Cette conférence co-organisée avec l’EPSI Campus Grenoble

s’inscrira dans le cadre du festival

SUNBREN

Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

SUNBREN

Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Après 4 ans de R&D, Sunbren a mené à bien une levée de fonds permettant la commercialisation à grande échelle de sasolution (France, Canada, …).

20 clients (150 utilisateurs) nous font déjà confiance. Leur activité n'est pas particulièrement sujette aux cyber risques:expert-comptable, consultant, Ehpad, plombier, chauffagiste, agence de voyage, mécanique de précision, vente immobilière,...

Ces clients ont des activités comme les vôtres, les nôtres et …pourtant l'intelligence informatique Sunbren en servicedepuis 18 mois a:

- bloqué 219 millions de tentatives d'intrusion venant de 181 pays.- effectué 13 millions d'analyses opérationnelles.- déclenché 900 000 actions (préventives dans 95% des cas).

Sunbren :

• c'est une opération toutes les 15 secondes 24h/7j pour une informatique performante, agile et sécurisée

• c'est aussi la mise à disposition :

- d’un Espace Client permettant à un revendeur ou à un client de piloter la solution.- d'une Politique de Sécurité du Système d'Information (PSSI).- d'une réponse à la problématique du RGPD.

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Quelques chiffres sur la cybersécurité …

• Estimations du groupe AON, leader mondial du conseil en gestion des risques : une entreprise surdeux aurait été victime d’une attaque informatique l’an dernier.

• FBI : marché de 1 Milliard de dollars pour les ransomware.

• 4 000 attaques de ransomware (rançongiciels) par jour dans le monde.

• EUROPOL : augmentation de 11,4 % en 1 an des attaques par ransomware.

2018, année de gros changements juridiques en matière de cyber-sécurité :

• RGPD (Règlement Général de Protection des Données) : 25 mai 2018

• Transposition au droit français de la directive NIS (Network and Information Security) : mai 2018

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Morceaux choisis de l’observatoire français de la cyber-sécurité

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Sondage OpinionWay pour le CESIN

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Sondage OpinionWay pour le CESIN

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Sondage OpinionWay pour le CESIN

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Sondage OpinionWay pour le CESIN

Un observatoire des grands groupesfrançais…

…quid des TPE / PME ?

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Qu’est-ce qu’un cyber risque ?

Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un butmalveillant.

Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ouen réseaux, reliés ou non à Internet, des équipements périphériques tels que lesimprimantes, ou encore des appareils communicants comme les téléphones mobiles, lessmartphones ou les tablettes.

Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ouindirectement les particuliers, les administrations et les entreprises : la cybercriminialité,l’atteinte à l’image, l’espionnage, le sabotage.

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Comment les pirates s’organisent pour mener des attaques ?

- Exploitation de faille de sécurité des systèmes d’exploitation et des logiciels.

- Ingénierie sociale de l’entreprise et des réseaux sociaux.

- Apparition de supermarché où les pirates achètent des logiciels malveillants sur mesure.

Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

ENFIN L’INTELLIGENCE INFORMATIQUE

Le kit de survie informatique !

M pour mises à jourM pour mot de passeS pour sauvegarde

Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME

Fabrice Koszykfabrice.koszyk@sunbren.com06 61 15 87 68

Thierry Veyrethierry.veyre@sunbren.com06 81 86 64 61

Merci pour votre attention

Cybersécurité, retour d’expérienceTransfo Festival de Grenoble

ADIRA & EPSIMardi 23 Janvier 2018 – Le Forum

Près de 300 ans d’histoire

Près de 300 ans d’histoire

Près de 300 ans d’histoire

Près de 300 ans d’histoire

Nos implantations / Our locations

Château-Thébaud (44)La Roche-sur-Foron (74)

Crolles (38)

Sites de production

Siège social

Nissan-lez-Enserune (34)

Britvic FranceEnviron 700 employés

Le service IT France

• Une équipe basée à Crolles, 17 internes + 1 externe

• Helpdesk, support applicatif, support infrastructure

• Opérations (PC, salles machines, téléphonie, imprimantes, …)

• Portfolio, gestion de projets

• Partenaire métier

7

Modèle économique plus intéressant avec réactivité, mais sur

heures ouvrées principalementvs lourdeurs du groupe (+ turnover)

Infrastructure & Helpdesk Application & Développement

Jean-Baptiste CassinDSI

Eric BonifaceResponsable Infrastructure &

Helpdesk

2Admin Systèmes,

Réseaux, Télécoms

1Expert Systèmes

Admin JDE

1DBA, Admin JDE,

Formation

2Tech Support

Helpdesk

Responsable Pôle Fonctionnel & Développement IT

3IT Business Partner

Responsable Pôle Fonctionnel IT

1IT Business Partner

Responsable Pôle Fonctionnel IT

1IT Business Partner

Assistante IT (60%)

Equipe IT France

Pôle Commerce Distribution & Technique

Pôle Marketing, DirIndustrielle et Achats Pôle Finances RH

Rapporte au CIO Groupeet au DG France

La sécurité au quotidien• Pendant longtemps, du « best effort »

• Puis mise en place par le groupe d’audits sécurité

• Pas de RSSI France

• Le responsable infra est l’interlocuteur groupe sur les sujets sécurité, en fonction de son temps et des priorités

• Tous concernés

• Vigilance particulière sur le suivi des patches (Microsoft), mais difficulté de la veille technologique

• Au niveau groupe, un responsable sécurité assure le suivi et la génération des rapports

mensuels pour toutes les BU

• Revue mensuelle en comité exécutif IT, et depuis peu en comité exécutif Britvic

9

La sécurité au quotidien• Plusieurs audits annuels

• Test d’intrusion, audits internes, audit commissaires aux comptes, etc

• liste de sujets ouverts à traiter, en parallèle de l’opérationnel

• Bloquer du temps, voir si les ressources internes ont la compétence

• Appel à de la prestation

• Transfert de connaissance, veille technologique

• Mise en place de solutions techniques, de processus, de présentation, …

• Mise en place d’outils : gestion des permissions, cryptage des PC et clés USB, …

10

Les difficultés• Surveillance du SI

• Analyse des logs (connexion serveurs, firewall, etc.) Grand volume de données

• Les mouvements du personnel (départ, mutation, etc.) Couper les accès, changer les droits, …

• Gérer les alertes ou incidents Cybersécurité

• A traiter en urgence, et en « best effort »

• Informer, sensibiliser les utilisateurs

• Quelques populations à risque

• Réinventer la roue ? Supports de présentation, courriels, …

• Des solutions groupe ? Pas toujours, et des avantages et des inconvénients• Monitoring 24/7, complexité de la solution, gouvernance, formation, …

11

Une vraie difficulté est de savoir où mettre le curseur

de la sécurité (budget, contraintes techniques & ressources, expérience

utilisateur)

GDPR / RGPD• Une cellule de travail composée

• De la DRH, de la personne du légal, du DSI et du Responsable Infra

• Implication de tous les domaines métiers

• Revue des applications & processus établissement du registre

• Des données consommateurs ?

• Gestion des données personnelles des employés ? (Ex. le CE)

• A chaque nouveau projet, penser aux traitements des données personnelles

• Objectif pour mai : plan d’action défini, premières actions prises

12

Conclusion

• Gérer la sécurité demande du temps

• Devient de plus en plus chronophage et complexe

• Voir les alertes quasi mensuelles

• Ne pas avoir de RSSI est possible

• Mais nécessite une vraie gestion des priorités

• Avec adhésion de la direction

13

CYBER RISKSLe nouveau risque majeur des TPE/PME

Agenda

Présentation du Cabinet

Identifier les risques :

Les risques classiques

Les nouveaux risques cyber

Mettre en place des bonnes pratiques :

Gérer un Système d’Information

Former son personnel

Connaitre la réglementation

Assurer son activité et ses données

Comprendre l’étendue de ses garanties

Mettre en place des solutions d’assurances

31/01/2018 2

Présentation du Cabinet

31/01/2018 3

En cas de problème ? Pas de

problème tout est sauvegardé 2

fois chez nous !

VERBATIM

31/01/2018 4

Ma société n’intéresse personne,

je ne suis pas une cible Ma société paie un prestataire

informatique et nous sommes

super protégés

Franchement, ce n’est pas moi

qui gère ces sujets… C’est le

domaine des informaticiens…

Toutes nos données sont

sauvegardés en externe, donc pas

de soucis

De toute façon on ne peut

rien faire ! Je suis fataliste…

Nous ne stockons aucune

données sensibles

Je suis déjà couvert par mon

contrat multirisque

Identifier les risques

31/01/2018 5

Quels sont vos risques ?

31/01/2018 6

Les risques classiques

Incendie

Dégât des eaux

Bris de machines

Les nouveaux risques

Cyber-attaques

Négligence informatique

Les nouveaux risques

31/01/2018 7

Destruction de données

Défaut Process

Erreur Humaine

Espionnage et vol

Cyber

Quels sont vos risques ?

31/01/2018 8

Dommages accidentels

: Incendie, DDE,…

Dommages par

malveillance :

Incendie, vol,…

Dommages

informatique : virus,

cryptage, attaques,…

Autres Dommages

immatériels : erreur

humaine…

RC/Tiers

• Corporels

• DNC/DINC

Actif de l’E

• Corporels

• Financiers

PE et Frais

• Recherche

• Frais sup

Données

personnelles

• notification

Dommages matériels Dommages immatériels

Faits Dommageables/Evènements

Consé

quences

Dom

mageable

s

Contrats Multirisques

« Classiques »

Contrats RC « Classiques »Contrats RC

« Classiques »

Non couvert par les contrats

« classiques »

Non couvert par les contrats « classiques »

Non couvert

par les

contrats

« classiques »

Quelques chiffres

31/01/2018 9

33% des attaques sont fatales pour les

TPE/PME

53% des entreprises déclarent avoir été

victimes de cybercriminalité

+51% des incidents de cybercriminalité en

France en 2016

77% des attaques numériques

concernent des PME

43% des attaques sont malveillantes

30% des violations de données dues à la

négligence des employés

57% des violations relèvent de la

responsabilité d’un tiers/prestataire

60% des violations sont réalisées

pendant que les données sont en

transit

94% des entreprises ont connu une cyber attaque au cours des

12 derniers mois

88% des virus fabriqués par les

hackers échappent aux antivirus

70% des email de spear-fishing sont

ouverts par les destinataires

Les conséquences d’une

cyber attaque

Inaccessibilité du SI

Frais de recherche informatiques

Vols de données

Perte de chiffre d’affaires – ralentissement de l’activité

Frais de reconstitution de données

Responsabilité vis-à-vis des tiers

Enquêtes administratives

Perte de confiance des clients

Frais de notification réglementaire

Coûts d’expertise informatique

Frais de défense

Coût d’une communication de crise

31/01/2018 10

Mettre en place de

bonnes pratiques

31/01/2018 11

Gérer le Système

Informatique

Protection de base :

Pare-feu

Antivirus

Antispam

Mises à jour systématiques

Sauvegarde 3-2-1:

3 sauvegardes

2 supports différents (ex : serveur externe, cloud, disque dur, NAS)

1 externalisée

Procédures :

Stress test

Manuel de l’utilisateur / Charte de l’utilisateur

Gestion des droits : accès web, téléchargements, etc…31/01/2018 12

Former son personnel

Attirer l’attention sur les facteurs de risques :

Ouvrir un mail ou une pièce jointe inconnus

Télécharger des logiciels, video, etc…

Transmettre des données confidentielles

Donner les codes WIFI à un tiers

Etc…

Expliquer les bonnes pratiques :

Ne jamais ouvrir une pièce jointe dont on n’est pas 100% certain.

Fermer la session de son ordinateur le soir ou pendant la pause déjeuner

Ne jamais donner la main à quiconque sur le réseau interne

Avoir un réseau WIFI dédié à l’entreprise et un autre aux invités

Ne jamais désactiver les antivirus/pare-feu/antispam, etc…

31/01/2018 13

Evolution de la

réglementation

TELECOM et FAI

Depuis 2009 : une directive européenne oblige les opérateurs télécom et lesfournisseurs d’accès internet à notifier auprès de leurs clients toute violationde leurs données personnelles

OIV : Opérateurs d’importance vitale

En France depuis le 01/01/2015 une liste de 220 OIV => obligation d’auditcyber, de protection cyber agréées par l’ANSSI et de notification de toutincident cyber à l’ANSSI

Au niveau européen, directive NIS ( Network Security and Information) enpréparation pour une mise en application au 01/01/2018

GDPR : General Data Protection Regulation

Europe : harmoniser la protection des données dans les 28 pays de l’unioneuropéenne avec mise en œuvre en 05/2018

Toute entreprise collectant, gérant ou stockant des données :

Notifier auprès de leurs clients toute violation des données personnelles

Notifier aux autorités (CNIL et ANSSI en France) toute cyber attaque

Risque d’amende de 4% du CA avec un plafond à 20M€31/01/2018 14

Evolution de la

réglementation

A partir de Mai 2018, toutes les entreprises stockant

directement ou indirectement des données personnelles

seront tenues d’assumer financièrement les risques de

cyber-attaques.

En cas d’intrusion, de suspicion d’intrusion, de vol de

données, l’entreprise sera tenue d’informer l’ensemble

de ses clients susceptibles d’être concernés par voie

recommandée.

31/01/2018 15

S’assurer pour

mieux se protéger

31/01/2018 16

Les garanties principales

31/01/2018 17

3 s

ocle

s de g

ara

nti

es

L’assistance

Les Dommages subis

Les Dommages aux Tiers

Les garanties principales

31/01/2018 18

L’assistance :

•Frais d’expertise

•Prise en main de votre système jusqu’au retour à la normale (dépannage, reconstitution données, etc…)

•Frais d’avocat

•Frais de communication

Dommages subis :

•Pertes d’exploitation

•Frais de notification

•Cyber-extorsion et/ou frais de piratage téléphonique

•Frais supplémentaires

Dommages aux Tiers :

•Réclamation de tiers

•Frais juridiques

•Indemnisation suite à vol ou destruction de données appartenant aux tiers

•Transmission de virus

Quels sont vos risques ?

31/01/2018 19

Dommages accidentels

: Incendie, DDE,…

Dommages par

malveillance :

Incendie, vol,…

Dommages

informatique : virus,

cryptage, attaques,…

Autres Dommages

immatériels : erreur

humaine…

RC/Tiers

• Corporels

• DNC/DINC

Actif de l’E

• Corporels

• Financiers

PE et Frais

• Recherche

• Frais sup

Données

personnelles

• notification

Dommages matériels Dommages immatériels

Faits Dommageables/Evènements

Consé

quences

Dom

mageable

s

Contrats Multirisques

« Classiques »

Contrats RC « Classiques »Contrats RC

« Classiques »

Non couvert par les contrats

« classiques »

Non couvert par les contrats « classiques »

Non couvert

par les

contrats

« classiques »

CONTRATS CYBER-SECURITE

CONTRATS CYBER-SECURITE

CONTRATS

CYBER-

SECURITE

AGB Assurances19, rue des Bergers

38000 GRENOBLE

web : www.agb-assurances.fr

Tel : 04 76 87 20 24

Romain PASSOT : r.passot@aggb-assurances.fr

Myriam CHAUMAT : m.chaumat@agb-assurances.fr

31/01/2018 20