Upload
vokiet
View
215
Download
0
Embed Size (px)
Citation preview
Cette conférence co-organisée avec l’EPSI Campus Grenoble
s’inscrira dans le cadre du festival
SUNBREN
Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
SUNBREN
Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Après 4 ans de R&D, Sunbren a mené à bien une levée de fonds permettant la commercialisation à grande échelle de sasolution (France, Canada, …).
20 clients (150 utilisateurs) nous font déjà confiance. Leur activité n'est pas particulièrement sujette aux cyber risques:expert-comptable, consultant, Ehpad, plombier, chauffagiste, agence de voyage, mécanique de précision, vente immobilière,...
Ces clients ont des activités comme les vôtres, les nôtres et …pourtant l'intelligence informatique Sunbren en servicedepuis 18 mois a:
- bloqué 219 millions de tentatives d'intrusion venant de 181 pays.- effectué 13 millions d'analyses opérationnelles.- déclenché 900 000 actions (préventives dans 95% des cas).
Sunbren :
• c'est une opération toutes les 15 secondes 24h/7j pour une informatique performante, agile et sécurisée
• c'est aussi la mise à disposition :
- d’un Espace Client permettant à un revendeur ou à un client de piloter la solution.- d'une Politique de Sécurité du Système d'Information (PSSI).- d'une réponse à la problématique du RGPD.
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Quelques chiffres sur la cybersécurité …
• Estimations du groupe AON, leader mondial du conseil en gestion des risques : une entreprise surdeux aurait été victime d’une attaque informatique l’an dernier.
• FBI : marché de 1 Milliard de dollars pour les ransomware.
• 4 000 attaques de ransomware (rançongiciels) par jour dans le monde.
• EUROPOL : augmentation de 11,4 % en 1 an des attaques par ransomware.
2018, année de gros changements juridiques en matière de cyber-sécurité :
• RGPD (Règlement Général de Protection des Données) : 25 mai 2018
• Transposition au droit français de la directive NIS (Network and Information Security) : mai 2018
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Morceaux choisis de l’observatoire français de la cyber-sécurité
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Sondage OpinionWay pour le CESIN
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Sondage OpinionWay pour le CESIN
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Sondage OpinionWay pour le CESIN
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Sondage OpinionWay pour le CESIN
Un observatoire des grands groupesfrançais…
…quid des TPE / PME ?
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Qu’est-ce qu’un cyber risque ?
Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un butmalveillant.
Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ouen réseaux, reliés ou non à Internet, des équipements périphériques tels que lesimprimantes, ou encore des appareils communicants comme les téléphones mobiles, lessmartphones ou les tablettes.
Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ouindirectement les particuliers, les administrations et les entreprises : la cybercriminialité,l’atteinte à l’image, l’espionnage, le sabotage.
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Comment les pirates s’organisent pour mener des attaques ?
- Exploitation de faille de sécurité des systèmes d’exploitation et des logiciels.
- Ingénierie sociale de l’entreprise et des réseaux sociaux.
- Apparition de supermarché où les pirates achètent des logiciels malveillants sur mesure.
Soirée ADIRA & EPSI du mardi 23 février 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
ENFIN L’INTELLIGENCE INFORMATIQUE
Le kit de survie informatique !
M pour mises à jourM pour mot de passeS pour sauvegarde
Soirée ADIRA & EPSI du mardi 23 janvier 2018Thématique : Cyber Sécurité & Cyber Assurance pour les PME
Fabrice [email protected] 61 15 87 68
Thierry [email protected] 81 86 64 61
Merci pour votre attention
Cybersécurité, retour d’expérienceTransfo Festival de Grenoble
ADIRA & EPSIMardi 23 Janvier 2018 – Le Forum
Près de 300 ans d’histoire
Près de 300 ans d’histoire
Nos implantations / Our locations
Château-Thébaud (44)La Roche-sur-Foron (74)
Crolles (38)
Sites de production
Siège social
Nissan-lez-Enserune (34)
Britvic FranceEnviron 700 employés
Le service IT France
• Une équipe basée à Crolles, 17 internes + 1 externe
• Helpdesk, support applicatif, support infrastructure
• Opérations (PC, salles machines, téléphonie, imprimantes, …)
• Portfolio, gestion de projets
• Partenaire métier
7
Modèle économique plus intéressant avec réactivité, mais sur
heures ouvrées principalementvs lourdeurs du groupe (+ turnover)
Infrastructure & Helpdesk Application & Développement
Jean-Baptiste CassinDSI
Eric BonifaceResponsable Infrastructure &
Helpdesk
2Admin Systèmes,
Réseaux, Télécoms
1Expert Systèmes
Admin JDE
1DBA, Admin JDE,
Formation
2Tech Support
Helpdesk
Responsable Pôle Fonctionnel & Développement IT
3IT Business Partner
Responsable Pôle Fonctionnel IT
1IT Business Partner
Responsable Pôle Fonctionnel IT
1IT Business Partner
Assistante IT (60%)
Equipe IT France
Pôle Commerce Distribution & Technique
Pôle Marketing, DirIndustrielle et Achats Pôle Finances RH
Rapporte au CIO Groupeet au DG France
La sécurité au quotidien• Pendant longtemps, du « best effort »
• Puis mise en place par le groupe d’audits sécurité
• Pas de RSSI France
• Le responsable infra est l’interlocuteur groupe sur les sujets sécurité, en fonction de son temps et des priorités
• Tous concernés
• Vigilance particulière sur le suivi des patches (Microsoft), mais difficulté de la veille technologique
• Au niveau groupe, un responsable sécurité assure le suivi et la génération des rapports
mensuels pour toutes les BU
• Revue mensuelle en comité exécutif IT, et depuis peu en comité exécutif Britvic
9
La sécurité au quotidien• Plusieurs audits annuels
• Test d’intrusion, audits internes, audit commissaires aux comptes, etc
• liste de sujets ouverts à traiter, en parallèle de l’opérationnel
• Bloquer du temps, voir si les ressources internes ont la compétence
• Appel à de la prestation
• Transfert de connaissance, veille technologique
• Mise en place de solutions techniques, de processus, de présentation, …
• Mise en place d’outils : gestion des permissions, cryptage des PC et clés USB, …
10
Les difficultés• Surveillance du SI
• Analyse des logs (connexion serveurs, firewall, etc.) Grand volume de données
• Les mouvements du personnel (départ, mutation, etc.) Couper les accès, changer les droits, …
• Gérer les alertes ou incidents Cybersécurité
• A traiter en urgence, et en « best effort »
• Informer, sensibiliser les utilisateurs
• Quelques populations à risque
• Réinventer la roue ? Supports de présentation, courriels, …
• Des solutions groupe ? Pas toujours, et des avantages et des inconvénients• Monitoring 24/7, complexité de la solution, gouvernance, formation, …
11
Une vraie difficulté est de savoir où mettre le curseur
de la sécurité (budget, contraintes techniques & ressources, expérience
utilisateur)
GDPR / RGPD• Une cellule de travail composée
• De la DRH, de la personne du légal, du DSI et du Responsable Infra
• Implication de tous les domaines métiers
• Revue des applications & processus établissement du registre
• Des données consommateurs ?
• Gestion des données personnelles des employés ? (Ex. le CE)
• A chaque nouveau projet, penser aux traitements des données personnelles
• Objectif pour mai : plan d’action défini, premières actions prises
12
Conclusion
• Gérer la sécurité demande du temps
• Devient de plus en plus chronophage et complexe
• Voir les alertes quasi mensuelles
• Ne pas avoir de RSSI est possible
• Mais nécessite une vraie gestion des priorités
• Avec adhésion de la direction
13
Agenda
Présentation du Cabinet
Identifier les risques :
Les risques classiques
Les nouveaux risques cyber
Mettre en place des bonnes pratiques :
Gérer un Système d’Information
Former son personnel
Connaitre la réglementation
Assurer son activité et ses données
Comprendre l’étendue de ses garanties
Mettre en place des solutions d’assurances
31/01/2018 2
En cas de problème ? Pas de
problème tout est sauvegardé 2
fois chez nous !
VERBATIM
31/01/2018 4
Ma société n’intéresse personne,
je ne suis pas une cible Ma société paie un prestataire
informatique et nous sommes
super protégés
Franchement, ce n’est pas moi
qui gère ces sujets… C’est le
domaine des informaticiens…
Toutes nos données sont
sauvegardés en externe, donc pas
de soucis
De toute façon on ne peut
rien faire ! Je suis fataliste…
Nous ne stockons aucune
données sensibles
Je suis déjà couvert par mon
contrat multirisque
Quels sont vos risques ?
31/01/2018 6
Les risques classiques
Incendie
Dégât des eaux
Bris de machines
Les nouveaux risques
Cyber-attaques
Négligence informatique
Les nouveaux risques
31/01/2018 7
Destruction de données
Défaut Process
Erreur Humaine
Espionnage et vol
Cyber
Quels sont vos risques ?
31/01/2018 8
Dommages accidentels
: Incendie, DDE,…
Dommages par
malveillance :
Incendie, vol,…
Dommages
informatique : virus,
cryptage, attaques,…
Autres Dommages
immatériels : erreur
humaine…
RC/Tiers
• Corporels
• DNC/DINC
Actif de l’E
• Corporels
• Financiers
PE et Frais
• Recherche
• Frais sup
Données
personnelles
• notification
Dommages matériels Dommages immatériels
Faits Dommageables/Evènements
Consé
quences
Dom
mageable
s
Contrats Multirisques
« Classiques »
Contrats RC « Classiques »Contrats RC
« Classiques »
Non couvert par les contrats
« classiques »
Non couvert par les contrats « classiques »
Non couvert
par les
contrats
« classiques »
Quelques chiffres
31/01/2018 9
33% des attaques sont fatales pour les
TPE/PME
53% des entreprises déclarent avoir été
victimes de cybercriminalité
+51% des incidents de cybercriminalité en
France en 2016
77% des attaques numériques
concernent des PME
43% des attaques sont malveillantes
30% des violations de données dues à la
négligence des employés
57% des violations relèvent de la
responsabilité d’un tiers/prestataire
60% des violations sont réalisées
pendant que les données sont en
transit
94% des entreprises ont connu une cyber attaque au cours des
12 derniers mois
88% des virus fabriqués par les
hackers échappent aux antivirus
70% des email de spear-fishing sont
ouverts par les destinataires
Les conséquences d’une
cyber attaque
Inaccessibilité du SI
Frais de recherche informatiques
Vols de données
Perte de chiffre d’affaires – ralentissement de l’activité
Frais de reconstitution de données
Responsabilité vis-à-vis des tiers
Enquêtes administratives
Perte de confiance des clients
Frais de notification réglementaire
Coûts d’expertise informatique
Frais de défense
Coût d’une communication de crise
31/01/2018 10
Gérer le Système
Informatique
Protection de base :
Pare-feu
Antivirus
Antispam
Mises à jour systématiques
Sauvegarde 3-2-1:
3 sauvegardes
2 supports différents (ex : serveur externe, cloud, disque dur, NAS)
1 externalisée
Procédures :
Stress test
Manuel de l’utilisateur / Charte de l’utilisateur
Gestion des droits : accès web, téléchargements, etc…31/01/2018 12
Former son personnel
Attirer l’attention sur les facteurs de risques :
Ouvrir un mail ou une pièce jointe inconnus
Télécharger des logiciels, video, etc…
Transmettre des données confidentielles
Donner les codes WIFI à un tiers
Etc…
Expliquer les bonnes pratiques :
Ne jamais ouvrir une pièce jointe dont on n’est pas 100% certain.
Fermer la session de son ordinateur le soir ou pendant la pause déjeuner
Ne jamais donner la main à quiconque sur le réseau interne
Avoir un réseau WIFI dédié à l’entreprise et un autre aux invités
Ne jamais désactiver les antivirus/pare-feu/antispam, etc…
31/01/2018 13
Evolution de la
réglementation
TELECOM et FAI
Depuis 2009 : une directive européenne oblige les opérateurs télécom et lesfournisseurs d’accès internet à notifier auprès de leurs clients toute violationde leurs données personnelles
OIV : Opérateurs d’importance vitale
En France depuis le 01/01/2015 une liste de 220 OIV => obligation d’auditcyber, de protection cyber agréées par l’ANSSI et de notification de toutincident cyber à l’ANSSI
Au niveau européen, directive NIS ( Network Security and Information) enpréparation pour une mise en application au 01/01/2018
GDPR : General Data Protection Regulation
Europe : harmoniser la protection des données dans les 28 pays de l’unioneuropéenne avec mise en œuvre en 05/2018
Toute entreprise collectant, gérant ou stockant des données :
Notifier auprès de leurs clients toute violation des données personnelles
Notifier aux autorités (CNIL et ANSSI en France) toute cyber attaque
Risque d’amende de 4% du CA avec un plafond à 20M€31/01/2018 14
Evolution de la
réglementation
A partir de Mai 2018, toutes les entreprises stockant
directement ou indirectement des données personnelles
seront tenues d’assumer financièrement les risques de
cyber-attaques.
En cas d’intrusion, de suspicion d’intrusion, de vol de
données, l’entreprise sera tenue d’informer l’ensemble
de ses clients susceptibles d’être concernés par voie
recommandée.
31/01/2018 15
Les garanties principales
31/01/2018 17
3 s
ocle
s de g
ara
nti
es
L’assistance
Les Dommages subis
Les Dommages aux Tiers
Les garanties principales
31/01/2018 18
L’assistance :
•Frais d’expertise
•Prise en main de votre système jusqu’au retour à la normale (dépannage, reconstitution données, etc…)
•Frais d’avocat
•Frais de communication
Dommages subis :
•Pertes d’exploitation
•Frais de notification
•Cyber-extorsion et/ou frais de piratage téléphonique
•Frais supplémentaires
Dommages aux Tiers :
•Réclamation de tiers
•Frais juridiques
•Indemnisation suite à vol ou destruction de données appartenant aux tiers
•Transmission de virus
Quels sont vos risques ?
31/01/2018 19
Dommages accidentels
: Incendie, DDE,…
Dommages par
malveillance :
Incendie, vol,…
Dommages
informatique : virus,
cryptage, attaques,…
Autres Dommages
immatériels : erreur
humaine…
RC/Tiers
• Corporels
• DNC/DINC
Actif de l’E
• Corporels
• Financiers
PE et Frais
• Recherche
• Frais sup
Données
personnelles
• notification
Dommages matériels Dommages immatériels
Faits Dommageables/Evènements
Consé
quences
Dom
mageable
s
Contrats Multirisques
« Classiques »
Contrats RC « Classiques »Contrats RC
« Classiques »
Non couvert par les contrats
« classiques »
Non couvert par les contrats « classiques »
Non couvert
par les
contrats
« classiques »
CONTRATS CYBER-SECURITE
CONTRATS CYBER-SECURITE
CONTRATS
CYBER-
SECURITE
AGB Assurances19, rue des Bergers
38000 GRENOBLE
web : www.agb-assurances.fr
Tel : 04 76 87 20 24
Romain PASSOT : [email protected]
Myriam CHAUMAT : [email protected]
31/01/2018 20