Risk. Reinsurance. Human Resources.

Aon Risk Solutions

Gestion des cyber-risquesInvestir dans la sécurité et la continuité

Cyber Risk Practice Group

Aon apporte son aide à l’établissement d’un inventaire de vos cyber-risques et vous offre un aperçu de l’impact financier de ces risques ainsi que des conseils sur des mesures de gestion efficaces. En ce qui concerne les risques que vous ne souhaitez ou ne pouvez vous-même supporter, nous vous aidons également à trouver une assurance adéquate. Notre Cyber Risk Practice Group (Groupe de pratique en matière de cyber-risques) est spécialisé dans la gestion de ces risques et, depuis plus de dix ans, formule des conseils dans le monde entier en matière de cyber-risques.

Depuis plus de dix ans, Aon formule des conseils dans le domaine des cyber-risquesL’automatisation, la numérisation et les tendances qui y sont liées, telles que les médias sociaux, la communication mobile et le cloud computing (l’informatique en nuage), revêtent une grande importance pour un nombre croissant d’entreprises. Est-ce également le cas de la vôtre ? Dans ce cas, connaissez-vous l’importance des risques qui y sont liés ? Savez-vous quels dommages peuvent entraîner le non-fonctionnement de certains systèmes, la perte de certaines données importantes du fait d’une perturbation informatique, d’une perturbation du système ou d’une intrusion numérique ?

Augmentation des incidents

En Belgique, le coût de la cybercriminalité est estimé à 3,5 milliards d’euros, soit plus de 1% du produit intérieur brut. Entre janvier et juin 2014, CERT.be a reçu plus de 751.000 notifications d’ordinateurs infectés en Belgique. L’équipe a également reçu, au cours du même semestre, en moyenne 614 avis d’incidents cybernétiques par mois, soit 80% de plus qu’en 2013. (Source : Communiqué de presse du CERT, Cyber Security Coalition — 20/10/2014).

Les résultats d’une enquête d’Aon (Source : Exploring the Latest Cyber Risk Trends in EMEA – Aon cyber Diagnostic Tool, septembre 2014) ont montré que dans certains pays de l’EMEA, un grand pourcentage d’entreprises ont été confrontées à une violation des données ou à une grave perturbation technique au cours des 12 mois précédents. Des pays tels que le Royaume-Uni, la Belgique, l’Espagne, la France et l’Italie comptent le plus grand nombre de violations ou de problèmes techniques, tandis que la moyenne mondiale est d’une entreprise sur trois.

Dans le monde entier, on constate une augmentation du nombre d’incidents avec les réseaux numériques et les systèmes ICT (TIC). De tels incidents peuvent être très

préjudiciables pour les organisations et peuvent menacer la survie des entreprises. Les assurances traditionnelles n’offrent pas de couverture ou offrent une couverture insuffisante mais des « cyber-assurances » sont apparues entre-temps, vous permettant d’assurer des risques tels qu’une perturbation du système et les frais en cas de responsabilité ou de perte de données.

Analyse

Il ressort d’une enquête de la FEB que 66% des entreprises interrogées n’ont pas une vision complète de toutes les implications d’une approche sérieuse et efficace de la sécurité cybernétique. Plus de 75% ne s’y retrouvent pas dans la réglementation et les instances compétentes. (Source : Communiqué de presse du CERT, Cyber Security Coalition — 20/10/2014).

Avant que vous ne cherchiez des solutions d’assurance, il est important d’analyser quels sont les cyber-risques que court votre organisation et ce que vous pouvez faire pour rendre ces risques gérables. En effet, une assurance ne constitue pas une alternative à une bonne gestion des risques. Chez Aon, nous commençons toujours par inventorier les risques et leur impact financier. Nous vous conseillons également sur des mesures de gestion efficaces. Ensuite, nous vous accompagnons dans la recherche d’une assurance adéquate.

Gestion des cyber-risques

Cette brochure vous indique ce qu’Aon peut faire pour vous sur le plan des cyber-risques. Vous avez des questions ? Prenez donc contact avec notre « Aon Cyber Risk Practice Group ». Nous serons heureux de vous aider. Nos conseillers en matière de risques sont spécialisés dans la gestion des cyber-risques et, depuis plus de dix ans déjà, formulent des conseils sur les cyber-risques et sur les questions de continuité qui y sont liées.

Les systèmes d’information sont vulnérables

Ces dernières années, il est apparu de plus en plus clairement que les systèmes ICT (TIC) et les installations informatiques des entreprises et des organisations sont fragiles. Même avec un bon réglage du dispositif de sécurité, aucune entreprise n’est à l’abri des risques qui relèvent de l’utilisation des systèmes et réseaux informatiques. La menace peut venir de l’extérieur mais aussi de l’intérieur. Vous pouvez vous trouver confronté à une perturbation du système, à une effraction ou à une perte d’exploitation.

Que sont les cyber-risques ?Il s’agit des risques en relation avec l’automatisation et la numérisation des entreprises et des organisations. Le concept de « cybernétique » indique qu’il s’agit de l’utilisation des réseaux et des systèmes informatiques. Les cyber-risques peuvent dès lors être décrits comme étant les conséquences négatives de l’utilisation des réseaux et des systèmes informatiques. Ces conséquences se traduisent pour les organisations par une interruption de l’activité de l’entreprise ou la perte de la confidentialité, de la fiabilité ou de la disponibilité des informations. Il peut en résulter un préjudice financier tant pour l’organisation elle-même que du fait des actions en responsabilité engagées par des tiers.

PréjudiceIl peut s’agir d’un préjudice résultant de perturbations du système d’exploitation, mais aussi d’une perte de données, d’une responsabilité et de la cybercriminalité due à un hacking (piratage), une intrusion dans le système et un vol de données et d’attaques par DDoS (déni de service). Les conséquences pour l’entreprise peuvent être des coûts supplémentaires pour la reconstitution des données et la notification, la perte d’exploitation, la responsabilité, des amendes et l’atteinte à la réputation.

SpécialisationLa gestion des cyber-risques est la discipline qui s’attache à maîtriser les risques informatiques. Les organisations dans lesquelles la gestion des risques constitue une discipline à part entière ont souvent déjà repris les cyber-risques dans leur gestion des risques. Il s’agit en l’occurrence d’identifier et de quantifier les risques ainsi que de déterminer des mesures appropriées de gestion. Aon s’est spécialisée dans ce domaine et veille à ce que vous puissiez gérer les cyber-risques qui constituent une menace. Nous vous offrons un aperçu des conséquences éventuelles des menaces externes, des vulnérabilités internes et des mesures de gestion existantes. Nous vous conseillons ensuite sur les solutions adéquates en matière d’assurance.

Causes�Incidents�Tentativedélibérée�Intentionfrauduleuse�Collaborateur�Tiers

Caractéristiques�Fuitesdedonnées�Virus,Malwareetc.�Chantagecybernétique�Usurpationd’identité�Accèsnonautorisé�Perturbationsdusystème�Destructiond’informations�Vol�Calomnieetdiffamation�Violationdelavieprivée�Perteetabusd’IP

Conséquences�Avisdefuitededonnées�Perturbationsdusystème�Enquête�Dommagesdesdonnées numériques�Chantage�Responsabilitélégaleenverslesclients,lesfournisseurs

�Besoindeconseiljuridique,RP et communication�Arrêtdel’activité�Réponseauxincidents, gestiondecrise

Résultats�Fraisdereconstructionetdenotification

�Fraisd’assistancejuridique, plaintes,gestiondecrise�Amendes�Augmentationdesfraisde conformité�Fraisderemplacement�Pertedeconfiance(duclient)�Impactsurlecoursdela bourse�Atteinteàlamarqueetàla réputation

À quel point vos systèmes et données sont-ils sûrs ?

Incidents

Ces dernières années, le nombre d’incidents relatifs à des informations mal protégées connaît une forte augmentation. Cela est non seulement lié à la forte augmentation de l’utilisation des technologies de l’information et de la communication (ICT-TIC) mais aussi à un nouveau type de criminalité qui s’attaque aux points faibles de la technologie. Au cours des prochaines années, l’utilisation des TIC et la dépendance à celles-ci ne feront que croître. Le défi consiste à équilibrer les avantages et les inconvénients de cette utilisation croissante.

Savez-vous quels systèmes d’information et de données sont cruciaux pour le fonctionnement de votre entreprise ? Avez-vous une idée des conséquences financières si des données, des systèmes ou des appareils ne sont pas disponibles à court ou plus long terme ? Connaissez-vous les conséquences de données confidentielles qui tomberaient entre de mauvaises mains ? En d’autres termes : savez-vous quelles peuvent être les conséquences si la fiabilité, la confidentialité et la disponibilité de vos données ou celles de vos relations d’affaires sont insuffisamment protégées dans votre organisation ?

À quoi devez-vous prêter de l’attention?

Aondisposed’unelargeexpérienceenmatièredeconseilsurlescyber-risques.Noussavonsquandlesorganisationsdoiventtenircomptedecesrisques.Danslescasmentionnésci-dessous,lesentreprisesetlesorganisationsdoiventredoublerd’attention.

� Lorsquedesdonnéesàcaractèrepersonnelsontcollectées,conservées,traitées ou stockées.

� Lorsquel’organisationestfortementdépendantedesprocessusélectroniquesoudesréseauxinformatiques.

� Lorsquel’organisation,poursesactivités,collaboredemanièreintensiveavecdesfournisseurs,desprestatairesdeserviceset autres tiers.

� Lorsquel’organisationdoitrespecterdesdispositionslégalesdansledomainedesdonnées,delaprotectiondelavieprivéeoudelasécuritédessystèmes.

� Lorsqu’ilexisteunepréoccupationenmatièredepréjudicematérielpouvantrésulterdelacybercriminalité,del’espionnaged’entrepriseetd’uneperturbationdusystème.

� Lorsquelescollaborateursn’ontpasuneformationsuffisanteounesontpassuffisammentpréparésàdesincidentsenrapportaveclescyber-risques.

� Lorsquevotreorganisationaétabliqu’elle neveutounepeutsupporterelle-même les risques éventuels.

Aon Cyber Risk Diagnostic Tool

Dressez l’inventaire des cyber-risques dans votre organisation.

Souhaitez-vous avoir un aperçu des cyber-risques au sein de votre organisation et souhaitez-vous connaître les conséquences éventuelles des cyber-attaques ? Souhaitez-vous dans le même temps sensibiliser votre organisation aux cyber-risques ? Utilisez dans ce cas le Cyber Risk Diagnostic Tool d’Aon. Ce dernier vous permettra d’inventorier sans peine ces risques au sein de votre organisation.

L’outil est très simple à utiliser : sur la base de questions à choix multiple, vous établissez un inventaire de l’utilisation des technologies par vos collaborateurs, la structure de contrôle et la position de la direction sur les cyber-risques.

Une clarté directe

Après avoir répondu aux questions, vous recevrez directement un rapport qui pourra servir de base pour la gestion des cyber-risques. A l’aide de ce rapport, il vous sera possible d’établir clairement, au niveau interne, quels sont les risques présents dans votre organisation et quelles sont les conséquences de ces risques. Ainsi pourrez-vous placer ce thème en haut de l’agenda au niveau interne.

À l’œuvre

Vous pouvez directement vous mettre à l’œuvre avec l’outil de diagnostic des cyber-risques d’Aon. Rendez-vous sur le sitehttps://www.aoncyberdiagnostic.com/fr/et répondez au questionnaire. Après avoir rempli ce questionnaire, vous obtiendrez un rapport directement.

Avantages

• L’outil de diagnostic des cyber-risques d’Aon est gratuit. • Répondre aux questions à choix multiple ne vous

prendra qu’une dizaine de minutes. • Vous recevez directement un rapport. • Le profil de cyber-risques de votre organisation

apparaît visuellement • Les profils en matière de cyber-risques sont répartis

par domaine de risques. • Vous recevez des conseils pratiques pour la gestion

des cyber-risques au sein de votre organisation.

Règlement de l’UE sur la protection de la vie privée

L’outil de diagnostic des cyber-risques d’Aon répond également à la nouvelle législation européenne en matière de cyber-risques. Le règlement de l’UE sur la protection de la vie privée en constitue un exemple. Celui-ci devrait entrer en vigueur en 2015, avec une période de 24 mois pour sa mise en œuvre. Il peut en résulter des conséquences pour vous. Des exigences plus strictes sont établies en matière de protection des informations et de protection des données personnelles. C’est ainsi qu’une obligation de notification a notamment été introduite pour les fuites de données. L’UE impose également des sanctions sévères lorsque les organisations se montrent négligentes en matière de protection des données à caractère personnel.

Aperçu de l’impact financier des cyber-risquesSouhaitez-vous savoir à quels cyber-risques s’expose votre organisation ? Et souhaitez-vous savoir comment vous pouvez vous prémunir contre de tels risques ? Avant de rechercher des solutions d’assurance, il est important d’analyser ce que vous pouvez faire pour rendre ces risques gérables.

Ce qu’Aon fait pour vous

• Identifier les cyber-risques. • Donner des informations concrètes sur l’impact financier des cyber-risques. • Conseiller sur la gestion et la lutte contre les cyber-risques. • Former et instruire les collaborateurs. • Bien vous assurer contre les conséquences des cyber-risques.

Un conseil en quatre étapes

Aon entame un processus de conseil permettant d’inventorier les cyber-risques de l’entreprise. Les étapes suivantes ont été établies à cet effet.

Étape 1. Aon détermine d’abord avec le client ce qui peut arriver de fâcheux. De la sorte, il apparaît clairement quelles activités et quelles ressources de l’entreprise sont vulnérables et quels cyber-risques en sont (peuvent en être) à la base.

Étape 2. Ensuite est établie une base quantitative des conséquences financières de ces risques. Cela permet d’attribuer une certaine priorité aux risques et scénarios de préjudices potentiels. Grâce à cette base, il est également possible d’examiner la

préparation aux risques et la capacité financière d’une organisation.

Étape 3. Cette analyse des risques sert de base pour l’évaluation des mesures de gestion actuelles et de la maturité de l’organisation de la gestion des risques. Cette analyse permet

de voir où se situe une organisation par rapport à la protection exigée ou souhaitée.

Étape 4. Sur la base des étapes précédentes apparaît une vision claire de l’assurabilité des cyber-risques identifiés dans le cadre des assurances actuelles et des assurances futures éventuelles.

1. Évaluation des risques

Que peut-il se passer de fâcheux ?

Quelles sont les con-séquences financières ?

Comment suis-je pro-tégé ?

Mon assurance interviendra-t-elle ?

2. Quantifier le scénario 3. Rendre les risques gérables

4. Reporter les risques

Qualifier

Quantifier

Gérer

Examen des risques assurables

Votre organisation devient plus résistanteAon veille à ce que votre organisation soit au courant des cyber-risques qu’elle court.

Nous dressons l’inventaire des conséquences éventuelles des menaces externes, des vulnérabilités internes et des mesures de gestion existantes. Sur cette base, nous vous conseillons sur les mesures que vous pouvez prendre afin de pouvoir mieux gérer vos risques. Nos conseils sont établis sur mesure. Nous appliquons une approche intégrée, avec des conseils en matière de risques et une formation. Si vous le souhaitez, nous veillons également à déterminer une assurance adéquate qui couvre les risques que vous ne pouvez ou ne souhaitez pas supporter vous-même. Aon élabore une assurance sur mesure grâce à laquelle les cyber-risques les plus importants sont couverts. La couverture choisie concerne aussi bien les éventuels risques en matière de responsabilité que les frais propres auxquels votre entreprise peut se trouver confrontée en cas de sinistre

Capacité de résistance

La gestion des cyber-risques d’Aon apporte une cohérence dans vos activités sur le plan de la sécurité, de la gestion des risques et de la continuité. Les conseils d’Aon renforcent la capacité de résistance de votre organisation. Il en résulte une gestion professionnelle des cyber-risques et une responsabilité administrative assumée en connaissance de cause dans ce domaine. Grâce à Aon, vous disposez en outre d’une vue d’ensemble actuelle de la législation et de la réglementation pertinentes.

Gestion des risques

Sur la base d’une analyse des risques, un plan d’approche est établi afin de porter la gestion des risques de l’organisation au niveau souhaité.

En l’occurrence, il s’agit surtout des actions suivantes.

• Satisfaire de façon manifeste aux législation et réglementation actuelles et futures dans le domaine de la protection de la vie privée, de la sécurité et de la continuité. • Renforcer la cohérence administrative ainsi que la

garantie des responsabilités pour une bonne gouvernance. • Identifier et renforcer les processus essentiels de

l’organisation. • Réaliser une réduction des risques par une maîtrise

plus rigoureuse du contrôle des opérations et de la gestion des contrats.

Gestion de crise Grâce à une planification, une formation et des exercices, Aon aide votre organisation à se préparer à une cyber-crise éventuelle. Nous donnons également des conseils ciblés pendant les situations de crise et évaluons les incidents avec vous afin de pouvoir en tirer des enseignements.

Financement du risque

La cyber-police garantit les entreprises contre les conséquences du hacking (piratage), de l’intrusion dans les systèmes, la perte de données, le vol de données et les cyber-attaques. L’intérêt et la demande à cet égard ne cessent d’augmenter. La raison de cet intérêt croissant réside dans le fait que les assurances traditionnelles, telles que les assurances contre l’incendie, la responsabilité et la fraude sont généralement insuffisantes ou, dans l’ensemble, n’offrent pas de couverture pour le préjudice financier susceptible de résulter des cyber-risques. En ce qui concerne les risques pour lesquels aucune mesure organisationnelle n’est disponible, nous recherchons des solutions d’assurance adéquates

« Cette identification des risques nous

a été utile afin d’avoir une bonne vision

de nos cyber-risques et de leur impact.

De la sorte, nous avons intégré ce

thème dans notre agenda. »

– Manager Insurance & Treasury

Notes

Avez-vous des questions sur les cyber-risques ? Souhaitez-vous savoir ce qu’Aon peut faire pour votre organisation ? Dans ce cas, prenez contact avec Lot Goris.

Lot Goris t +32 (0)2 730 95 80 e lot.goris@aon.be i www.aon.be/cyber

Plus d’informations ?

À propos du « Cyber Risk Practice Group »

Aon apporte son aide à l’établissement d’un inventaire

des cyber-risques et offre un aperçu de l’impact financier

de ces risques. Nous vous conseillons également sur des

mesures efficaces. En ce qui concerne les risques que vous

ne souhaitez ou ne pouvez vous-même supporter, nous

vous aidons également à trouver une assurance adéquate.

Notre Cyber Risk Practice Group (Groupe de pratique en

matière de cyber-risques) est spécialisé dans la gestion

de ces risques dans le monde entier et, depuis plus de dix

ans, formule des conseils en matière de cyber-risques.

Risk. Reinsurance. Human Resources.

1184

-04-

V3-

FR

Àproposd’AonAon Belgium est un conseiller et courtier en assuranc-es de premier plan. De manière neutre et objective, nous accompagnons nos clients dans la recherche des meilleures solutions en matière d’assurance, de réassurance, de gestion des risques, de pensions et employee benefits. De la sorte, Aon aide ses clients à atteindre leurs objectifs. Aon Belgium est établie à Bruxelles et compte également des bureaux à Anvers, Gand et Liège. Au total, l’entreprise compte 370 col-laborateurs. Aon Belgium fait partie d’Aon plc, le leader mondial en gestion des risques, du courtage d’assurance et de réassurance, des pensions et employee benefits. Aon plc emploie 66 000 collaborateurs dans quelque 500 bureaux à travers 120 pays. Le siège social d’Aon plc se situe à Londres. L’entreprise est cotée en bourse à New York (NYSE:AON). Rendez-vous sur le site www.aon.be pour obtenir plus d’informations sur Aon ainsi que sur le site www.aon.com/manchesterunited pour en savoir davantage sur notre partenariat mondial avec Manchester United.

©2015AonBelgiqueTous droits réservés. Aucune partie de cette déclaration ne peut être reproduite, stockée dans un système, ou transmise, sous toute forme ou par tout moyen électronique, mécanique, photocopie, enregistrement, ou autrement, sans le consentement préalable par autorisation écrite de Aon.

www.aon.be