livre blanc « E-commerce : Gérer le risque de la cybercriminalité
15
commerce GÉRER LE RISQUE DE LA CYBERCRIMINALITÉ
Transcript of livre blanc « E-commerce : Gérer le risque de la cybercriminalité
commerceG É R E R L E R I S Q U E D E L AC Y B E R C R I M I N A L I T É
Sommaire
Introduction E-commerce : un secteur en forte croissance, cible privilégiée pour les cyber-pirates 4
Chapitre 1 Un environnement juridique de plus en plus contraignant 6
1. Bientôt une obligation généralisée de notification en cas d’atteinte aux données ? 6
2. L’alourdissement de la responsabilité des administrateurs des systèmes d’information ? 6
3. Des « class-actions » à la française : un nouveau danger pour les e-commerçants ? 7
4. Le niveau de protection des données comme nouveau critère de leur importance ? 7
5. Vers une protection des adresses IP des consommateurs ? 7
Chapitre 2 Risques et enjeux du e-commerce face à la cybercriminalité 8
1. Par quel type de cyber-attaque une entreprise de e-commerce peut-elle être touchée ? 8
2. Les enjeux : qu’est-ce que le e-commerçant doit protéger en cas de cyber-attaque ? 8
Chapitre 3 Transférer le risque à un assureur spécialiste 11
1. L’assurance, un moyen d’éviter la faillite 11
2. La nécessité de s’en remettre à un réseau d’experts 12
3. Pourquoi avoir recours à un assureur spécialiste ? 13
Conclusion Et demain… ? 14
3
Introduction
E-commerce : un secteur en forte croissance, cible privilégiée pour les cyber-piratesEn 2008 en France, le secteur du e-commerce représentait 50 000 sites, 20 millions d’acheteurs et 20 milliards d’euros de chiffre d’affaires. En cinq ans, ces chiffres ont doublé : on dénombre aujourd’hui plus de 100 000 sites de vente en ligne, qui attirent 30 millions de clients et génèrent 45 milliards d’euros de chiffre d’affaires1.
Ce secteur à la croissance vertigineuse, qui brasse une très grande quantité de données, fait de la nouvelle génération de commerçants la cible privilégiée des cyber-pirates. En effet, en 2012, 48%2 des cyber-attaques ont visé des sites de vente en ligne, à la recherche de bases de données qui comportent toutes les coordonnées postales et bancaires des clients des entreprises.
Pourtant, en tant que responsable marché Technologies-Médias-Télécom chez Hiscox France, assureur spécialiste, François Brisson observe que « la sécurisation des systèmes d’information n’est pas pour les entreprises de e-commerce une priorité d’investissement ni lors de leur création, ni dans les premières années de leur développement. Cela les rend tout particulièrement vulnérables aux cyber-attaques ».
50% des attaques répertoriées en 2012 ont visé des structures de moins de 250 personnes3, parce que :
• elles ont moins conscience de l’existence d’un risque lié à la détention de données sensibles,
• le niveau de sécurité de leurs systèmes est plus faible que celui des grands groupes,
• ces petites entreprises servent souvent de point d’entrée vers les plus grandes.
Les attaques dont sont victimes même les plus prudentes des entreprises montrent bien qu’il n’existe pas de défense technique parfaite : les spécialistes du secteur de la cyber-sécurité ont beau redoubler d’efforts pour améliorer leurs offres et l’efficacité de leurs solutions, force est de constater que la gestion du cyber-risque doit désormais dépasser le seul cadre des outils technologiques.
Astrid-Marie de Souza,Gestionnaire sinistres Technologies-Médias-Telecom, Hiscox France
(1). iCE Fevad, 2012 / Médiamétrie, Observatoire des usages internet, 2012. (2). Trustwave, 2013 Global security report. (3). Symantec, ISTR 2013.
4
Contexte
Focus sur un fort développementqui engendre de fortes vulnérabilités…
Développement du e-commerce en France
CHIFFRES CLÉS DU SECTEUR
Nouvelles cibles de la cyber-criminalité
x2
DE NOUVELLES FORMES DE E-COMMERCE PLUS VULNÉRABLES
(1). iCE Fevad, 2012 / Médiamétrie, Observatoire des usages internet, 2012. (2). Trustwave, 2013 Global security report. (3). Symantec, ISTR 2013.
Depuis quelques années, la Fnac, Amazon, Voyages SNCF ou encore LastMinute ont transformé leurs e-stores en véritables plateformes ouvertes (« places de marché », ou « marketplaces »), sur lesquellesleurs partenaires commercialisent leurs propres produits. Par exemple,sur le site d’un voyagiste, on peut aujourd’hui acheter un billet d’avion, réserver un hôtel, louer une voiture, souscrire une assurance voyage, chaque fois auprès de prestataires différents mais sur la même interface.
➜ Les places de marché1, une porte d’entrée plus large pour les cyber-pirates
Effet 1 Effet 2 Effet 3
➜ Un partage accru des données clients sensibles (coordonnées bancaires et postales) pour des niveaux de sécurisation inégaux.
➜ Une interpénétration grandissante entre les systèmes des petites et grandes structures présentes sur ces places, permettant notamment aux cyber-pirates d’utiliser les sites des petites entreprises, moins sécurisés, pour pénétrer les systèmes des grands groupes.
➜ Des incertitudes sur la sécuritédes paiements : si le standard PCI DSSimpose le cryptage des données bancaires au moment de la transaction, le système d’information de chaque maillon de la chaîne n’est pas soumisau même niveau d’exigence de protection,des points majeurs de vulnérabilité persistent donc.
50 000 sites
100 000 sites
20 M d’acheteurs
30 M d’acheteurs
2008
2013
20 Mgde CA
45 Mgde CA
Victimes de
48%des cyber-attaques
Victimes de
50%des cyber-attaques
Entreprises de— de 250 salariéscommerçants
5
+400%d’actescyber
criminels
14%d’acheteurs
via leurmobile
DE NOUVELLES FORMES DE E-COMMERCE PLUS VULNÉRABLES
(1). Commerce mobile. (2). Forrester Research, Mobile commerce forecast 2011 to 2016, juin 2011. (3). Trustwave, 2013 Global security report. (4). Symantec, ISTR 2013. (5). « Bring your own device » : utilisation par le personnel des entreprises de terminaux personnels dans le cadre professionnel (smartphones et tablettes en particulier). (6). Agence nationale de la sécurité des systèmes d’information : Recommandations de sécurité relatives aux ordiphones. (7). Dimensional Research & Check Point, Impact of mobile devices on information security, janvier 2012.
Raison 1 Raison 2
➜ Le M-commerce1, des environnements mobiles moins bien sécurisés
Le secteur de la vente en ligne via des applications mobiles pour smartphones et tablettes est un marché nouveau. En effet, le premier objectif d’une entreprise qui investit dans une application mobile consiste à être visible sur le marché qu’elle cible, pour attirer les clients potentiels et gagner rapidementdes parts de marché.
La sécurisation des systèmes vient bien plus tard dans sa stratégiede développement.
Nombre d’acheteurs sur mobiles
Cybercriminalité via les mobiles
Les systèmes d’exploitation (OS) et applications proposés sur ces terminaux sont aujourd’hui moins sécurisés que les systèmes des ordinateurs, exposés à la menace cyber depuis plus longtemps ; Android, l’OS de Google, est ainsi le plus fréquemment ciblé des OS mobiles, parce qu’il est le plus ouvert (103 des 108 nouvelles menaces détectées dans le monde en 2012)4.
L’essor du « Bring your own device » (BYOD)5
dans les entreprises n’est pas accompagné d’une adaptation des politiques de sécurité IT. À cet égard, l’ANSSI6 a publié en mai 2013 une note technique, qui insiste tout particulièrement surles risques de l’absencede politique de gestiondu risque BYOD.
La cybercriminalité spécifi quement axée vers les terminaux mobilesa explosé au cours de l’année 2012 par rapport à l’année précédente3.
En janvier 20127, 71% des professionnels IT estiment que les terminaux mobilesont contribué signifi cativement à l’augmentation du nombre d’incidents de sécurité,
en particulier en raison de la négligence des employés qui transfèrent des données clients sensibles sur leurs terminaux mobiles personnels.
Actuellement en France,14% des acheteursen ligne (soit 4,3 millionsde personnes) ont déjàeffectué un achat depuisleur téléphone mobile.
Les revenus du m-commerce2 en Europe devraient s’élever en 2017 à 19 milliards d’euros pour 80 millions d’acheteurs(ils n’étaient que 8 millions en 2011).
6
Chapitre 1
Un environnement juridiquede plus en plus contraignantCompte tenu de l’exposition grandissante du secteur e-commerce aux cyber-risques, les évolutions de la réglementation à venir vont s’avérer cruciales.
1. Bientôt une obligation généralisée de notifi cation en cas d’atteinte aux données ?À l’heure actuelle, seuls les opérateurs de télécommunications électroniques ont l’obligation de notifi erles incidents de sécurité qui concernent les données personnelles au régulateur (la CNIL1 en France)et/ou aux individus propriétaires desdites données. Or, l’Union européenne envisage aujourd’hui d’étendre cette obligation à toutes les entreprises, comme c’est déjà le cas aux Etats-Unis depuis 2005.
La notifi cation devrait alors être assortie :
• d’une description de la nature de l’incident et des données concernées,
• de recommandations d’actions correctrices,
• de la liste des conséquences envisageables,
• et des mesures proposées et adoptées.
Il s’agit d’informations d’autant plus coûteuses à transmettre qu’il faudra les obtenir et les formaliserdans un délai extrêmement court (probablement en moins de 48 heures).
2. L’alourdissement de la responsabilité des administrateurs des systèmes d’information ?Un jugement du Tribunal correctionnel de Créteil du 23 avril 2013 démontre l’importance croissante de l’anticipation des risques par les professionnels, puisqu’il prive une société de son action en délit d’accès et maintien frauduleux en cas d’intrusion non autorisée lorsqu’elle est laxiste sur la sécurité de son réseau informatique.
Désormais, les entreprises ne peuvent plus faire, en bons professionnels, l’économie d’une politiqueet d’un budget de sécurité IT.
(1). Commission nationale de l’informatique et des libertés.
➜ Coûts internes : rechercher les données touchées et les individus concernés, frais de notifi cation, etc.
➜ Préjudice d’image qu’une telle publicité peut engendrer.
➜ Coûts externes : expert IT, assistance juridique, etc.
➜ Sanctions administratives que la CNILpourrait prononcer (de 250 000 à 1 million d’euros, ou 2% du chiffre d’affaires mondial de l’entreprise), auxquelles s’ajoutent les sanctions pénales déjà existantes (cinq ans de prison et 300 000 euros d’amende).
UNE NOUVELLE CONTRAINTE COÛTEUSE
Cette évolution aurait donc un coût signifi catif pour les entreprises :
Sans compter les effets collatéraux :
7
3. Des « class-actions » à la française : un nouveau danger pour les e-commerçants ?1
Le projet de réforme en cours sur le droit de la consommation vient renforcer la responsabilitédes professionnels vis-à-vis des consommateurs, notamment par les mesures suivantes :
4. Le niveau de protection des données comme nouveau critère de leur importance ?2
Le projet de loi relatif à la protection du secret des affaires a pour objectif la préservation des informations vitales de l’entreprise, qui seront qualifi ées ou non de « secrets d’affaires » en fonction notamment :
• de la gravité des conséquences en cas de divulgation (impact négatif sur « le potentiel scientifi que ou technique, les positions stratégiques, les intérêts commerciaux ou fi nanciers ou la capacité concurrentielle »),
• des mesures de protection spécifi ques dont elles feront l’objet (accès limité, stockage dans des espaces sécurisés, dispositifs de cryptage, etc.).
5. Vers une protection des adresses IP des consommateurs ?L’« IP tracking » est la mémorisation des adresses IP des visiteurs d’un site marchand. Cette pratique permet notamment d’augmenter le prix des produits consultés à chaque visite pour faire croire au visiteur que ces produits sonttrès demandés et qu’il doit fi naliser son achat immédiatement.
Saisie sur la légalité de cette pratique, la Commission européenne a rendu récemment un avis3 dans lequel elle considère que les adresses IPdes internautes doivent être traitées comme des données personnelles,et donc soumises aux règles applicables aux données personnelles en matièrede déclaration, de traitement et de notifi cation en cas d’incident.
(1). Présentation du projet de loi consommation par Pierre Moscovici et Benoît Hamon. (2). Rapport du député Bernard Carayon, janvier 2012. (3). Avis du 12 mars 2013 sur saisine de l’eurodéputé François Castex.
Une association de consommateurs va agir en justice pour protéger les intérêts d’un groupe de victimesdes manquements d’un professionnel. Si le Tribunal retientla responsabilité du professionnel, il pourra ordonner, aux frais de ce dernier, la mise en place de mesures d’information à destination d’autres consommateurs potentiellement concernés. Ces derniers, s’ils le souhaitent, pourront alors se manifester auprès du professionnelou auprès de l’association de consommateurspour obtenir réparation.
Le juge saisi par une association de consommateurs pourra désormais prononcer la suppression d’une clausequ’il aura jugée abusive,non seulement dans le contrat dont il a été saisi, mais aussi dans tous les autres contrats identiques qui contiendraientla même clause.
« Class-actions » ou « actions de groupe » Clauses abusives
8
Chapitre 2
Risques et enjeux du e-commerce face à la cybercriminalité1. Par quel type de cyber-attaque une entreprise de e-commerce
peut-elle être touchée ?
a. L’indisponibilité du site de vente en ligne
Le cyber-pirate peut empêcher le e-commerçant d’exercer normalement son activité, en particulier par le biais d’attaques par « déni de service »1. Ce processus consiste, pour un cyber-pirate, à rendre un site internet « indisponible », par exemple en lui envoyant simultanément un très grand nombre de requêtes d’accès, supérieur à ce qu’il est capable de traiter. Le risque pour un e-commerçant est tel que la simple menaced’une attaque par déni de service peut le conduire à verser à un cyber-pirate une rançon pour protégersa plate-forme de vente.
(1). Denial of service ou distributed denial of service (déni de service distribué, DDoS)
LE MÉCANISME DU DÉNI DE SERVICE
➜ In fine, cela empêche les consommateursde faire des achats sur la plate-formeet les décourage souvent d’y retourner.
Sur internet, tout doit être simple et aller trèsvite : par conséquent, en cas de difficulté oude contretemps, l’e-acheteur se lasse rapidement. Il risque donc d’abandonner un process d’achat qui ne se déroule pas de manière parfaitement lisse (apparition de pages d’erreur, enregistrement de ses coordonnées à plusieurs reprises, incident lors de la validation du paiement, etc.), et ce quelle qu’en soit la raison.
De la même manière, un site disponible mais fortement ralenti pourra avoir un impact négatif sur le chiffre d’affaires du e-commerçant, tout autant qu’une interruption complète.
➜ Autres conséquences pour l’entreprisedont le site est rendu indisponible :une dégradation de son référencementsur les moteurs de recherche et un impactsur sa e-réputation.
Le référencement correspond à la visibilité de l’e-commerçant sur internet : apparaître sur la première page de résultat d’un moteur de recherche, être mentionné sur des sites comparateurs de prix, apparaître dans des commentaires positifs d’utilisateurs, etc.
En pratique, c’est à la fois la vitrine et la porte d’entrée d’un e-commerçant, ce qui amène les consommateurs chez lui et génère son chiffre d’affaires chaque jour.
Effet 1 Effet 2
L’effet d’une attaque par déni de service est exactement le même que celui d’un pic anormal de fréquentation : le site est rendu inaccessible aux usagers normaux sans raison apparente, et les données qu’ils y ont déjà rentrées sont compromises. Par exemple, l’opération menée contre le PlayStation Network de Sony en 2011 était une attaque par déni de service.
9
b. La manipulation des données à des fins malveillantes
Aujourd’hui, 97% des données sensibles visées lors d’une cyber-attaque sont des données personnelles de particuliers1 (état civil, informations bancaires ou de SEPA2, dossier médical, etc.).
Parallèlement, l’exposition des entreprises en cas d’atteinte à leurs données stratégiques est de plus en plus cruciale, en raison des conséquences potentielles sur l’image du site marchand (dégradation du référencement, commentaires des utilisateurs, perte de confi ance des investisseurs, etc.).
En particulier, la fraude à la carte bancaire sur internetest en augmentation structurelle depuis 20053 et a explosé au cours de l’année 2012, avec deux millions de commandes clients frauduleuses : 1,7 milliard d’euros de tentatives de fraude, pour une valeur moyenne d’un peu moins de 300 euros.
97%
LA CIBLEDES CYBERATTAQUES
des donnéesvisées sont personnelles
(1). Trustwave, 2013 Global security report. (2). Single Euro Payments Area, nouveau processus de virement/prélèvement du marché unique européen (3). Certissimo, avril 2013, La fraude à la carte bancaire sur internet.
LE MÉCANISME DE LA MANIPULATION DES DONNÉES
Étape 1
Étape 2
➜ L’obtention de données sensibles par les cyber-piratesvia phishing, infi ltration dans des processus d’achats non sécurisés, vols physiques, utilisation de matériel perdu par les entreprises, fabrication de faux papiers, achats de lots de données sur les forumde hacking, piratage de mots de passe, etc.
Dès cette première étape, les e-commerçants sont exposés,puisqu’une très grande quantité de ces données sensiblesest stockée dans leurs systèmes IT.
➜ L’utilisation à des fi ns malveillantes de ces données, par usurpation d’identité civile ou postale pendant le processus même d’achat (par exemple, modifi cation en cours de commande de l’acheteur pour que le produit soit expédié à l’adresse du cyber-pirate, utilisation de faux points relais de livraison, etc.).
Cette seconde étape est également un risque majeur pour les sites de vente en ligne : cibles privilégiées des cyber-pirates bien plus que les commerçants physiques, ils devront supporter à la fois le coût du produit, les frais d’envoi, les problématiques annexes de gestion de stocks, etc.
Elle peut avoir des conséquences signifi catives pour les e-commerçants : même s’ils ne supportent pas les coûts de la fraude bancaire stricto sensu (qui sont gérés par les banques), ils stockent souvent avec les données bancaires de nombreuses autres informations sur leurs clients qui peuvent intéresser un cyber-pirate en plus des données fi nancières : coordonnées postales, adresses IP, historiques d’achat, adresses mails, profi ls marketing, etc.
Le terme “phishing” vient
de la contraction des mots anglais “phreaking”
(pirater une ligne téléphonique) et “fi shing”
(pêcher). Il désigne une technique employée par
les cyber-pirates pour obtenir des informations
des internautes (logins, mots de passe, codes
d’accès, etc.)
La violation de données dans ce cas se décompose en deux étapes distinctes :
10
2. Les enjeux : qu’est-ce que le e-commerçant doit protéger en cas de cyber-attaque ?
a. Protéger le bilan de son entreprise
Les données à la fois personnelles et stratégiques des entreprises peuvent être copiées, modifiées, endommagées, détruites ou utilisées à des fins malveillantes par les cyber-pirates : elles pourront être vendues à leurs concurrents, publiées sur internet, ou encore utilisées directement contre leurs propriétaires.
Pour l’entreprise, le risque est donc évidemment de recevoir des réclamations des tiers dont les données ont été manipulées par un cyber-pirate, outre les coûts internes qu’elle devra supporter (audit et réparation de son système, assistance juridique, préservation de ses relations commerciales, etc.). Il faut souligner qu’en général, ce type de risque ne fait pas l’objet d’une provision particulière dans un budget, de sorte que ces sommes viennent directement impacter l’actif de l’entreprise.
Mais surtout, toutes les atteintes contre le site internet, à la fois vitrine et outil de vente de l’entreprise de e-commerce, peuvent avoir pour cette dernière des conséquences considérables sur son chiffre d’affaires :
• l’interruption totale de la vente pendant plusieurs heures, voire plusieurs jours,
• des difficultés dans la gestion des stocks, notamment suite à la perte de la marchandise et de son prix, et frais de transport parfois conséquents engagés lors de la livraison,
• la prise en charge des frais des tiers (renouvellement de carte bancaire, émission d’un nouveau chéquier, frais d’opposition, etc.), voire les recours exercés contre elle par les tiers ou par les banques pour tenter d’engager sa responsabilité, lorsqu’elle n’a pas suffisamment sécurisé l’accès et l’utilisation de son système.
b. Protéger la réputation de son entreprise
L’atteinte à la réputation de l’entreprise est une conséquence non négligeable d’une cyber-attaque, que ce soit vis-à-vis des clients finaux, des partenaires commerciaux, ou encore des investisseurs.
C’est d’ailleurs une situation facilement compréhensible : qui aurait envie de faire affaire – et donc de confier son argent ou ses données personnelles – à une entreprise dont l’expérience tendrait à montrer qu’elle n’est pas en mesure d’en assurer la pleine et entière sécurité ?
Peu importe à cet égard qu’il s’avère impossible d’assurer une sécurité absolue des données : il existera toujours un sentiment négatif à l’égard de l’entreprise victime d’un incident, qui sera automatiquement considérée comme responsable de la faille de sécurité de son système d’information.
Par exemple, suite à l’attaque du PlayStation Network en 2011, la presse du monde entier a évoqué les « millions de victimes de Sony » et non les « millions d’abonnés de Sony victimes des cyber-pirates » – problématique qui sera plus cruciale encore lorsqu’entrera en vigueur la nouvelle réglementation européenne sur les données personnelles, qui obligera les entreprises à rendre publiques toutes les attaques dont elles feront l’objet.
Or, l’explosion du web 2.0 a rendu les e-commerçants plus vulnérables aux commentaires négatifs de leurs clients voire de leurs concurrents. Ils doivent donc désormais réagir très rapidement en cas d’atteinte à leur image, pour s’assurer le contrôle de leur e-réputation. En effet, un consommateur victime hésitera à retourner sur le site et le fera savoir sur des forums ou des réseaux sociaux, qui sont des médias extrêmement rapides et très utilisés de diffusion de l’information.
À l’inverse, afin de rassurer le consommateur sur sa crédibilité et d’encourager son passage à l’acte, un e-commerçant peut utiliser le respect de la réglementation et sa proactivité comme arguments marketing. De manière générale, il pourra ainsi renforcer son image de transparence et sa e-réputation, éléments qui font aujourd’hui partie de la valeur intrinsèque d’une entreprise de e-commerce : ce qu’elle est et comment elle communique est aussi voire plus important que ce qu’elle vend1.
(1). Journal du Net, Le respect des règles de droit améliore l’efficacité des sites de e-commerce, Romain Gola, 23 avril 2013.
11
Chapitre 3
Transférer le risqueà un assureur spécialiste1. L’assurance, sauvegarde de l’entreprise
Chaque cyber-attaque a un coût, qui peut être évalué en fonction :
• de la valeur unitaire de chaque donnée susceptible d’être volée,
• du temps qu’il faut à l’entreprise pour découvrir l’incident et y remédier.
En effet, ce laps de temps détermine la quantité de données susceptibles d’être volées avant qu’un plande réaction approprié ne soit mis en œuvre. Coût de gestion des incidents, frais de veille sur les moyensde paiement dont la sécurité a été compromise, indemnisation de partenaires lésés, etc. : ces conséquences nuisent directement à l’entreprise, puisqu’elles diminuent ses liquidités et, de facto, ses capacités d’autofi nancement.
L’assurance, c’est donc le préfi nancement d’un plan de continuation d’activité, qui vient protéger deux éléments essentiels pour l’entreprise :
• les données que ses clients et partenaires lui confi ent – certains exigent aujourd’hui une assurance dédiée à ce risque pour signer un contrat,
• l’investissement des capital-risqueurs, crucial dans le secteur du e-commerce – l’assuranceest un gage de sérieux pour les business-angels lors d’opérations de levées de fonds.
2. La nécessité de s’en remettre à un réseau d’expertsUne gestion d’entreprise saine implique donc la mise en place de plans de réponse à incident et de procédures spécifi ques, afi n de pouvoir être réactif en cas de cyber-attaque. Ces plans de réponse pourront prévoir en particulier de faire appel à :
Aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection IT absolueest devenue totalement inaccessible.
Le rôle de l’assureur spécialiste est de permettre à l’entreprise de travailler sur un transfertde ces risques spécifi ques face à des conséquences stratégiques pour la survie de l’entreprise.
La compétence et l’expérience d’experts reconnus est essentielle dans l’anticipationet la gestion des conséquences d’une cyber-attaque.
QUELQUES RÈGLES EN PRÉVENTION
Un expert IT,pour déterminer l’origine de l’attaque, la circonscrire, identifi erles données impactées, réparer la faille et upgrader le système.
Un spécialistede la communication de crise,pour contrôler les conséquences de l’attaque sur la réputation de l’entreprise (plan de communication, formationdes porte-paroles, etc.).
Un avocat,pour gérer les relations avec les régulateurs (recherches internes pour déterminer quelles sontles données impactées par l’attaque et leurs propriétaires, etc.) et avec les tiers (frais de notifi cation des attaques, etc.).
12
Un assureur spécialiste doit proposer une offre globale de services intégrant à la fois une dimension préventive, (prise en charge d’un audit, établissement de recommandations d’amélioration des systèmes de sécurité, etc.), et une dimension corrective en cas de survenance d’une cyber-attaque.
L’assurance doit bien sûr couvrir l’ensemble des dommages subis par l’assuré : frais de notifi cation, expertise informatique (y compris la restauration des données et la remise en marche du site), frais de veille et de communication, pertes fi nancières, et éventuellement gestion de la négociation avec les pirates en cas de tentative d’extorsion.
Mais elle doit aussi pouvoir prendre en charge les frais de défense et les dommages et intérêts réclamés par les personnes lésées, dans le cadre de la responsabilité civile de l’entreprise (mise en cause par la CNIL, indemnisation des tiers dont les données personnelles ont été affectées, etc.).
3. Pourquoi avoir recours à un assureur spécialiste ?
La valeur ajoutée d’un assureur spécialiste est de mettre à disposition des interlocuteurs compétents, conscients des enjeux que la protection des données sensibles représente pour les entreprises, et opérationnels immédiatement en cas de cyber-attaque.
ET EN PRATIQUE, AVEC OU SANS ASSURANCE ?
L’hébergeur d’un site de e-commerce français a été piraté en 2011. Toutes les données stockées sur le serveur ont été perduesà la suite de cette cyber-attaque (données personnelles et bancaires des clients notamment), ce qui a contraint le e-commerçant à mettre fi n à son activité, car il ne disposait d’aucun recours contre son hébergeur suite à l’attaque.
Exemple d’incident sans assurance : faillite d’une entreprise suite à une cyber-attaque
Exemple de sinistre couvert : indemnisation d’un assuré suite à une attaque par DDoS.
Une entreprise de vente en ligne de voyages a vuson site bloqué pendant trois jours à caused’un piratage par déni de service (inaccessibilité momentanée du site). Les experts IT sont intervenus mais le site a dû rester fermé pendant trois jours.
S’il avait été assuré auprès d’un assureur spécialiste avec un contrat adapté, ce clientaurait pu éviter la faillite, car son assureur aurait alors pris en charge les pertes d’exploitation subies et les frais de défense engagés, limitant ainsi les conséquences fi nancières de l’attaque et préservant la pérennité de l’entreprise.
L’impact fi nancier sur les ventes a été couvert à hauteur de 180 000 euros par l’assureur spécialiste auprès duquel l’entreprise avait souscrit une police adaptée.
13
L’hébergeur d’un site de e-commerce français a été piraté en 2011. Toutes les données stockées sur le serveur ont été perdues à la suite de cette cyber-attaque (données personnelles et bancaires des clients notamment), ce qui a contraint le e-commerçant à mettre fin à son activité, car il ne disposait d’aucun recours contre son hébergeur suite à l’attaque.
S’il avait été assuré auprès d’un assureur spécialiste avec un contrat adapté, ce client aurait pu éviter la faillite, car son assureur aurait alors pris en charge les pertes d’exploitation subies et les frais de défense engagés, limitant ainsi les conséquences financières de l’attaque et préservant la pérennité de l’entreprise.
Une entreprise de vente en ligne de voyages a vu son site bloqué pendant trois jours à cause d’un piratage par déni de service (inaccessibilité momentanée du site). Les experts IT sont intervenus mais le site a dû rester fermé pendant trois jours. L’impact financier sur les ventes a été couvert à hauteur de 180 000 € par l’assureur spécialiste auprès duquel l’entreprise avait souscrit une police adaptée.
En savoir plus
Une gestion optimale des risques de l’entreprise
La direction généraleProtection de la réputation et de la pérennité de l’entreprise
Les financesMaintien de la santé et de l’équilibre financier de l’entreprise
La DSI / RSSIGestion et sécurité du système IT / traitement des données de l’entreprise
+
+
Exemple d’incident sansassurance : faillite d’une entreprise suite à une cyber-attaque
Exemple de sinistre couvert : indemnisation d’un assuré suite à une attaque par DDoS.
Perte de revenus dus à la fermeture momentanée du site web 2000 KgFrais d’avocats +250 Kg
Expertises IT et frais de notifications
Coût total engendré par la cyber-attaque
+500 KgFrais d’agences de communication pour restaurer la notoriété +250 Kg
3Mg
EXEMPLE DE COÛTS ENGENDRÉS PAR UNE CYBER-ATTAQUE
Par exemple, un e-commerçant s’est fait voler plus de deux millions de données bancaires clients en 2009, via un piratage de son système de paiement en ligne, pourtant très sécurisé.
INTERACTIONS ENTRE TEMPS ET COÛTS
180jours
2,86 Mgsoit 130 eurospar donnée3
+11%en 1 an
Dans 5 %des cas
Dans 45 %des cas
5jours
Délai entre l’attaque et sa détection Coût moyen et évolution
➜En Franceen 20122
ÉLÉMENTS-CLÉS D’UNE BONNE GESTION DU RISQUE
La protection optimale des données sensibles de l’entreprise découle
d’une synergie entrela direction générale,
la direction financière, la DSI/RSSI1, l’assureur spécialiste sélectionné
et les experts qu’il mandate.
(1). Direction des systèmes d’information / Responsable de la sécurité des systèmes d’information. (2). Trustwave, 2013 Global security report. (3). Ponemon & Symantec, Cost of Data Breach 2013.
La direction généraleProtection de la réputation et de la pérennité de l’entreprise
Les fi nancesMaintien de la santé et de l’équilibre fi nancier de l’entreprise
La DSI / RSSIGestion et sécurité du système IT / traitement des données de l’entreprise
L’assureur spécialisteTransfert de risques / Mise à disposition d’un panel d’experts reconnus
Une gestion optimale des risques de l’entreprise
Une facture totale de plus de 3 millions d’euros, que l’entreprise n’a pas payée, puisqu’elle avait fait le choix de souscrire un contrat d’assurance spécifi que.
14
Conclusion
Et demain… ?L’explosion de la croissance du secteur du e-commerce depuis cinq ans en fait aujourd’hui l’une des cibles privilégiées des cyber-pirates. La cybercriminalité évolue ainsi très rapidement, pour suivre les nouveaux modes de fonctionnement des e-commerçants et des e-acheteurs (données sensibles, moyens de paiement, etc.).
Afi n de préserver la confi ance des investisseurs, des partenaires et des clients, les entreprises de vente en ligne doivent donc faire évoluer régulièrement leur politique de sécurité IT, mettre en place des plans de réponse avec l’aide d’experts, et transférer à un assureur spécialiste le risque fi nancier que représente une cyber-attaque.
Le cyber-risque fait désormais partie des menaces que les dirigeants d’entreprises de e-commerce doivent impérativement appréhender et anticiper. Ils sont garants du respect du contrôle interne et redevablesde la protection de tous les actifs de l’entreprise vis-à-vis de leurs investisseurs, clients et partenaires. Il leur incombe notamment de prendre les mesures nécessaires pour prévenir au maximum les conséquences d’une cyber-attaque. Un défaut d’assurance alors que le risque est identifi é peut par exemple avoir pour conséquence l’engagement de la responsabilité personnelle de l’ensemble des dirigeants sans intervention fi nancièrepossible de l’entreprise.
Retrouvez-nous sur www.hiscox.fr.
Pour plus d’informations et l’obtention d’un devis pour le contrat Data Risks by Hiscox,contactez votre assureur-conseil.
POUR EN SAVOIR PLUS+
À propos d’Hiscox
Fondé en 1901, Hiscox est un groupe international d’assurances spécialisées coté sur le London Stock Exchange (HSX). Hiscox a trois principales composantes : Hiscox London Market, Hiscox UK & Europe et Hiscox International regroupant plus de 1 200 collaborateurs.
Hiscox est présent depuis 25 ans dans le secteur des métiers de l’informatique (20 000 clients IT en Europe dont 7 500 en France), et depuis plus de cinq ans dans le domaine de la cybercriminalité, avec 30 souscripteurs dédiés aux risques technologies-médias-télécoms.
En se spécialisant dans des secteurs bien définis et en plaçant l’assuré au cœur de ses préoccupations, Hiscox a mis au point des solutions sur mesure pour garantir les professionnels contre les conséquences d’une cyber-attaque.
En France, Hiscox dispose de bureaux à Paris, Lyon et Bordeaux. Hiscox France s’appuie sur ses 105 collaborateurs pour proposer une large gamme d’assurances conçues pour répondre aux besoins des particuliers, des professionnels et des collectivités.
Pour plus d’informations : www.hiscox.fr
Hiscox 19 rue Louis le Grand 75002 Paris
T +33 (0)1 53 21 82 82 F +33 (0)1 53 20 07 20 E [email protected]
www.hiscox.fr
