises de toutes ces catégories, respectées pour leurs connaissances en informatique, ont été piratées.

10

Selon certains rapports, environ 400 millions des comptes clients de ces entreprises ont été «compromis» au cours des dernières années. Les enregistrements et les coordonnées d’utilisateur (voir le tableau de la page suivante) ont été acquis par des tiers non-autorisés. Un résultat typique est celui d’un membre du Tesco Clubcard (carte de fidélité d’un supermarché) que le journal le Telegraph a relaté au début de 2014. Lorsqu’un membre a voulu acheter un iPad, elle a planifié de payer avec des points de fidélité accumulés qui valaient environ 200 $US. Toutefois Tesco lui a dit qu’elle n’avait pas de points du tout. Il s’est avéré que les points avaient été volés – et utilisés probablement par des pirates de l’informatique. Tesco n’a pas voulu révéler combien de comptes avaient été compromis. Les rapports sur la fraude incluent divers exemples où des victimes ont perdu de l’argent plus d’une fois et où, dans le cas de la cliente décrite ici «ils ont changé de mot de passe après la première attaque.»25

Pour les entreprises le coût du piratage informatique peut être énorme. Une étude du Ponemon Institute a estimé que le coût moyen «annualisé» du piratage informatique pour plus de 200 organisations est de 7,2 millions de $US par an. La perte d’exploitation représente les coûts externes les plus élevés (amendes, procès, vol de biens, etc.), suivi par les coûts qui sont dus à la perte d’information.27

Sur plus de 5 000 entreprises dans 99 pays, sondées pas PricewaterhouseCoopers pour son étude sur les crimes financiers internationaux en 2014, une entreprise sur quatre a dit qu’elle avait expérimenté un piratage informatique, avec 11 pourcent de celles-ci qui déclaraient des pertes financières supérieures à 1 million de dollars US.28

Évidemment certaines de ces pertes seront des biens tangibles ou intangibles. Mais ceci n’est vraiment que la pointe de l’iceberg. Souffrir d’une atteinte aux données - que cela soit volontaire ou involontaire - peut engendrer toute une chaîne d’autres frais allant de la responsabilité civile aux amendes des législateurs. Ceci peut aussi interrompre les affaires et endommager votre réputation.

Sept moyens de perdre - comme l’a appris l’infortunée détentrice d’une carte du Tesco Club, les cybercriminels utiliseront des identités volées à leur profit pour dérober de l’argent ou de la marchandise. Malheureusement les choses peuvent s’empirer. Selon Tim Stapleton, responsable adjoint de la responsabilité professionnelle à Zurich, il y a sept autres manières de perdre.

Enquêtes judiciaires - que cela vous plaise ou non, une enquête en général doit être entreprise pour comprendre ce qui s’est passé et comment. Les enquêteurs externes en général facturent des honoraires qui peuvent aller de 100 à 1000 $US de l’heure.

Avertir les victimes - beaucoup de gouvernements demandent que les «propriétaires» de violations de données (par ex. clients ou partenaires d’affaires de l’entreprise victime d’une infraction) soient avertis. Même si ce n’est pas obligatoire, pour la plupart des entreprises, c’est probablement une bonne pratique de le faire. Les coûts peuvent s’élever entre 5 et 50 $US par avis, déclare Tim Stapleton de chez Zurich.

En avisant les victimes - l’une des meilleures pratiques du centre d’appel de beaucoup d’entreprises qui ont fait l’objet d’une infraction est de procurer un numéro «d’assistance téléphonique» que les clients peuvent appeler pour obtenir des renseignements et du soutien.

Que veulent les pirates?Les types de renseignements les plus communs qui sont volés lors d’une violation de données sont les :

• Noms réels• Dates de naissance• Numéros d’identification

du Gouvernement (par ex. pour les avantages sociaux ou les retraites)

• Adresses du domicile• Dossiers médicaux• Numéros de téléphones• Détails d’autorisation des

comptes financiers• Adresses courriel• Codes d’accès, mots de passe• Coordonnées d’assurance26

25 Dyson, Richard. ‘Tesco Clubcard: are your points safe?’ The Telegraph. 25 January 2014. http://www.telegraph.co.uk/finance/personalfinance/money-saving-tips/10594447/Tesco-Clubcard-are-your-points-safe.html

26 Source: Symantec, ‘2013 Trends, Internet Security Threat Report 2014.’ Volume 19. April 2014 http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf

27 Ponemon Institute. HP Enterprise Services. ‘2013 Cost of Cyber Crime Study: Global Report.’ October 2013. http://www8.hp.com/us/en/software-solutions/ponemon-cyber-security-report/

28 PwC. ‘Economic crime: A threat to business globally.’ Global Economic Crime Survey 2014. www.pwc.com/crimesurvey

11

Contrôle après le vol - donc est-ce que les pirates vont utiliser mon nom, mon courriel, ma carte de crédit ou non? Sous une forme de restitution, beaucoup d’entreprises piratées, surveillent ceci pour les victimes. Dans les cas où ces renseignements sont utilisés, ils offrent souvent de «restaurer» les données à leur véritable propriétaire. Ceci dit le coût est de 10 à 30 $US par victime.

L’atténuation des dommages portés à l’image - les fuites de données peuvent être similaires aux fuites physiques de disons du pétrole, de produits chimiques ou de polluants, dans le sens où ils déclenchent l’indignation publique, et pas seulement parmi les victimes. Beaucoup d’entreprises n’ont pas d’expérience avec la colère du public, et pensent qu’il est préférable d’impliquer des experts en relations publiques pour les aider.

Les coûts de la défense, les règlements et les paiements d’indemnités - si la faille est suffisamment sérieuse, certaines victimes vont probablement faire un procès pour obtenir des indemnités. Selon une étude d’assureurs par l’entreprise de sécurité NetDiligence, le paiement moyen d’une faille était de $US 954 253. Le coût moyen des services d’urgence était de $US 737 473, et le coût moyen pour les coûts juridiques était de 574 984 $US, tandis que les indemnités suite à une action juridique était en moyenne de 258 099 $US.

Des incidents causés par «des actions répréhensibles ou la négligence» de l’organisation affectée tendaient à être légèrement plus coûteux que les incidents dus à de simples erreurs, telles qu’une faute des employés ou quelque chose de provoqué par un fournisseur externe. «Les incidents de piratage qui ne sont pas directement causés par l’organisation affectée, sont extrêmement chers et sont exceptionnels.»29

Amendes et pénalités - perdre des données personnelles peut être un délit civil ou judiciaire. M. Stapleton estime que les amendes ou les pénalités peuvent varier d’aussi peu que 100 $US jusqu’à 1 million $US.

Perte d’exploitation et atteinte à la réputationIl y a aussi le problème d’image. Bien que la valeur précise qui est en jeu soit difficile à quantifier, dans la plupart des cas une chose est certaine : La perdre peut être très dommageable. Prenez en considération les clients potentiels du détaillant Target, qui a déjà été cité dans cette étude. «Si vous allez sur Google pour faire des achats et que vous êtes plutôt inondé de nouvelles sur la faille de leurs données, ceci peut vous décourager de votre envie d’acheter» déclare Lori Bailey, Chef international de la gestion et de la RC professionnelle à Zurich.

29 Greisiger, Mark. NetDiligence® 2013, ‘Cyber Liability & Data Breach Insurance Claims, A study of Actual Claim Payouts.’ http://www.netdiligence.com/files/CyberClaimsStudy-2013.pdf

«L’aide n’est pas gratuite. Les enquêteurs en cybercriminalité peuvent facturer jusqu’à 1000 $US de l’heure.»

12

«Se protéger contre les cyber-risques: la résistance est la cléLorsqu’il s’agit de la sécurité informatique, même les géants de l’internet peuvent avoir des pieds d’argile. Les infractions de données, les attaques de virus, les fraudes et les vols ont frappé les organisations les plus sophistiquées. Personne n’est vraiment à l’abri.

Ceci ne va vraisemblablement pas disparaître bientôt. Les cybercriminels, les pirates et les cyber-combattants sont engagés dans une course aux armements permanente, et améliorent régulièrement leurs outils et leurs méthodes de vol, de fraude et de destruction. Entre-temps des accidents vont survenir quelquefois.

Il est donc conseillé aux entreprises de prendre d’abord des précautions, à la fois à l’interne et à l’externe, et en même temps de se concentrer sur la résistance et la capacité de se remettre très vite de l’attaque ou de l’erreur qui sont pratiquement inévitables.

À l’intérieur de l’entrepriseL’approche de la gestion des risques informatiques de toute organisation devrait se concentrer sur les gens, les processus et la technologie déclare Tim Stapleton de chez Zurich. Il ajoute que certains experts débattent sur le fait que 90 pourcent des infractions pourraient être évitées en suivant des principes de sécurité de base.

Comme toujours, ce sont les gensGagner les cœurs et les esprits est important pour limiter les risques de piratage informatique. Et dans ce sens, faire des progrès en matière de sécurité informatique n’est pas différent de tout autre défi des entreprises. D’abord quelqu’un doit être tenu responsable. Ensuite, la prise de conscience et les meilleures pratiques doivent circuler au sein de l’organisation.

ResponsabilitéQui peut mieux coordonner ceci que le gestionnaire des risques? Selon certains, des organisations aux s É.-U. et en Europe ont assemblé des comités sur la sécurité des données de différents secteurs des organisations, y compris le service de la gestion des risques. «Le gestionnaire des risques est souvent considéré comme le canal d’une approche de la gestion des risques en matière de sécurité et de protection des renseignements personnels, au sein d’une organisation,» explique Lori Bailey de chez Zurich.

Ceci peut aller contre la pratique ordinaire qui souvent voit les risques informatiques comme un travail pour le service des TI. Un nombre grandissant d’entreprises se rendent compte maintenant que la sécurité informatique va bien au-delà du service des TI. Une gamme étendue de problèmes tels que les données perdues ou volées, les violations des lois sur la vie privée, l’atteinte à la propriété intellectuelle et les risques liés aux médias sociaux tel que la cyber intimidation et le harcèlement textuel constituent un éventail plus grand de risques informatiques.

Un certain nombre de sociétés vont même plus loin en nommant un Chef de la sécurité informatique. Ceci permet de réduire les coûts d’infractions de données d’une entreprise.

L’éducation, l’éducation, l’éducationDans une grande mesure, la promotion d’un comportement de «cyber sécurité» n’est pas différente d’une autre campagne de sécurité. Les employés, les partenaires d’affaires et les clients doivent être prévenus à l’avance et souvent à propos des menaces et des défenses. Ceci devient un devoir conjoint des services des TI et des Communications. Les campagnes tendent à être plus complexes que, disons, rappeler

Une prévention totale peut être impossible. La planification peut faire toute la différence en matière d’intervention et de rétablissement.»

13

aux gens d’utiliser des ceintures de sécurité ou des casques. Les risques cybernétiques sont nombreux et variés et évoluent régulièrement.

La non-conformité devrait être traitée comme dans tout autre secteur. Les gens qui enfreignent les codes de sécurité informatiques devraient être avertis et punis comme il convient avec des infractions sérieuses pouvant mener jusqu’à un congédiement.

Processus de cyber sécuritéUne responsabilité définie comme pratique de «cyber sécurité» devrait faire partie des processus commerciaux d’une entreprise. Ces activités de base dit Tim Stapleton, de chez Zurich sont les suivantes :• Mettre en place des processus et

des procédures, tels que la sécurité des documents physiques et des restrictions relatives à l’utilisation des appareils mobiles et personnels sur les lieux de travail.

• Assurer un niveau de compréhension des risques dans toute l’entreprise de façon à ce que la technologie, les services des ressources humaines et du marketing collaborent, partagent et coordonnent les activités.

• Assurer que les fournisseurs externes, tels que les fournisseurs qui traitent des informations sensibles respectent vos protocoles sur la sécurité des données.

Par exemple, que se passe-t-il avec les medias sociaux? Les entreprises devraient penser à leur approche sur Facebook®, LinkedIn®, Twitter® et autres. Les approches relatives à leur utilisation peut aller de l’interdiction à l’encouragement – la question est d’avoir une politique claire. Beaucoup d’entreprises n’en n’ont toujours pas. Une enquête demandée par Zurich

montre qu’environ trois entreprises sur quatre ont une politique claire en moyenne.30

Un autre aspect clé est de définir quels sont les «bijoux de la couronne» des données d’une compagnie. Qu’il s’agisse des coordonnées des clients, des données des cartes de crédit, de la propriété intellectuelle ou des connaissances, il devrait y avoir une compréhension claire de la valeur que ces éléments apportent à l’organisation. Dans son rapport, l’Institut de la gestion des risques «Cyber Risk»31, presque toutes les violations de données comprennent des techniques relativement simples. Une étude du gouvernement du Royaume-Uni remarque qu’«une gestion des risques de base» et des contrôles de sécurité pourraient vaincre 80 pourcent des attaques cybernétiques.32

Défenses techniquesNaturellement il y a des barrières techniques qui peuvent et devraient être mises en travers des accidents et des attaques. En effet, Zurich coopère avec la société de sécurité digitale, le Kudelski Group pour offrir des outils de pointe (voir l’encadré). Ceci comprend, l’authentification, la cryptographie, les systèmes de détection d’intrusion, les systèmes de prévention, le développement d’applications de sécurité, les réseaux privés virtuels, la protection contre les virus et la gestion des correctifs.

Pour le lecteur non-technique de cet article, la question clé dont il faut se souvenir est que la technologie n’est qu’un morceau du puzzle de la sécurité. Du matériel et des logiciels intelligents ne peuvent pas tous seuls assurer la sécurité de l’information.

L’équipe Kudelski-ZurichVers la fin 2013, Zurich a annoncé qu’elle coopérerait avec Kudelski Security, la division de la sécurité informatique du Kudelski Group, pour soutenir un produit d’assurance informatique novateur.

Kudelski Security combine plus de 20 ans de savoir-faire technologique avec une expertise juridique, de la conformité, des enquêtes sur le terrain et des communications en cas de crise, selon Christophe Nicolas, un premier vice-président chez Kudelski Security. «Nous sommes honorés de faire équipe avec Zurich pour offrir à ses clients toute une gamme de solutions telles que les évaluations des risques informatiques, la consultation, ainsi qu’une équipe d’intervention rapide» dit-il.33

33 Press release, Nagra Kudelski Group. ‘Kudelski security cooperates with Zurich Insurance Group to offer cyber security services.’ 19 August 2013. http://www.nagra.com/media-center/press-releases/kudelski-security-cooperateszurich-insurance-group-offer-cyber-security

30 Advisen Insurance Intelligence. Zurich Insurance Company. ‘2013 Information Security & Cyber Liability Risk Management.’ https://www.advisen.com/pdf_files/information-security-cyber-liabilityrisk-management-zurich-2013-10-18.pdf

31 Institute of Risk Management, ‘Cyber Risk Executive Summary.’ 2014. http://www.theirm.org/media/883443/Final_IRM_Cyber-Risk_Exec-Summ_A5_low-res.pdf

32 Department for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Cabinet Office/Office of Cyber Security & Information Assurance. ’10 Steps to Cyber Security.’ 2012 https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/73128/12-1120-10-stepsto-cyber-security-executive.pdf

14

La résistance et l’assurancePour organiser la meilleure défense contre les risques de l’informatique, l’expérience suggère qu’il ne suffit pas de mettre en charge les bonnes personnes, de rendre les processus sécuritaires et de construire les bons pare-feu. En plus de cela, vous devez être préparé à vous remettre de l’attaque ou de l’accident inévitable. L’assurance peut garantir non seulement les pertes mais aussi les coûts de remise sur pieds.

Se préparer à la failleLa triste histoire est qu’une forme de faille, quelque part d’une manière ou d’une autre, est presque inévitable. Donc, bien que le fait d’avoir les gens et les processus de prêts, permettra d’atténuer et de limiter l’importance de la faille, il sera toutefois nécessaire d’avoir un plan de reprise des activités.

Pour ses clients des entreprises, Zurich aide à aborder cette question en trois parties principales.• Être prêt: Est-ce que vous avez une

équipe d’intervention sur place? Quand vous rendrez-vous compte que vous avez été victime d’une infraction? Est-ce que vous avez des vérifications sur les activités de collecte des données, y compris les tiers et les fournisseurs de services informatiques en nuage? Où est-ce que les renseignements sensibles sont conservés et entreposés, est-ce que c’est sécuritaire? Est-ce que vous avez contrôlé le flot des données dans votre entreprise et avec les fournisseurs, y compris une vérification de la sécurité et de la confidentialité? Est-ce que les employés sont formés adéquatement et préparés à déclarer des cas de perte de données ou des attaques? Est-ce que vous êtes au courant des obligations règlementaires? Est-ce que vous avez accès à des fournisseurs de services spécialisés, telles que les relations publiques et la gestion

des risques? Comment est-ce que vous communiquez avec vos clients, vos partenaires et vos actionnaires lorsqu’un incident est arrivé?

• L’exercice d’incendie: Est-ce que vous savez comment exécuter un examen judiciaire pour déterminer combien de dossiers ont été affectés? Qui doit être informé au sein de l’organisation et qui peut aider? Comment est-ce que les dommages peuvent être contenus? Quand est-ce que les victimes devraient être avisées et que devraient-elles savoir ? Est-ce que vous devriez mettre en place un centre d’appels pour aider les victimes? Quel contrôle du crédit/de l’identité et quels services de prévention des fraudes doivent être fournis ? Comment rétablissez-vous votre réputation sur le marché ? Comment est-ce que vous vous défendrez au tribunal ou contre les législateurs ?

Le lendemain: À la suite de l’exercice d’incendie, vous devez établir quels sont les coûts qui sont couverts par l’assurance et quel budget couvre des dépenses supplémentaires, comment enquêter sur l’incident afin d’en tirer des leçons.

AssuranceLes entreprises devraient prendre en considération l’assurance contre des situations où leurs affaires tombent victimes de prédateurs ou d’accidents informatiques. Certaines couvertures seront fournies en vertu de polices conventionnelles, toutefois de plus en plus d’entreprises découvrent qu’elles ont aussi besoin de garanties informatiques spécifiques et supplémentaires. Aux É.-U. par exemple, 52 pourcent d’environ 300 entreprises qui ont été sondées pour le compte de Zurich en 2013 ont déclaré avoir acheté de l’assurance contre la responsabilité informatique. Ceci était une augmentation par rapport à 44 pourcent en 2012 et 35 pourcent en 2011.3434 Advisen Insurance Intelligence. Zurich Insurance

Company. ‘2013 Information Security & Cyber Liability Risk Management.’ https://www.advisen.com/pdf_files/information-security-cyber-liabilityrisk-management-zurich-2013-10-18.pdf

15

Garantie conventionnelleLes dommages provenant de crimes ou d’accidents informatiques, seront couverts, dans une certaine mesure dans le cadre d’une assurance conventionnelle. Une politique de RC commerciale, couvrira les pertes ordinaires telles les installations endommagées, l’équipement brisé, ou l’inventaire endommagé. «Les garanties conventionnelles peuvent inclure la perte des données électroniques résultant de la défaillance ou de la force majeure, mais n’incluront pas très probablement certains des nouveaux dangers de l’époque de l’internet.» selon les consultants de Prism Risk Management.35

Garantie informatiqueZurich travaille pour développer une police sur la protection de la sécurité et de la confidentialité qui couvre les parties que les polices conventionnelles ne couvrent pas et qui aussi améliorent la résilience. Ceci couvre la responsabilité et la garantie directe de l’assuré, qui comprend les coûts de l’atteinte à la vie privée et la perte d’exploitation et qui peut aider à atténuer la publicité négative et l’insatisfaction de la clientèle : • Coûts de l’atteinte à la vie privée

incluent: les frais d’enquête judiciaire du système informatique de l’entreprise pour déterminer la cause ou l’étendue d’une atteinte à la vie privée et certains frais juridiques et de relations publiques.

• Garantie des frais de remplacement des biens numériques.

• Garantie de la perte d’exploitation et de la perte d’exploitation découlant de la défaillance de tiers indispensables.

• Garantie de la menace de cyber extorsion et des paiements de récompenses.

Garantie des tiers qui comprend une garantie limitée pour les procédures règlementaires, les frais de la défense et la garantie optionnelle de la responsabilité civile liée aux médias sur l’internet : • Garantie de la responsabilité sur

la sécurité et la confidentialité, qui inclut la garantie des frais de défense et de poursuites.

• Garanties des amendes civiles et pénalités (disponible en option).

• Responsabilité civile des médias sur l’internet (disponible en option).

À l’extérieur de la CompagnieÀ l’extérieur, il peut être bénéfique pour les entreprises de s’impliquer dans le débat à propos de la politique publique relative aux risques cybernétiques. On peut diviser ceci en deux codes principaux: les codes et les normes et la législation ou la règlementation. En général, la première catégorie peut être vue comme la «carotte» qui encourage une bonne attitude et la seconde catégorie comme le «bâton» qui décourage les mauvais comportements.

Codes/normesL’Organisation internationale de normalisation (ISO) possède un ensemble de 27000 normes ISO pour aider les entreprises à conserver les actifs informationnels en sécurité.36 Les entreprises peuvent appliquer les normes, demander une accréditation et contribuer au développement à venir des normes. Zurich a déjà fait une demande ISO 27000 pour la souscription de l’assurance de détail, en particulier pour le Payment Card Industry Data Security Standard (PCI DSS).

35 ‘Cyber Risk Insurance: When Conventional Liability Coverage Might Not be Enough. Prism Risk Management LLC. http://prismrm.wordpress.com/2012/09/16/cyber-risk-insurancewhen-conventional-liability-coverage-might-not-be-enough/

36 For more information, see: http://www.27000.org/

Le National Institute of Standards and Technology, qui fait partie du Ministère du commerce des É.-U. a un service sur la sécurité informatique qui fait de la recherche sur la sécurité cybernétique et aussi développe des normes.

Beaucoup d’autres initiatives - des coopérations publiques, privées et semi-privées - sont en cours dans diverses régions et secteurs commerciaux.

Législation/règlementsAvec l’expansion de l’internet, et l’émergence non moindre des Wikileaks et le déroulement de l’affaire Edward Snowden, la confidentialité est devenue un problème public important. Beaucoup de pays ont maintenant ce qu’on appelle des lois sur «la violation des données et de la confidentialité», qui pénalisent les entreprises pour laisser fuir des secrets. Un exemple est la Hong Kong’s Personal Data (Privacy) Ordinance. Instaurée vers la fin 2012, la loi impose des avis et des demandes de consentement pour les utilisateurs de données et distribue des amendes et des pénalités criminelles potentiellement importantes pour les utilisateurs de données qui enfreignent ces obligations.

Il est conseillé aux entreprises d’apprendre les règles sur la confidentialité des données de leur juridiction de compétence et de prendre les mesures qui s’imposent pour assurer la conformité.

Zurich416-586-3000www.zurichcanada.com

Le logo de Zurich et Zurich sont des marques déposées de Zurich Compagnie d’Assurances SA

Zurich Compagnie d’Assurances SA (Direction canadienne)

Les renseignements qui figurent dans cette publication ont été compilés à partir de sources fiables à des fins d’information seulement. Toutes les politiques et/ou procédures dans la présente publication doivent servir de lignes directrices lesquelles vous pouvez utiliser pour créer vos propres politiques et procédures. Nous croyons que vous personnaliserez ces modèles pour qu’ils soient le reflet de vos propres opérations et croyons que ces modèles peuvent servir de plate-forme utile pour cette tâche. Toute l’information contenue dans ce document ne vise pas à constituer un conseil juridique, et par conséquent, vous devez consulter vos propres avocats lorsque vous élaborez des programmes et des politiques. Nous ne garantissons nullement l’exactitude de ces renseignements ni les résultats. Nous n’assumons en outre aucune responsabilité par rapport à cette publication, les politiques modèles et procédures, y compris les renseignements, les méthodes ou les suggestions en matière de sécurité contenues dans la présente publication. De plus, Zurich vous rappelle que cette publication ne saurait être considérée comme un document comportant toutes les procédures acceptables en matière de sécurité et de conformité et ne saurait impliquer que des procédures autres pourraient ne pas être appropriées dans les circonstances. Le sujet de cette publication ne couvre pas toutes les situations liées à un produit d’assurance et le fait d’adopter ces politiques et procédures n’offre en outre aucune protection en vertu de quelque police d’assurance que ce soit.

©2015 Zurich Compagnie d’Assurances SA

A1-112005402-A (04/15) 112005402

Vous voulez plus d’articles comme celui-ci? Inscrivez-vous à Distinctive Risk Insights.

Vous recevrez périodiquement des courriels de Zurich Canada qui vous donneront accès directement à des documents de renseignements techniques, à des outils de gestion des risques, à des webinaires et à des vidéos instructives qui portent sur des sujets d’affaires d’actualité se rapportant à des risques.

www.zurichcanada.com/distinctive-risk-insights