Les Cyber Risques

Les Cyber Risks 
La nouvelle obligation de notifier les violations de données à la CNIL et aux intéressés (décret du 24 Aout 2011) vient renforcer les obligations de TOUTES les entreprises Françaises, détenant des données personnelles et/ou bancaires de leurs clients.
 Cette obligation va voir le jour à partir du 25 mai 2018.
L’amende prévu pourra atteindre 4% du chiffre d’affaires.
 
 » Extrait CNIL :
Pour qu’il y ait violation, 3 conditions doivent être réunies :
– Vous avez mis en suivre un traitement de données personnelles.
– Ces données ont fait l’’objet d’une violation (destruction, perte, altération, divulgation ou un accès non autorisé a des données personnelles, de manière accidentelle ou illicite).
– Cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques (par exemple, lors de la fourniture de votre service de téléphonie ou d’accès d’internet).
La notification doit être transmise à la CNIL dans les 24h de la constatation de la violation.
Dès réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :
La violation ne porte pas atteinte aux données personnelles ou ŕ la vie privée des personnes (pour vous permettre d’autoévaluer le niveau de gravité de la violation, la CNIL met ŕ votre disposition un outil d’analyse).
Vous avez correctement informé les personnes concernées.
Vous avez mis en place, préalablement ŕ la violation, des mesures techniques de protection appropriées.
La CNIL pourra vous imposer d’informer les personnes concernées si elle constate que :
Vous ne les avez pas correctement informées.
Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.
La CNIL dispose d’un délai de 2 mois pour vérifier le caractère approprié ou non de ces mesures techniques. En l’absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation.
 »
Les cyber-risques : pourquoi s’assurer ?
La cybercriminalité est devenue une réalité et n’épargne plus personne : 90 % des grandes entreprises ont subi une intrusion informatique en 2014 ainsi que 74 % des PME*.
En France, les cyber-attaques ont augmenté de 51 % en 2015 (+ 38 % dans le monde).
La cybercriminalité est un phénomène qui va se poursuivre et s’amplifier, car :
Les entreprises stockent et traitent de plus en plus de données personnelles et/ou sensibles et elles sont davantage exposées aux risques encourus, du fait de l’ouverture de leurs infrastructures informatiques (Cloud Computing). De même, elles collaborent de plus en plus avec des prestataires externes.

Les méthodes et outils utilisés par les cybercriminels évoluent en permanence, même si la réglementation se renforce afin de pouvoir mieux la réprimer.

Les entreprises sont encore insuffisamment organisées pour faire face de façon efficace à la cybercriminalité.

Aujourd’hui, en effet, aucune entreprise n’est à l’abri d’une cyber-attaque malgré les moyens mis en œuvre pour sécuriser les systèmes d’information. Il n’existe pas de défense technique parfaite. 88% des virus créés dans le but de nuire à une entreprise ne sont pas détectés par les solutions de sécurité existantes.**
 
A Noter : Les entreprises sont de plus en plus sensibilisées à ce risque, 62 % d’entre elles craignent d’être victimes d’un acte de cybercriminalité dans les 24 mois à venir***.
* Source : Information Security Breaches Survey 2015 (PwC & InfoSecurity)
** TrustWave 2012 (18 pays étudiés dont la France)
*** Source : PwC 2015
 
 
Quels sont les risques pour l’entreprise ?
Une cyber-attaque est une intrusion malveillante dans le système informatique* de l’entreprise.
L’activité d’une entreprise peut être menacée si le stockage et le traitement de données sont vulnérables :
– des hackers peuvent voler, altérer, détruire des données stockées,
– ils peuvent également saturer le système d’information afin de l’empêcher de fournir le service attendu,
– la responsabilité de l’entreprise peut être mise en cause à la suite d’un vol de données.
Un piratage de données menace la réputation et l’image de l’entreprise et entraine d’inévitables pertes financières.
A noter : Les cyber-risques : des risques majeurs pouvant mettre en danger le bon fonctionnement de l’entreprise, sa réputation et son image.
* systèmes informatiques centraux, activité on line, applications mobiles.
 
Quelles sont les conséquences pour l’entreprise ?
Responsabilité civile

Réclamation formulée par des tiers, à la suite d’une appropriation frauduleuse de données ou d’une atteinte à la sécurité du système d’information suite à une cyber attaque.
Frais à la charge de l’entreprise

– Frais de restauration des données, frais de sécurisation et de remise en état du système,
– Frais de notification des clients dont les données personnelles ont été détournées,
– Frais de communication de crise,
– Frais d’investigations et d’enquêtes,
– Sanctions financières et/ou amendes administratives.
A Noter : Le cadre législatif européen va imposer une double obligation :
Notifier aux régulateurs (CNIL en France) la violation du traitement des données.)

Notifier l’incident aux personnes concernées.

Pertes pécuniaires

Pertes d’exploitation occasionnées par une interruption ou la réduction d’activité de l’entreprise résultant d’une défaillance ou d’une altération du système d’information.
Atteinte à l’e-réputation

Diffamation, injures, dénigrement sur internet et les réseaux sociaux,
 Fraude numérique

Détournement de fonds dématérialisés,
Détérioration de l’image et de la relation client

L’image de l’entreprise peut être fortement atteinte lors d’une cyber-attaque mettant en doute la sécurité et la fiabilité d’un site internet, d’une application mobile, d’un système d’information.
 
A Noter :40% des consommateurs disent ne plus vouloir entretenir de relations commerciales (achats, services) avec des marques qui ont subi une faille de sécurité. Ce taux passe à 65% lorsque la faille porte sur leurs données financières personnelles.
Source : études Breach Level Index mené par SafeNet , 4 500 consommateurs interrogés.
 
Le coût très élevé d’une violation de données.
3,8 millions d’euros C’est le coût moyen d’une violation de données dans une entreprise en 2014* (+ 23 % par rapport à 2013).

154 euros C’est le coût d’une donnée compromise pour les entreprises*.

Des sinistres qui se multiplient.
Electronique : Un grand groupe d’électronique a été victime d’une cyber-attaque en 2012 qui entraîna une interruption du service et une perte financière de 170 millions de dollars.
Informatique : Un éditeur de logiciels a été victime d’une attaque, le 3 octobre 2013. Sont volés 3 millions de comptes clients (nom, données carte bancaire, date d’expiration et autres informations importantes) et surtout le code source de plusieurs de ses produits, les codes sources ouvrant l’accès au piratage des systèmes de sécurité.
E-commerce : E-commerce Un des leaders des enchères en ligne a été victime d’une cyber-attaque, le 21 mai 2014. Des pirates informatiques ont réussi à se procurer des codes d’accès de salariés du site et se sont infiltrés dans le réseau informatique de la société pour voler des données personnelles de clients.
Télécommunication : Un opérateur de télécommunication a été victime d’une succession de cyber-attaques, une première intrusion en février 2014 ayant abouti à un vol de données massif. Les données de 800 000 clients ont été dérobées, puis trois mois après l’opérateur a de nouveau été victime d’une cyber-attaque.
 
Comment protéger l’entreprise ?
L’entreprise doit se protéger des multiples conséquences générées par une cyber-attaque et anticiper la crise afin de limiter l’atteinte à sa réputation.
Protection

– En perfectionnant son niveau de sécurité informatique, notamment : • en mettant en place des systèmes de protection de bases de données (pare-feu paramétré et à jour, anti-virus mis à jour, anti-spam activés)
– En améliorant la gestion des mots de passe utilisés par les personnes ayant l’autorisation d’accéder au système d’information.
– En réévaluant continuellement ses programmes de cyber sécurité.
 
Prévention

– En perfectionnant son niveau de sécurité informatique, notamment :
– En mettant en place des systèmes de protection de bases de données (1)
– En améliorant la gestion des mots de passe utilisés par les personnes ayant l’autorisation d’accéder au système d’information.
– En réévaluant continuellement ses programmes de cyber sécurité.
– En renforçant la sensibilisation des dirigeants et du personnel aux cyber-attaques.
– En élaborant des procédures spécifiques internes à suivre en cas de cyber-attaque.
– En réalisant des tests réguliers pour évaluer les faiblesses et les possibles intrusions.