Courtier en assurances spécialisé

dans la protection des entreprises

Numéro 019

Novembre 2013

Edito

SOMMAIRE

Cybercriminalité :ce qu’il faut retenir

SYSTÈMES D’INFORMATIONS

La cybercriminalité n’est pas un phénomène de mode. Son coût est estimé à 2,5 Mds € en France (source : Symantec). Et les chiffres, même s’ils diffèrent selon les sources, n’en restent pas moins inquiétants…

Ce n’est donc pas par hasard si ce sujet fait partie des priorités en termes de gestion de risques au sein des entreprises (cf. interview d’Anne-Marie Fournier, Vice-Présidente de l’AMRAE*, dans notre numéro d’avril 2012).

Ce numéro de Verlingue Infos vous apporte un regard sous différents angles sur la cybercriminalité.

Dans la rubrique Actualités, vous découvrirez les lauréats du Prix de l’Entrepreneur 2013 qui ont été récemment récompensés, tant en régions qu’au niveau national.

Je vous souhaite une bonne lecture de cette nouvelle édition du Verlingue Infos.

Jacques Verlingue

* Association pour le Management des Risques et des Assurances de l’Entreprise

infosVerlingue

Cybercriminalité : ce qu’il faut retenir p. 1

Parole d’expert p. 2 et 3

Actualité p. 4

Fiche Technique :Cybercriminalité : illustrations et questions clés

www.verlingue.fr

En matière de cyberattaque, la question n’est plus de savoir si vous allez vous faire pirater mais... à quel moment !

En quelques années, les attaques informatiques se sont multipliées et diversifiées. Aucune cible n’est épargnée : Nations, particuliers et entreprises.

Ainsi, en France, 79 % des entreprises ont été victimes de cyberattaques au cours des 12 derniers mois*. Et 50 % de ces attaques ont visé les PME et ETI, leurs systèmes d’informations étant plus vulnérables que ceux des grandes entreprises.

* Source : Symantec

Suite en page 2

À quoi correspondent précisément les cyber-risques ?

Les cyber-risques regroupent l’ensemble des conséquences financières supportées par une entreprise à la suite d’une défaillance, d’une mauvaise utilisation ou d’un piratage de ses systèmes d’informations.

Les réseaux ont rendu les attaques plus simples et plus rapides ; quelques clics suffisent désormais pour faire transiter plusieurs millions d’euros entre deux comptes bancaires !

Concrètement, ils peuvent viser :

L’espionnage informatique

Le piratage d’un site internet

L’indisponibilité des serveurs à la suite d’un sabotage ou d’un déni de service

Le sabotage d’une chaîne de production

Le racket (les hackers menacent d’endommager le système d’informations si une somme ne leur est pas versée)

Et, plus couramment, le vol ou la perte de données sensibles, qu’elles soient à caractère personnel (état civil), bancaire (cartes de crédit), médical (données patients), commercial (contrats, données clients) ou stratégique (propriété intellectuelle, données de production)

À titre personnel, qui n’a pas encore fait l’objet de fishing (technique visant à obtenir des données personnelles ou bancaires en se faisant passer par un tiers de confiance) ? Ou reçu sur son téléphone mobile un message l’invitant à cliquer sur un lien ou à appeler un numéro inconnu afin d’écouter un message laissé à son attention ?

Y a-t-il des secteurs plus sensibles ?

Pour les dix années à venir, peu d’experts se risquent à déterminer l’ordre prioritaire des secteurs qui seront impactés.

La finance et le commerce électronique sont toujours cités en premier en raison de leur fort attrait lucratif et des milliers d’attaques dont ils font l’objet chaque année pour récupérer les codes, mots de passe et numéros de cartes bancaires.

Mais tous les secteurs sont concernés, quelle que soit la taille des structures. Le secteur de la Santé, qui a connu en 2009 la contamination d’appareils médicaux par le virus Conficker, en est la parfaite illustration.

Des conséquences souvent très lourdes…

Les cyberattaques engendrent des pertes importantes, d’autant plus si le risque n’a pas été suffisamment appréhendé : la production peut s’arrêter plusieurs jours, parfois plusieurs semaines…

Il faut, selon les cas et en urgence :

Reconstituer les données perdues

Faire appel à des experts en informatique ou en gestion de crise

Informer s’il y a lieu les autorités concernées et les victimes NB. : depuis la directive européenne du 25 novembre 2009, les

fournisseurs d’accès à internet et les opérateurs télécoms sont obligés de notifier au régulateur et aux personnes concernées les incidents de sécurité et les violations de données à caractère personnel. La Commission Européenne envisage d’étendre cette obligation de notification à toutes les entreprises stockant des données personnelles.

SYSTÈMES D’INFORMATIONS

Vous êtes précurseur dans votre profession dans l’intérêt porté à la cybercriminalité… Quel a été l’élément déclencheur ?

« En 2008, une des entreprises clientes du Cabinet s’est fait voler un fichier numérique comportant les données de deux millions de ses clients,

avec un préjudice estimé à 1,7 M€. Bien que disposant d’une Direction juridique, les questions du dirigeant ont été multiples : que faire ? À

qui s’adresser ? Quel risque pénal à titre personnel et pour ma société ? Avant d’agir, nous avons réalisé une cartographie des risques. En

effet, il fallait s’assurer, avant toute démarche auprès des autorités, que la situation n’allait pas se retourner contre l’entreprise. Ainsi, nous

avons contrôlé avec la DSI le niveau de sécurité du système d’informations, examiné le process d’habilitation des collaborateurs sur les fichiers

clients, vérifié les déclarations réalisées auprès de la CNIL… Nos interventions auprès des services de police et de gendarmerie ont ensuite

permis de faire opérer des perquisitions, d’identifier les voleurs (des salariés indélicats…) et de réparer le dommage tout en préservant avant

tout la réputation de l’entreprise. »

Quelle est l’actualité qui doit alerter les chefs d’entreprise ?

« Aujourd’hui, le sujet numéro un est la protection des données personnelles. Les cybercriminels sont organisés, avec des tactiques qui,

bien que parfois grossières, marchent ! On peut citer notamment l’usurpation d’identité d’un dirigeant ou d’un DAF qui demande un prétendu

envoi de fonds à l’étranger pour réaliser une opération d’investissement. La difficulté réside dans la propagation des attaques. Par ailleurs,

les entreprises manquent de rigueur dans le contrôle de la création au quotidien de leurs fichiers (RH, clients…), ne sont pas à jour de leurs

PAROLE D’EXPERT

Maître Emmanuel Daoud,associé au sein du Cabinet d’avocats Vigo

Engager des frais juridiques

Notifier aux clients la perte potentielle de données sensibles et indemniser les dommages qu’ils ont subi

Gérer des tentatives d’extorsion ou de demandes de rançon

Sans compter l’effet « domino » de la cyberattaque : atteinte à la réputation de l’entreprise, perte de clientèle…

Certaines entreprises ont essayé de contourner la difficulté en externalisant leurs systèmes d’informations. Dans bien des cas, cela a été un facteur aggravant car les contrats d’externalisation ne précisaient pas (ou insuffisamment) où et comment étaient stockées les données.

De nouveaux visages pour la cybercriminalité

Les cybercriminels changent régulièrement de tactique. Aujourd’hui, ils ciblent les plateformes mobiles qui sont en plein essor, ainsi que les réseaux sociaux dont les usagers sont moins conscients des risques en termes de sécurité.

La mobilité, et plus spécifiquement le nomadisme, facilite l’action des cybercriminels : les appareils mobiles (smartphones, tablettes) regorgent d’informations, et les systèmes d’informations sont fragilisés par la généralisation des accès distants. Sur un réseau ouvert ou non-crypté de type borne Wifi, les informations qui sont reçues ou envoyées via internet (sites web consultés, identifiants mots de passe saisis, mails envoyés, comptes accédés…) deviennent facilement interceptables par n’importe quelle autre personne connectée au même réseau. Les lieux d’action privilégiés des cybermalfaiteurs sont ainsi les hôtels, les restaurants, les aéroports et les gares ! Ils utilisent deux techniques.

Soit ils capturent les informations en vue de les utiliser ou de les revendre sur des marchés spécialisés. Soit ils font apparaître sur l’écran des utilisateurs des fenêtres pop-up qui proposent un bouton « Installer » sous forme de mises à jour Flash ou PDF ; si l’utilisateur naïf ou distrait clique dessus, un virus ou logiciel espion est aussitôt introduit dans le système…

Le problème est intensifié avec la pratique du « BYOD - Bring your own device » qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel. Cette tendance pose des questions sociales et juridiques, et également en termes de sécurité de l’information. Et ce n’est pas anodin… 71 % des collaborateurs utiliseraient à titre professionnel des solutions non mises à disposition par leur entreprise ! (source : Markess International)

Il y a également ce que l’on appelle l’« Ingénierie sociale » qui repose avant tout sur le facteur humain : les cybercriminels exploitent l’abondance d’informations personnelles disponibles sur les sites de réseaux sociaux (Facebook, Twitter, LinkedIn, Viadéo…), pour cibler leurs attaques sur les individus clés au sein des entreprises visées. Leur objectif est d’obtenir de façon frauduleuse des informations stratégiques en faisant semblant de sympathiser avec le collaborateur d’une entreprise « cible » ou en utilisant un profil de façon illicite. Peu coûteuse à mettre en œuvre, l’ingénierie sociale s’épanouit dans une période de crise économique où les cybercriminels cherchent également à assurer le R.O.I. de leurs activités...

Et ces nouvelles techniques ne relèvent pas du mythe : en France, un internaute majeur sur dix aurait été victime de l’une des ces attaques en 2012 !

déclarations auprès de la CNIL et s’exposent donc à des peines d’amende et à un préjudice réputationnel.

Demain, c’est le « Big Data » qui sera le thème clé. Le Big Data permet l’interconnexion de fichiers d’origines diverses qui, après avoir été

mélangés, reclasse les données en fonction des attentes des utilisateurs. Or, ce qui est la colonne vertébrale de la sécurité des données

personnelles est la finalité des fichiers. Avec le Big Data, si les fichiers sont identifiés avec une finalité précise en entrée, ils sont restructurés

avec une finalité pas toujours définie (loin s’en faut) en sortie. La difficulté réside dans le fait que les opérateurs prennent des libertés, tant

en termes de sécurité qu’en termes de déclaration auprès des autorités. Une recommandation : restez en veille par rapport aux prochaines

règlementations relatives aux données personnelles. Si le prochain règlement européen est adopté, il sera d’application immédiate. Et dans

tous les cas, les pouvoirs de la CNIL vont continuer de s’amplifier, ainsi que les sanctions financières associées…»

Quel premier conseil donner aux chefs d’entreprise ?

« Dans 90 % des entreprises, le dirigeant ne s’intéresse à la cybercriminalité que lorsque la réputation de l’entité ou de la marque est susceptible

d’être mise en cause, ou lorsqu’il est lui-même victime directe. Aussi, anticipez en vous posant quelques questions simples : combien de

temps personnel ai-je consacré à la protection des données ? La cartographie des risques de l’entreprise est-elle à jour sur cette thématique ?

En cas de cyberattaque, la procédure interne de gestion de crise est-elle adaptée ? L’entreprise sait-elle quels sont les services d’enquête

auxquels nous pouvons nous adresser pour protéger au mieux nos actifs ? »

ACTUALITÉ

Directeur de la publication : Eric Maumy - Responsable de la rédaction : Valérie Leprovost - Imprimeur : Cloître Imprimeurs ZA Voie express RN 12 29800 Saint-Thonan - Date de parution et de dépôt légal : novembre 2013 - N° ISSN : 2106 - 5144

Siège social : 12 rue de Kerogan - CS 44012 - 29335 QUIMPER Cedex Tel 0 820 260 260 (0,118 € TTC/mn) Fax 0 820 209 242 / SAS au capital de 2 083 498 € au 01.12.13 / Code APE 6622 Z / Siren 440 315 943 RCS QUIMPER / Numéro

Orias : 07 000 840 - www.orias.fr Sous le contrôle de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) 61 rue Taitbout 75009 PARIS.

Verlingue : le goût d’entreprendre

Le Prix de l’Entrepreneur de l’Année EY - Groupe L’Express distingue des femmes et des hommes qui démontrent chaque jour qu’il est possible de conquérir de nouveaux territoires, d’innover et de créer de la valeur.

L’esprit entrepreneurial fait partie de l’ADN de Verlingue. Aussi, nous sommes heureux d’être partenaire du Prix de l’Entrepreneur pour la deuxième année consécutive.

Jacques Verlingue remettant à Patrick Daher le Prix de l’Entreprise Familiale

Les partenaires aux côtés de l’ensemble des lauréats lors de la Cérémonie nationale

The Winner is...

Toutes nos félicitations à l’entreprise strasbourgeoise Soprema qui a été récompensée tant par le jury régional (Prix de l’Entrepreneur + Prix de l’Entreprise Internationale) que par le jury national (Prix de l’Entrepreneur).

Bravo également à l’ensemble des entreprises qui ont été récompensées par le Prix de l’Entrepreneur 2013 en régions :

Grand Ouest : Armor

Ile de France : Manutan

Nord : Florimond Desprez

PACA : Esker

Sud Ouest : Figeac Aéro

Méditerranée : JMB Energie

Ainsi qu’à l’ensemble des entreprises lauréates des différents autres Prix lors des cérémonies : Prix de l’Entreprise Internationale, Prix de l’Entreprise d’Avenir, Prix de l’Innovation, Prix du Business Vert, Prix de l’Engagement Sociétal...