Télécharger le document technique

Le bon, la brute et le négligeant
Un survol du risque de piratage informatique
des entreprises
Le bon, la brute et
le négligeant
Au cours des dix dernières années environ, l’internet a
vraiment tout changé. Surtout pour le meilleur. Toutefois
il a donné lieu a des risques majeurs de cyber attaques
surtout pour des vols et des accidents. Les crimes et
les accidents virtuels peuvent mener à des pertes de
biens, de revenu et de réputation réelles, ainsi qu’à une
responsabilité accrue. De plus, ces pertes peuvent être
inter-reliées; l’une peut entraîner l’autre et créer une
réaction en chaine comme un jeu de dominos.
Prenez par exemple Target, le
magasin à grandes surfaces des
É.-U. Vers la fin 2013, des voleurs
auraient pénétré par infraction dans
le réseau de l’entreprise en utilisant
des mots de passe subtilisés dans
une autre entreprise qui assurait
le service du chauffage et de
l’air conditionné, ce qui a permis
d’accéder aux systèmes de paiement
et de voler les renseignements des
cartes de paiement de 40 millions
de consommateurs.1 L’infraction
pourrait coûter à Target des
centaines de millions de dollars,
comprenant des frais juridiques, de
conseil, et les services de contrôle
des cartes de crédit. Le coût de la
perte de confiance de la part des
consommateurs n’est pas connu.
Zurich Compagnie d’Assurances SA
(Direction canadienne) fait du piratage
informatique une priorité. Nous
faisons des recherches, nous avons des
actions de lobbying à ce propos, nous
offrons une expertise et des garanties
d’assurance. Vous pouvez trouver un
aperçu général sur notre site Web :
http://www.zurichcanada.com/can/en/
solutions/security-privacy-solutions/
cyber-thought-leadership.htm
Ce document technique s’adresse aux
entreprises clientes – existantes ou
potentielles – et toute autre personne
qui partage notre intérêt pour ce
problème grandissant. Le document
a pour but de donner une vue
d’ensemble des risques cybernétiques,
ce qui comprend :
• Qui sont les auteurs, qui causent les
risques cybernétiques?
• Que font-ils, comment est-ce que
cela survient?
• Qu’est-ce qui est exposé au risque?
• Que peut-on faire pour se protéger?
1 V ijayan, Jaikumar. ‘Target breach happened because of a basic
network segmentation error.’ Computerworld. 6 February
2014. http://www.computerworld.com/article/2487425/
cybercrime-hacking/target-breach-happened-becauseofabasic-network-segmentation-error.html
3
La puissance de
l’informatique : le bon, la
brute et le négligeant
Nous ne travaillons plus ni ne vivons
de la manière à laquelle nous étions
habitués. Les communications et le
stockage d’informations ont changé
de façon spectaculaire. La technologie
est au pouvoir. Dans une certaine
mesure, beaucoup d’entre nous
auraient pensé inconcevable que
nos vies deviennent numériques. Le
numérique ou la technologie virtuelle
est un amplificateur. Ceci permet aux
utilisateurs de faire des choses beaucoup
plus importantes qu’ils auraient pu faire
auparavant. Ceci comprend de très
bonnes choses et de très mauvaises.
Beaucoup de recherche et d’attention
a été accordée à ce qui est bon. Ce
rapport toutefois se concentre sur
ce qui est mauvais – moins connu
mais toutefois très important. Ceci
commence avec les auteurs. Ils
tombent dans deux catégories. Les
gens qui menacent les compagnies
pour des raisons de cupidité, de
malveillance ou d’hostilité, et ceux qui
mettent les autres en danger à cause
de leur propre négligence.
Qui sont les vrais cybercriminels?
Les menaces intentionnelles du monde
informatique tombent dans deux
catégories de base. Premièrement
il y a les criminels et les vandales qui
veulent voler, escroquer ou nuire
aux compagnies ou à leurs clients.
Deuxièmement il y a les espions ou les
combattants, qui lorsqu’ils épient ou
attaquent de la part d’un gouvernement,
peuvent indirectement toucher une
compagnie et créer des dommages.
2 The Federal Bureau of Investigation (FBI), ‘Cyber’s Most
Wanted.’ http://www.fbi.gov/wanted/cyber
3 McGuire, Michael R. ‘Organised Crime in the Digital Age.’ John
Grieve Centre for Policing and Security, London Metropolitan
University, BAE Systems Detica. March 2012.
4 Ibid.
4
Les voleurs virtuels et les escrocs
Peut-être ironiquement vous pouvez
en trouver certains facilement sur
l’internet. Il suffit de regarder la liste
«Cyber’s Most Wanted» qui est affichée
par le Federal Bureau of Investigation
aux É.-U.2 Presque toujours, les
inculpations sont soit le vol – d’argent
ou de données – ou la fraude.
Qui sont ces gens? Il s’avère, que
la plupart ne correspondent pas
à la fausse image populaire d’un
jeune fana de l’informatique qui
travaille seul. Selon une étude en
2012 par BAE Systems et la London
Metropolitan University, 80 pourcent
des crimes cybernétiques sont le travail
de criminels professionnels. Ce n’est
pas un passe-temps. C’est leur travail.3
Dans la plupart des cas les
cybercriminels travaillent pour une
organisation, comprenant environ
cinq à six membres, pouvant aller
quelquefois jusqu’à 15. Beaucoup sont
basés dans l’ancienne Union Soviétique
avec d’autres groupes similaires dans
les Amériques, en Chine en Inde et
au Nigéria. Ces groupes ne sont
pas – en tout cas pas encore – aussi
grands et établis que les syndicats du
crime organisé. Ils sont plus nébuleux,
informels et éphémères. Souvent
ils fonctionnent comme une sorte
«d’équipe de projet» composée de
travailleurs indépendants.
Aussi et en dépit de tous les
stéréotypes, les voleurs virtuels ne
sont pas particulièrement jeunes.
Leur âge moyen se situe entre 26
et 35 ans, selon l’étude de BAELondon Metropolitan University.4 Ils
ne sont pas non plus tous des as
de l’informatique. Bien sûr il y en a
quelques uns, mais le reste est en
général des criminels ordinaires qui
travaillent de 9 à 5. Ceci est surtout
en raison de la «déqualification» de la
criminalité informatique qui est rendue
plus accessible par la disponibilité de
«logiciels malveillants» qui peuvent
être achetés librement et utilisé par
n’importe qui. Ces outils offrent
toute une panoplie allant de virus
tout prêts pour exploiter les points
vulnérables de systèmes individuels
au «robot-réseau». En bref des outils
de fabrication «à faire soi-même» de
logiciels criminels ou des «exploithack
packs» et autres outils qui collectent
des renseignement à l’insu des
utilisateurs qui ne savent pas que leur
ordinateur est infecté.
Vandales virtuels : les hacktivistes
Dans le monde réel, il y a des gens qui
inscrivent des graffitis ou protestent
contre la cupidité des entreprises
en utilisant des moyens illégaux.
Maintenant ils sont une opération
multicanal avec une présence en ligne.
Les trois visages du risque
cybernétique
Rencontrez le trio infernal : le vol et la
fraude, les préjudices volontaires, et
les accidents. Ceci sont les principales
formes du risque cybernétique. Il y a
même une quatrième source hybride
Selon la façon dont on le voit, les
de danger. C’est lorsque une série
soit disant hacktivistes peuvent être
de risques sont reliés entre eux et
classés du fauteur de trouble cherchant
créent une somme de dommages plus
de l’attention au «combattant pour
grande que ses parties individuelles.
la liberté». Ils se décrivent comme
des Robin des Bois sur l’internet,
Une étude estime que le coût annuel
combattant les puissants corrompus
du piratage informatique pour
pour défendre les droits des faibles
l’économie internationale pourrait être
et des innocents. Peut importe ce
de 400 milliards de dollars US ou peutqu’ils sont, leurs activités se déroulent
être davantage.6 C’est une guerre
souvent dans les zones d’ombre de la
qui escalade, alors que les deux côtés
loi, quelque chose entre le droit légal
améliorent leur tactique. Les enjeux
de protester, la désobéissance civile et
sont de taille.
la délinquance criminelle.
Le piratage pour voler
Les mieux connus sont sans doute les
Malheureusement, il est
Wikileaks et Anonymous.
incroyablement bon marché et facile
d’acheter des cartes de crédit volées.
Dommages indirects : les espions
Un site Web basé en Russie donne
et les guerriers
des détails sur des cartes de crédit
Les gouvernements, pour de bonnes
volées pour moins de 5 $US chacune.
ou mauvaises raisons, ont joué un
Ricardo Villadiego, le fondateur et le
rôle actif dans le développement de la
PDG de consultants en sécurité, copie
technologie. Arpanet, le précurseur
ces site en ligne, en raison de la facilité
de l’internet d’aujourd’hui, a été
avec laquelle ceci peut être obtenu,
conçu à l’origine par le Ministère
c’est un peu comme «l’Amazon® de
de la défense des É.-U.5 L’étendue
l’économie des cybers crimes.»8
de la surveillance et des attaques
cybernétiques ne sont pas connues du Et il ne s’agit pas seulement des
grand public en général. Différents
cartes de crédit qui sont en vente.
rapports ont suggéré l’implication des
Les voleurs informatiques prendront
gouvernements de la Chine, de l’Israël, pratiquement tout ce qu’ils peuvent
des É.-U. et d’autres.
pour personnifier un client réel : mots
de passe, numéros d’identification
Erreurs involontaires : négligence
personnels, code pour la fiscalité ou
(ou malveillance)
des avantages sociaux. De ce point
Pour avoir une idée de sources
de vue ils travaillent de la même façon
potentielles d’attaques
que les autres cambrioleurs, en volant
cybernétiques, regardez autour
des montants d’argent relativement
de vous au bureau ou même dans
peu importants (peut-être entre 100
un miroir. Les accidents arrivent,
$US et 200 $US par transaction)
quelquefois avec des données de
jusqu’à ce que la personne dont
valeur. Ceci est d’abord dû à la
l’identité a été usurpée s’en aperçoive
négligence selon les recherches du
et modifie ses coordonnées.
marché. Toutefois, au moins un
quart de ces incidents pourraient être
du sabotage intentionnel par des
employés mécontents et qui passent
pour des erreurs de bonne foi.
À quel point est-il facile de
décoder un mot de passe?
Des mots de passe simples
peuvent être décodés en
quelques secondes ou même
une fraction de seconde.
Comme toute la technologie en
général, les outils de décodage
de mots de passe ont évolué. Il
peut s’agir d’une approche qui
essaye différentes combinaisons
et utilise des attaques du
genre «devinette» avec les
plus vulnérables qui s’ouvriront
probablement en l’espace de
quelques secondes et même de
fractions de secondes.
Il existe une bibliothèque de
recherche sur la vulnérabilité
de différents types de mots
de passe et les outils pour les
décoder, certains avec des
noms fantaisistes comme «Jack
l’éventreur». Mais tandis que
des outils sophistiqués sont
disponibles, il est souvent
possible d’utiliser une console
de jeu normale pour obtenir les
mêmes résultats.7
5 Bellis, Mary. ‘Inventors of the Modern Computer. ARPAnet –
the first Internet.’ http://inventors.about.com/library/weekly/
aa091598.htm
6 “Cybercrime is a growth industry. The returns are great,
and the risks are low. We estimate that the likely annual
cost to the global economy from cybercrime is more than
$400 billion. A conservative estimate would be $375
billion in losses, while the maximum could be as much
as $575 billion.” Center for Strategic and International
Studies, McAfee, part of Intel Security, a subsidiary of Intel
Corporation. ‘Net Losses: Estimating the Global Cost of
Cybercrime.’ 2014. http://www.mcafee.com/us/resources/
reports/rp-economic-impact-cybercrime2.pdf
7 Bonneau, Joseoph. ‘Guessing human-chosen secrets.’
University of Cambridge Computer Laboratory. Technical
Report Number 819. http://www.cl.cam.ac.uk/techreports/
UCAM-CL-TR-819.pdf
8 Wagenseil, Paul. ‘How to Buy Stolen Credit Cards from
the ‘Amazon of Cybercrime.’ Tom’s Guide US. 27 February
2014. http://www.tomsguide.com/us/how-to-buystolen-creditcards, news-18387.html#how-to-buy-stolencreditcards%2Cnews-18387.html?&_suid=14158966182430
09643911586010756
5
«
Les pourriels
représentent plus de
deux tiers de tous les
courriels. La plupart
sont innocents mais
quelques-uns visent
vos données.»
9 Johnson, Kevin; Leinwand Leger, Donna. ‘U.S. accuses
China of hacking Westinghouse, U.S. Steel’. USA
Today. 19 May 2014. http://www.usatoday.com/story/
news/nation/2014/05/19/ us-accuses-china-of-cyberespionage/9273019/
10 Johnston, David Cay. ‘Russian Accused of Citibank
Computer Fraud.’ New York Times. 18 August 1995. http://
www.nytimes. com/1995/08/18/business/russian-accusedof-citibankcomputer-fraud.html
6
Les voleurs sont également à la
recherche de données. Par exemple,
en 2014, les É.-U. ont accusé cinq
officiers militaires chinois, de piratage
informatique qui leur ont permis
de voler des secrets de fabrication,
y compris chez Westinghouse, alors
que la compagnie était en train
de négocier avec la Chine pour y
construire une usine nucléaire.9
Au début, les voleurs informatiques
travaillaient surtout avec la force
brute. En 1994, un mathématicien
russe, Vladimir Levin, a mené ce que
l’on peut considérer comme le premier
cambriolage «virtuel» d’une banque.
L’ingénierie sociale est le terme général
pour désigner les escroqueries et
les cyber-arnaques. Bien que cela
semble incroyable, il y a des gens
qui se laissent encore prendre par les
courriels nigériens qui demandent
des transferts bancaires. Il y a des
méthodes plus raffinées que le FBI
aux É.-U. appelle «rançongiciel» ou
«logiciel de la peur». Par exemple,
quelqu’un qui est en train de naviguer
sur l’internet soudain voit apparaître
une fenêtre qui dit que l’ordinateur est
infecté par un virus et offre un logiciel
«antidote» à l’achat. Diaboliquement,
le soi-disant antidote corrompt en fait
la machine.
Levin manipulait les ordinateurs à
Les escroqueries exploitent la nature
Citibank pour envoyer de l’argent en
humaine: Le désir de la plupart des
Finlande, en Israël et à San Francisco.10
gens de faire confiance aux autres et
Face à cela, Citibank et d’autres
d’éviter des conflits ou de la gêne. Il
ont commencé à investir des
est plus facile de manipuler les gens
sommes importantes dans des
que la technologie. Kevin Mitnick
pare-feu, protection de mot de
, l’homme que le magasine Wired
passe, cryptage et tous les autres
appelle «un pirate légendaire» est un
pièges d’une communication
exemple brillant de cela. Selon les
sécuritaire. Clairement, ceci
dires des medias, il pouvait pénétrer
représente une énorme barrière aux
en partie grâce à ses aptitudes
pirates d’aujourd’hui. Plutôt que
en «ingénierie sociale». Avec des
de s’engager dans une course aux
accents, des imitations et autres
armements digitale, beaucoup d’entre aptitudes similaires «discrètes» il
eux préfèrent une cible plus docile :
pouvait convaincre des employés
les humains naïfs.
sans méfiance de divulguer des
renseignements qu’il utilisait
Modcons – la sociologie appliquée
pour entrer par infraction dans
«Je suis là pour vérifier le système»,
les systèmes. L’homme décrit par
dit la personne indéfinissable en jeans
certain come un «farceur» ou un
et T-shirt qui prétend venir du Service
«pirate récréatif» a été arrêté en
des TI. «J’ai égaré mon mot de passe
1995 et condamné pour avoir piraté
dit une voix qui serait un responsable
les ordinateurs de certaines grandes
à l’autre bout de la ligne téléphonique
entreprises. À présent il touche des
qui grésille. «Urgent» indique un faux
honoraires pour son travail en tant
courriel, «veuillez renvoyer ces calculs
que consultant en sécurité.11, 12, 13
de prix».»
11 Shimomura, Tsutomu. ‘Catching Kevin.’ Wired. Issue 4.02.
February 1996 http://archive.wired.com/wired/archive/4.02/
catching.html
12 O’Neill, Ann W. ‘”Condor” Myth Loop of Contradictions:
Computers: To some, Kevin Mitnick is an electronic terrorist.
Others say he’s a prankster.’ Los Angeles Times. 18 February
1995. http://articles.latimes.com/1995-02-18/news/mn33388_1_kevin-mitnick/2
13 Greenberg, Any. ‘Kevin Mitnick, Once the World’s Most
Wanted Hacker, Is Now Selling Zero-Day Exploits‘. WIRED.
24 September 2014 http://www.wired.com/2014/09/kevinmitnick-sellingzero-day-exploits/
Le vol ou un autre nom :
la surveillance
Il ne s’agit pas juste de pirates
conventionnels. Ceci a été exposé
au grand jour par Edward Snowden,
qui au milieu des années 2013 a
laissé fuir l’écoute illicite perpétrée
par la U.S. National Security Agency.
Quelques années auparavant, un
groupe canadien a détecté ce que
l’on pense être une opération de
cyber-espionnage, qui serait basée
principalement en Chine, qui a
infiltré des cibles de grande valeur
comprenant des ministères étrangers,
des ambassades, des organisations
internationales, des medias et des
organisations non-gouvernementales.14
Pourriels et virus
La masse de pourriels est tout
simplement énorme. Plus de deux
tiers de tous les courriels sont des
pourriels, en se basant sur des
données de 2013 rassemblées par
la compagnie de sécurité des TI,
nommée Kaspersky Lab.15 Tous ne
sont pas criminels, bien sûr. Mais
une minorité, toutefois importante de
pourriels sont envoyés avec l’intention
de voler ou de frauder.
Les pourriels particulièrement sournois
sont ceux qui arrivent avec un contenu
odieux – un lien à un site Web risqué,
ou un virus qui attend d’infecter votre
réseau. Ce dernier peut causer toute
sorte de problèmes: faire tomber
un ordinateur en panne, voler des
renseignements confidentiels, épier les
utilisateurs, ou même utiliser le courriel
pour envoyer d’autres pourriels, en
général sans que l’utilisateur le sache.
La plupart des années connaissent
trois à cinq alertes au virus qui causent
des perturbations majeures et des
arrêts. Les mieux connus peut-être
étaient «Mydoom» qui a infecté 250
000 ordinateurs en quelques jours en
2004 et «ILOVEYOU» qui a atteint des
proportions similaires en 2000.
La nuisance
Nuire est le deuxième type important
de risque cybernétique. Nuire
intentionnellement tombe dans deux
catégories principales: Les actes
internes et l’hacktivisme /guerre
informatique.
Les actes internes
Le problème prend une dimension
toute nouvelle lorsqu’un employé
mécontent a accès à l’informatique
et possède des compétences. Des
statistiques précises à propos des actes
14 Munk School of Global Affairs, University of Toronto. The
SecDev Group.’The Information Warfare Monitor Project
Publishable Summary.’ Project closed in 2012. http://
www.infowar-monitor.net/reports/IWM-Project%20
Publishable%20Summary.pdf
16 Software Engineering Institute, Carnegie Mellon University.
‘2011 Cybersecurity Watch Survey: Organizations Need
More Skilled Cyber Professionals to Stay Secure.’ 31 January
2012. http://www.sei.cmu.edu/news/article.cfm?assetid=52
441&article=031&year=2012
15 K aspersky Lab, ‘Spam News.’ 23 January 2014 http://
www.kaspersky.com/about/news/spam/2014/financial_
data_leads_the_malicious_spam_hit_list_for_third_year_
in_a_row
17 M
ulligan, Thomas S. ‘Technician Charged in Forbes
Sabotage Case. Los Angeles Times. 25 November 1997.
http://articles.latimes.com/1997/nov/25/business/fi-57410
posés par des employés ne sont pas
disponibles, parce que la plupart des
cas sont réglés en privé. Une étude a
trouvé que 70 pourcent des incidents
internes étaient traités au sein de
l’entreprise sans action juridique.16
Pour les employés en colère, vouloir
c’est pouvoir.
• Le technicien mis à la porte : un
technicien informatique a été accusé
de saboter le système informatique
de Forbes Inc. pour se venger d’avoir
été mis à la porte. Les médias,
qui citaient les forces de l’ordre,
disent que l’attaque a causé une
interruption du service informatique
pour les employés, et que le chaos a
coûté plus de 100 000 $US.»17
• Un technicien à NDB, du service
des renseignements en Suisse
a téléchargé des informations
confidentielles qui provenaient peutêtre d’agences de renseignements
britanniques et américaines et
a tenté de les vendre, après les
avoir fait sortir des immeubles du
gouvernement dans un sac à dos.
Il est possible qu’il soit devenu
frustré après que ses conseils sur
l’exploitation des systèmes de
données n’aient pas été pris au
sérieux, suggère un rapport.18
18 Hosenball, Mark. ‘Swiss spy agency warns U.S., Britain
about huge data leak.’ Reuters. 4 December 2012. http://
www.reuters.com/article/2012/12/04/us-usa-switzerlanddatatheftidUSBRE8B30ID20121204
7
L’hacktivisme et la guerre
Les cyber-combattants n’attaquent pas
informatique
seulement les gouvernements.
Les hacktivistes et les cyber• La prise du New York Times:
combattants peuvent aller à l’assaut des
pendant une demi-journée en
organisations. La menace est à peut
août 2013 «toutes les nouvelles
près la même. Ils travaillent simplement
qui étaient prêtes à imprimer, ne
pour différentes personnes.
l’étaient plus». Un groupe qui
se déclarait le soi-disant Syrian
Les hacktivistes sont exemplifiés par
Electronic Army a désintégré le
Anonymous, une collectivité de pirates
site Web du journal, probablement
informatiques qui, grâce à plusieurs
pour protester contre la couverture
attaques sont tout sauf «anonymes».
des conflits armés de ce pays. Le
• Operation Japan: en 2012, un fil
groupe a aussi tenté des attaques
Twitter® associé à Anonymous
similaires sur les sites respectifs
a temporairement pris le
de la CNN, le Financial Times et le
contrôle de plusieurs sites Web
Washington Post.21
du gouvernement, sur ce qui a
• Les vols dans les entreprises
été rapporté comme être une
financent le terrorisme: en 2011,
protestation contre une nouvelle
quatre personnes ont été arrêtées
loi sur les droits d’auteurs dans
aux Philippines pour pirater les
ce pays, qui selon les déclarations
comptes des clients d’AT&T, et
d’Anonymous, allait réduire la
envoyer l’argent à un groupe qui
protection de la vie privée.19
finançait des attaques terroristes en
• En plein jour: une année
Asie. La police des Philippines a dit
auparavant, Aaron Barr, PDG d’une
que le complot a coûté 2 millions de
entreprise de sécurité aux É.-U.
$US, et ont choisi comme proie, des
a menacé de nommer les leaders
comptes téléphoniques protégés par
d’Anonymous. En l’espace d’un
des mots de passe faibles.22
jour, le magasine Wired a déclaré
• Un ver dans la machine: en 2010,
qu’Anonymous avait réussi à
un ver informatique, «Stuxnet,»
infiltrer le site Web de la société de
apparemment attaquait le
Barr, à le fermer et à le remplacer
programme nucléaire de l’Iran, qui
par un message en faveur
était conçu de façon à créer une
d’Anonymous. Ceci a compromis le
perte de contrôle des centrifugeuses
serveur du courriel de sa société et
nucléaires. Ces changements
a affiché plus de 40 000 courriels
pouvaient faire exploser des
sur une plate-forme publique. Il
centrifugeuses utilisées pour enrichir
paraît même que son iPad a été
de l’uranium destiné à des réacteurs
effacé à distance. 20
ou des bombes.23
19 ‘Anonymous linked to Japan’s government websites
attacks.’ BBC. 27 June 2012. http://www.bbc.com/news/
technology-18608731
20 Anderson, Nate, ‘How One Man Tracked Down Anonymous
– And Paid a Heavy Price.’ 10. February 2011.
21 H
aughney, Christine; Perlroth, Nicole. ‘Times Site Is
Disrupted in Attack by Hackers.’ New York Times. 27
August 2013. http://www.nytimes.com/2013/08/28/
business/media/hacking-attackis-suspected-on-times-website.html?_r=0
22 Sengupta, Somini. ‘Phone Hacking Tied to Terrorists.’ 26
November 2011 http://www.nytimes.com/2011/11/27/
world/asia/4-in-philippines-accused-of-hacking-us-phonesto-aidterrorists.html?_r=0
8
23 Broad, William J.; Sanger, David E. ‘Worm Was Perfect for
Sabotaging Centrifuges.’ New York Times. 18 November
2010. http://www.nytimes.com/2010/11/19/world/
middleeast/19stuxnet.html?pagewanted=all
Des accidents surviendront
Des accidents surviendront et tandis
que les réseaux informatiques et les
communications grandissent, leur
possibilité grandit aussi. Les erreurs
d’hier étaient possibles sur une série
limitée de terminaux et de points
d’accès. Les erreurs d’aujourd’hui
peuvent arriver sur des milliards
d’appareils qui opèrent à peu près
n’importe où.
Combien de dommages peuvent causer
les employés?
• Provoquer la fuite de données
confidentielles: les gouvernements,
les hôpitaux, les banques, les
universités et d’autres dépositaires
de données confidentielles (résultats
académiques, rapports médicaux,
demandes d’hypothèque, avantages
et identificateurs financiers) sont
donnés involontairement et avec
une régularité déprimante. Une
agence du gouvernement a affiché
les numéros de sécurité sociale de
trois million de gens sur son site web
pendant plus d’un an. Une grande
banque a laissé fuir les dossiers de
plus d’un million de clients, parce
qu’un certain nombre des membres
de son personnel avait pendant des
années partagé des codes d’accès et
des mots de passe.
«Les risques se multiplient» - avec
une cascade de dangers
Une menace moins évidente mais
potentiellement plus dangereuse
émerge lors que tous les risques se
regroupent.
Dans le rapport 2014 du Conseil
de l’Atlantique et du Groupe Zurich
Insurance on peut lire: «Juste
imaginez qu’un fournisseur de services
dans les nuages ait un épisode
«Lehman» avec toutes les données
disponibles le vendredi et disparues le
lundi. Si cette défaillance tombe en
cascade vers un fournisseur important
en logistique ou une compagnie
qui gère une infrastructure critique,
ceci pourrait s’amplifier et créer une
onde de choc catastrophique qui se
propagerait dans toute l’économie
d’une manière difficile à comprendre,
modéliser ou prédire à l’avance. En
particulier, si cet incident coïncide
avec un autre, l’interaction pourrait
causer un effondrement d’une
étendue, d’une durée et d’une
intensité beaucoup plus grande qu’il
semblerait possible - semblable à la
série d’événements qui ont frappé le
système financier en 2008.»24
Il y a un scénario qui est pire encore
qui a mené certains experts à parler
d’un «Cybergeddon:» L’internet
devient un champ de bataille entre
les voleurs et les volés, les agresseurs
et les victimes, les prédateurs et
les proies. Les lieux deviennent
si dangereux que les personnes
ordinaires et les entreprises cessent de
l’utiliser.
Cybergeddon, car en effet, est-ce que
vous, ou quiconque, pouvez imaginer
la vie aujourd’hui sans l’internet?
Quoi (et combien) est
en danger?
Est-ce que vous utilisez des platesformes en ligne populaires? Qu’en
est-il des logiciels de consommation
courante? Que se passe t ‘il à
propos des détaillants populaires,
des sites de ventes aux enchères
en ligne, des fabricants de jeux
électroniques, des supermarchés,
des télécommunications et des
moteurs de recherche en ligne? Les
entreprises de toutes ces catégories,
respectées pour leurs connaissances
en informatique, ont été piratées.
24 Zurich Insurance Company, Atlantic Council, ‘Beyond data
breaches: global interconnections of cyber risk.’ 15 April
2014. http://knowledge.zurich.com/cyber-risk/cyber-risk/
9
Que veulent les pirates?
Les types de renseignements
les plus communs qui sont volés
lors d’une violation de données
sont les :
• Noms réels
• Dates de naissance
• Numéros d’identification
du Gouvernement (par ex.
pour les avantages sociaux
ou les retraites)
• Adresses du domicile
• Dossiers médicaux
• Numéros de téléphones
• Détails d’autorisation des
comptes financiers
• Adresses courriel
• Codes d’accès, mots de passe
• Coordonnées d’assurance26
Selon certains rapports, environ 400
millions des comptes clients de ces
entreprises ont été «compromis»
au cours des dernières années. Les
enregistrements et les coordonnées
d’utilisateur (voir le tableau de la page
suivante) ont été acquis par des tiers
non-autorisés. Un résultat typique est
celui d’un membre du Tesco Clubcard
(carte de fidélité d’un supermarché)
que le journal le Telegraph a relaté au
début de 2014. Lorsqu’un membre a
voulu acheter un iPad, elle a planifié
de payer avec des points de fidélité
accumulés qui valaient environ 200
$US. Toutefois Tesco lui a dit qu’elle
n’avait pas de points du tout. Il s’est
avéré que les points avaient été volés
– et utilisés probablement par des
pirates de l’informatique. Tesco n’a
pas voulu révéler combien de comptes
avaient été compromis. Les rapports
sur la fraude incluent divers exemples
où des victimes ont perdu de l’argent
plus d’une fois et où, dans le cas
de la cliente décrite ici «ils ont
changé de mot de passe après la
première attaque.»25
Pour les entreprises le coût du piratage
informatique peut être énorme. Une
étude du Ponemon Institute a estimé
que le coût moyen «annualisé» du
piratage informatique pour plus de
200 organisations est de 7,2 millions
de $US par an. La perte d’exploitation
représente les coûts externes les plus
élevés (amendes, procès, vol de biens,
etc.), suivi par les coûts qui sont dus à
la perte d’information.27
25 Dyson, Richard. ‘Tesco Clubcard: are your points safe?’ The
Telegraph. 25 January 2014. http://www.telegraph.co.uk/
finance/personalfinance/money-saving-tips/10594447/
Tesco-Clubcard-are-your-points-safe.html
26 S ource: Symantec, ‘2013 Trends, Internet Security Threat
Report 2014.’ Volume 19. April 2014 http://www.symantec.
com/content/en/us/enterprise/other_resources/b-istr_main_
report_v19_21291018.en-us.pdf
27 P onemon Institute. HP Enterprise Services. ‘2013 Cost of
Cyber Crime Study: Global Report.’ October 2013. http://
www8.hp.com/us/en/software-solutions/ponemon-cybersecurity-report/
28 P wC. ‘Economic crime: A threat to business globally.’ Global
Economic Crime Survey 2014. www.pwc.com/crimesurvey
10
Sur plus de 5 000 entreprises
dans 99 pays, sondées pas
PricewaterhouseCoopers pour
son étude sur les crimes financiers
internationaux en 2014, une
entreprise sur quatre a dit qu’elle avait
expérimenté un piratage informatique,
avec 11 pourcent de celles-ci qui
déclaraient des pertes financières
supérieures à 1 million de dollars US.28
Évidemment certaines de ces pertes
seront des biens tangibles ou
intangibles. Mais ceci n’est vraiment
que la pointe de l’iceberg. Souffrir
d’une atteinte aux données - que cela
soit volontaire ou involontaire - peut
engendrer toute une chaîne d’autres
frais allant de la responsabilité civile
aux amendes des législateurs. Ceci
peut aussi interrompre les affaires et
endommager votre réputation.
Sept moyens de perdre - comme l’a
appris l’infortunée détentrice d’une
carte du Tesco Club, les cybercriminels
utiliseront des identités volées à leur
profit pour dérober de l’argent ou de
la marchandise. Malheureusement les
choses peuvent s’empirer. Selon Tim
Stapleton, responsable adjoint de la
responsabilité professionnelle à Zurich,
il y a sept autres manières de perdre.
Enquêtes judiciaires - que cela vous
plaise ou non, une enquête en général
doit être entreprise pour comprendre
ce qui s’est passé et comment. Les
enquêteurs externes en général
facturent des honoraires qui peuvent
aller de 100 à 1000 $US de l’heure.
Avertir les victimes - beaucoup de
gouvernements demandent que
les «propriétaires» de violations de
données (par ex. clients ou partenaires
d’affaires de l’entreprise victime d’une
infraction) soient avertis. Même si ce
n’est pas obligatoire, pour la plupart
des entreprises, c’est probablement
une bonne pratique de le faire. Les
coûts peuvent s’élever entre 5 et 50
$US par avis, déclare Tim Stapleton de
chez Zurich.
En avisant les victimes - l’une des
meilleures pratiques du centre d’appel
de beaucoup d’entreprises qui ont
fait l’objet d’une infraction est de
procurer un numéro «d’assistance
téléphonique» que les clients
peuvent appeler pour obtenir des
renseignements et du soutien.
Contrôle après le vol - donc est-ce
que les pirates vont utiliser mon nom,
mon courriel, ma carte de crédit ou
non? Sous une forme de restitution,
beaucoup d’entreprises piratées,
surveillent ceci pour les victimes.
Dans les cas où ces renseignements
sont utilisés, ils offrent souvent
de «restaurer» les données à leur
véritable propriétaire. Ceci dit le coût
est de 10 à 30 $US par victime.
L’atténuation des dommages
portés à l’image - les fuites de
données peuvent être similaires
aux fuites physiques de disons du
pétrole, de produits chimiques ou
de polluants, dans le sens où ils
déclenchent l’indignation publique,
et pas seulement parmi les victimes.
Beaucoup d’entreprises n’ont pas
d’expérience avec la colère du
public, et pensent qu’il est préférable
d’impliquer des experts en relations
publiques pour les aider.
Les coûts de la défense, les
règlements et les paiements
d’indemnités - si la faille est
suffisamment sérieuse, certaines
victimes vont probablement faire un
procès pour obtenir des indemnités.
Selon une étude d’assureurs par
l’entreprise de sécurité NetDiligence,
le paiement moyen d’une faille était
de $US 954 253. Le coût moyen
des services d’urgence était de $US
737 473, et le coût moyen pour les
coûts juridiques était de 574 984 $US,
tandis que les indemnités suite à une
action juridique était en moyenne de
258 099 $US.
Des incidents causés par «des actions
répréhensibles ou la négligence» de
l’organisation affectée tendaient à
être légèrement plus coûteux que les
incidents dus à de simples erreurs,
telles qu’une faute des employés
ou quelque chose de provoqué
par un fournisseur externe. «Les
incidents de piratage qui ne sont pas
directement causés par l’organisation
affectée, sont extrêmement chers et
sont exceptionnels.»29
Amendes et pénalités - perdre des
données personnelles peut être un
délit civil ou judiciaire. M. Stapleton
estime que les amendes ou les
pénalités peuvent varier d’aussi peu
que 100 $US jusqu’à 1 million $US.
Perte d’exploitation et atteinte à
la réputation
Il y a aussi le problème d’image. Bien
que la valeur précise qui est en jeu soit
difficile à quantifier, dans la plupart
des cas une chose est certaine : La
perdre peut être très dommageable.
Prenez en considération les clients
potentiels du détaillant Target, qui a
déjà été cité dans cette étude. «Si
vous allez sur Google pour faire des
achats et que vous êtes plutôt inondé
de nouvelles sur la faille de leurs
données, ceci peut vous décourager
de votre envie d’acheter» déclare Lori
Bailey, Chef international de la gestion
et de la RC professionnelle à Zurich.
«
L’aide n’est pas
gratuite. Les
enquêteurs en
cybercriminalité
peuvent facturer
jusqu’à 1000 $US
de l’heure.»
29 Greisiger, Mark. NetDiligence® 2013, ‘Cyber Liability & Data
Breach Insurance Claims, A study of Actual Claim Payouts.’
http://www.netdiligence.com/files/CyberClaimsStudy-2013.pdf
11
«
Une prévention totale
peut être impossible.
La planification
peut faire toute la
différence en matière
d’intervention et
de rétablissement.»
Se protéger contre les
cyber-risques: la résistance
est la clé
Lorsqu’il s’agit de la sécurité
informatique, même les géants de
l’internet peuvent avoir des pieds
d’argile. Les infractions de données,
les attaques de virus, les fraudes et
les vols ont frappé les organisations
les plus sophistiquées. Personne n’est
vraiment à l’abri.
Ceci ne va vraisemblablement pas
disparaître bientôt. Les cybercriminels,
les pirates et les cyber-combattants
sont engagés dans une course
aux armements permanente, et
améliorent régulièrement leurs outils
et leurs méthodes de vol, de fraude
et de destruction. Entre-temps des
accidents vont survenir quelquefois.
Il est donc conseillé aux entreprises
de prendre d’abord des précautions, à
la fois à l’interne et à l’externe, et en
même temps de se concentrer sur la
résistance et la capacité de se remettre
très vite de l’attaque ou de l’erreur qui
sont pratiquement inévitables.
À l’intérieur de l’entreprise
L’approche de la gestion des risques
informatiques de toute organisation
devrait se concentrer sur les gens, les
processus et la technologie déclare
Tim Stapleton de chez Zurich. Il ajoute
que certains experts débattent sur le
fait que 90 pourcent des infractions
pourraient être évitées en suivant des
principes de sécurité de base.
Comme toujours, ce sont les gens
Gagner les cœurs et les esprits est
important pour limiter les risques de
piratage informatique. Et dans ce
sens, faire des progrès en matière
de sécurité informatique n’est pas
différent de tout autre défi des
entreprises. D’abord quelqu’un doit
être tenu responsable. Ensuite, la
prise de conscience et les meilleures
pratiques doivent circuler au sein de
l’organisation.
12
Responsabilité
Qui peut mieux coordonner ceci que
le gestionnaire des risques? Selon
certains, des organisations aux s
É.-U. et en Europe ont assemblé
des comités sur la sécurité des
données de différents secteurs des
organisations, y compris le service
de la gestion des risques. «Le
gestionnaire des risques est souvent
considéré comme le canal d’une
approche de la gestion des risques en
matière de sécurité et de protection
des renseignements personnels, au
sein d’une organisation,» explique
Lori Bailey de chez Zurich.
Ceci peut aller contre la pratique
ordinaire qui souvent voit les risques
informatiques comme un travail
pour le service des TI. Un nombre
grandissant d’entreprises se rendent
compte maintenant que la sécurité
informatique va bien au-delà du
service des TI. Une gamme étendue
de problèmes tels que les données
perdues ou volées, les violations des
lois sur la vie privée, l’atteinte à la
propriété intellectuelle et les risques
liés aux médias sociaux tel que la cyber
intimidation et le harcèlement textuel
constituent un éventail plus grand de
risques informatiques.
Un certain nombre de sociétés vont
même plus loin en nommant un Chef
de la sécurité informatique. Ceci permet
de réduire les coûts d’infractions de
données d’une entreprise.
L’éducation, l’éducation,
l’éducation
Dans une grande mesure, la
promotion d’un comportement de
«cyber sécurité» n’est pas différente
d’une autre campagne de sécurité.
Les employés, les partenaires d’affaires
et les clients doivent être prévenus
à l’avance et souvent à propos des
menaces et des défenses. Ceci
devient un devoir conjoint des services
des TI et des Communications. Les
campagnes tendent à être plus
complexes que, disons, rappeler
aux gens d’utiliser des ceintures de
sécurité ou des casques. Les risques
cybernétiques sont nombreux et variés
et évoluent régulièrement.
montre qu’environ trois entreprises
sur quatre ont une politique claire
en moyenne.30
Un autre aspect clé est de définir
quels sont les «bijoux de la couronne»
des données d’une compagnie.
Qu’il s’agisse des coordonnées des
clients, des données des cartes de
crédit, de la propriété intellectuelle
ou des connaissances, il devrait y
avoir une compréhension claire de la
valeur que ces éléments apportent
Processus de cyber sécurité
à l’organisation. Dans son rapport,
Une responsabilité définie comme
l’Institut de la gestion des risques
pratique de «cyber sécurité» devrait
«Cyber Risk»31, presque toutes les
faire partie des processus commerciaux
violations de données comprennent
d’une entreprise. Ces activités de base
des techniques relativement simples.
dit Tim Stapleton, de chez Zurich sont
Une étude du gouvernement du
les suivantes :
Royaume-Uni remarque qu’«une
• Mettre en place des processus et
gestion des risques de base»
des procédures, tels que la sécurité
et des contrôles de sécurité
des documents physiques et des
pourraient vaincre 80 pourcent des
restrictions relatives à l’utilisation des
attaques cybernétiques.32
appareils mobiles et personnels sur
les lieux de travail.
Défenses techniques
• Assurer un niveau de compréhension
Naturellement il y a des barrières
des risques dans toute l’entreprise
techniques qui peuvent et devraient
de façon à ce que la technologie, les
être mises en travers des accidents
services des ressources humaines et
et des attaques. En effet, Zurich
du marketing collaborent, partagent
coopère avec la société de sécurité
et coordonnent les activités.
digitale, le Kudelski Group pour offrir
• Assurer que les fournisseurs
des outils de pointe (voir l’encadré).
externes, tels que les fournisseurs
Ceci comprend, l’authentification,
qui traitent des informations
la cryptographie, les systèmes de
sensibles respectent vos protocoles
détection d’intrusion, les systèmes
sur la sécurité des données.
de prévention, le développement
d’applications de sécurité, les réseaux
Par exemple, que se passe-t-il avec
privés virtuels, la protection contre les
les medias sociaux? Les entreprises
virus et la gestion des correctifs.
devraient penser à leur approche sur
Pour le lecteur non-technique de cet
Facebook®, LinkedIn®, Twitter® et
autres. Les approches relatives à leur article, la question clé dont il faut
se souvenir est que la technologie
utilisation peut aller de l’interdiction
n’est qu’un morceau du puzzle de la
à l’encouragement – la question est
d’avoir une politique claire. Beaucoup sécurité. Du matériel et des logiciels
intelligents ne peuvent pas tous seuls
d’entreprises n’en n’ont toujours pas.
assurer la sécurité de l’information.
Une enquête demandée par Zurich
La non-conformité devrait être traitée
comme dans tout autre secteur. Les
gens qui enfreignent les codes de
sécurité informatiques devraient être
avertis et punis comme il convient
avec des infractions sérieuses pouvant
mener jusqu’à un congédiement.
30 Advisen Insurance Intelligence. Zurich Insurance
Company. ‘2013 Information Security & Cyber Liability
Risk Management.’ https://www.advisen.com/pdf_files/
information-security-cyber-liabilityrisk-managementzurich-2013-10-18.pdf
31 Institute of Risk Management, ‘Cyber Risk Executive
Summary.’ 2014. http://www.theirm.org/media/883443/
Final_IRM_Cyber-Risk_Exec-Summ_A5_low-res.pdf
32 Department for Business Innovation & Skills, Centre for
the Protection of National Infrastructure, Cabinet Office/
Office of Cyber Security & Information Assurance. ’10 Steps
to Cyber Security.’ 2012 https://www.gov.uk/government/
uploads/system/uploads/attachment_data/file/73128/121120-10-stepsto-cyber-security-executive.pdf
L’équipe Kudelski-Zurich
Vers la fin 2013, Zurich a
annoncé qu’elle coopérerait
avec Kudelski Security,
la division de la sécurité
informatique du Kudelski
Group, pour soutenir
un produit d’assurance
informatique novateur.
Kudelski Security combine
plus de 20 ans de savoirfaire technologique avec
une expertise juridique, de la
conformité, des enquêtes sur le
terrain et des communications
en cas de crise, selon Christophe
Nicolas, un premier viceprésident chez Kudelski Security.
«Nous sommes honorés de
faire équipe avec Zurich pour
offrir à ses clients toute une
gamme de solutions telles que
les évaluations des risques
informatiques, la consultation,
ainsi qu’une équipe
d’intervention rapide» dit-il.33
33 Press release, Nagra Kudelski Group. ‘Kudelski security
cooperates with Zurich Insurance Group to offer cyber
security services.’ 19 August 2013. http://www.nagra.
com/media-center/press-releases/kudelski-securitycooperateszurich-insurance-group-offer-cyber-security
13
La résistance et l’assurance
Pour organiser la meilleure défense
contre les risques de l’informatique,
l’expérience suggère qu’il ne suffit
pas de mettre en charge les bonnes
personnes, de rendre les processus
sécuritaires et de construire les bons
pare-feu. En plus de cela, vous devez
être préparé à vous remettre de
l’attaque ou de l’accident inévitable.
L’assurance peut garantir non
seulement les pertes mais aussi les
coûts de remise sur pieds.
Se préparer à la faille
La triste histoire est qu’une forme de
faille, quelque part d’une manière ou
d’une autre, est presque inévitable.
Donc, bien que le fait d’avoir les gens
et les processus de prêts, permettra
d’atténuer et de limiter l’importance
de la faille, il sera toutefois nécessaire
d’avoir un plan de reprise des activités.
Pour ses clients des entreprises, Zurich
aide à aborder cette question en trois
parties principales.
• Être prêt: Est-ce que vous avez une
équipe d’intervention sur place?
Quand vous rendrez-vous compte
que vous avez été victime d’une
infraction? Est-ce que vous avez
des vérifications sur les activités de
collecte des données, y compris les
tiers et les fournisseurs de services
informatiques en nuage? Où est-ce
que les renseignements sensibles
sont conservés et entreposés,
est-ce que c’est sécuritaire? Estce que vous avez contrôlé le flot
des données dans votre entreprise
et avec les fournisseurs, y compris
une vérification de la sécurité
et de la confidentialité? Est-ce
que les employés sont formés
adéquatement et préparés à déclarer
des cas de perte de données ou
des attaques? Est-ce que vous
êtes au courant des obligations
règlementaires? Est-ce que vous
avez accès à des fournisseurs de
services spécialisés, telles que les
relations publiques et la gestion
34 A
dvisen Insurance Intelligence. Zurich Insurance
Company. ‘2013 Information Security & Cyber Liability
Risk Management.’ https://www.advisen.com/pdf_files/
information-security-cyber-liabilityrisk-managementzurich-2013-10-18.pdf
14
des risques? Comment est-ce que
vous communiquez avec vos clients,
vos partenaires et vos actionnaires
lorsqu’un incident est arrivé?
• L’exercice d’incendie: Est-ce que
vous savez comment exécuter un
examen judiciaire pour déterminer
combien de dossiers ont été
affectés? Qui doit être informé
au sein de l’organisation et qui
peut aider? Comment est-ce
que les dommages peuvent être
contenus? Quand est-ce que les
victimes devraient être avisées et
que devraient-elles savoir ? Est-ce
que vous devriez mettre en place
un centre d’appels pour aider les
victimes? Quel contrôle du crédit/
de l’identité et quels services de
prévention des fraudes doivent être
fournis ? Comment rétablissezvous votre réputation sur le
marché ? Comment est-ce que
vous vous défendrez au tribunal ou
contre les législateurs ?
Le lendemain: À la suite de l’exercice
d’incendie, vous devez établir quels
sont les coûts qui sont couverts par
l’assurance et quel budget couvre des
dépenses supplémentaires, comment
enquêter sur l’incident afin d’en tirer
des leçons.
Assurance
Les entreprises devraient prendre en
considération l’assurance contre des
situations où leurs affaires tombent
victimes de prédateurs ou d’accidents
informatiques. Certaines couvertures
seront fournies en vertu de polices
conventionnelles, toutefois de plus
en plus d’entreprises découvrent
qu’elles ont aussi besoin de
garanties informatiques spécifiques
et supplémentaires. Aux É.-U. par
exemple, 52 pourcent d’environ 300
entreprises qui ont été sondées pour
le compte de Zurich en 2013 ont
déclaré avoir acheté de l’assurance
contre la responsabilité informatique.
Ceci était une augmentation par
rapport à 44 pourcent en 2012 et 35
pourcent en 2011.34
Garantie conventionnelle
Les dommages provenant de crimes
ou d’accidents informatiques, seront
couverts, dans une certaine mesure
dans le cadre d’une assurance
conventionnelle. Une politique de
RC commerciale, couvrira les pertes
ordinaires telles les installations
endommagées, l’équipement
brisé, ou l’inventaire endommagé.
«Les garanties conventionnelles
peuvent inclure la perte des
données électroniques résultant
de la défaillance ou de la force
majeure, mais n’incluront pas très
probablement certains des nouveaux
dangers de l’époque de l’internet.»
selon les consultants de Prism Risk
Management.35
Garantie informatique
Zurich travaille pour développer
une police sur la protection de la
sécurité et de la confidentialité qui
couvre les parties que les polices
conventionnelles ne couvrent pas
et qui aussi améliorent la résilience.
Ceci couvre la responsabilité et la
garantie directe de l’assuré, qui
comprend les coûts de l’atteinte à la
vie privée et la perte d’exploitation et
qui peut aider à atténuer la publicité
négative et l’insatisfaction de la
clientèle :
• Coûts de l’atteinte à la vie privée
incluent: les frais d’enquête judiciaire
du système informatique de
l’entreprise pour déterminer la cause
ou l’étendue d’une atteinte à la vie
privée et certains frais juridiques et
de relations publiques.
• Garantie des frais de remplacement
des biens numériques.
• Garantie de la perte d’exploitation
et de la perte d’exploitation
découlant de la défaillance de tiers
indispensables.
• Garantie de la menace de cyber
extorsion et des paiements
de récompenses.
Garantie des tiers qui comprend une
garantie limitée pour les procédures
règlementaires, les frais de la défense
et la garantie optionnelle de la
responsabilité civile liée aux médias
sur l’internet :
• Garantie de la responsabilité sur
la sécurité et la confidentialité, qui
inclut la garantie des frais de défense
et de poursuites.
• Garanties des amendes civiles et
pénalités (disponible en option).
• Responsabilité civile des médias sur
l’internet (disponible en option).
À l’extérieur de la Compagnie
À l’extérieur, il peut être bénéfique
pour les entreprises de s’impliquer
dans le débat à propos de la
politique publique relative aux risques
cybernétiques. On peut diviser
ceci en deux codes principaux: les
codes et les normes et la législation
ou la règlementation. En général,
la première catégorie peut être
vue comme la «carotte» qui
encourage une bonne attitude et
la seconde catégorie comme le
«bâton» qui décourage les mauvais
comportements.
Codes/normes
L’Organisation internationale de
normalisation (ISO) possède un
ensemble de 27000 normes ISO pour
aider les entreprises à conserver les
actifs informationnels en sécurité.36
Les entreprises peuvent appliquer les
normes, demander une accréditation
et contribuer au développement à
venir des normes. Zurich a déjà fait
une demande ISO 27000 pour la
souscription de l’assurance de détail, en
particulier pour le Payment Card Industry
Data Security Standard (PCI DSS).
Le National Institute of Standards and
Technology, qui fait partie du Ministère
du commerce des É.-U. a un service sur
la sécurité informatique qui fait de la
recherche sur la sécurité cybernétique
et aussi développe des normes.
Beaucoup d’autres initiatives - des
coopérations publiques, privées et semiprivées - sont en cours dans diverses
régions et secteurs commerciaux.
Législation/règlements
Avec l’expansion de l’internet,
et l’émergence non moindre des
Wikileaks et le déroulement de l’affaire
Edward Snowden, la confidentialité
est devenue un problème public
important. Beaucoup de pays ont
maintenant ce qu’on appelle des lois
sur «la violation des données et de
la confidentialité», qui pénalisent
les entreprises pour laisser fuir des
secrets. Un exemple est la Hong
Kong’s Personal Data (Privacy)
Ordinance. Instaurée vers la fin
2012, la loi impose des avis et des
demandes de consentement pour les
utilisateurs de données et distribue des
amendes et des pénalités criminelles
potentiellement importantes pour les
utilisateurs de données qui enfreignent
ces obligations.
Il est conseillé aux entreprises
d’apprendre les règles sur la
confidentialité des données de leur
juridiction de compétence et de
prendre les mesures qui s’imposent
pour assurer la conformité.
35 ‘Cyber Risk Insurance: When Conventional Liability
Coverage Might Not be Enough. Prism Risk Management
LLC. http://prismrm.wordpress.com/2012/09/16/cyber-riskinsurancewhen-conventional-liability-coverage-might-notbe-enough/
36 For more information, see: http://www.27000.org/
15
Vous voulez plus d’articles comme celui-ci?
Inscrivez-vous à Distinctive Risk Insights.
Vous recevrez périodiquement des courriels de Zurich Canada
qui vous donneront accès directement à des documents de
renseignements techniques, à des outils de gestion des risques,
à des webinaires et à des vidéos instructives qui portent sur des
sujets d’affaires d’actualité se rapportant à des risques.
www.zurichcanada.com/distinctive-risk-insights
Zurich
416-586-3000
www.zurichcanada.com
Le logo de Zurich et Zurich sont des marques déposées de Zurich Compagnie d’Assurances SA
Zurich Compagnie d’Assurances SA (Direction canadienne)
Les renseignements qui figurent dans cette publication ont été compilés à partir de sources
fiables à des fins d’information seulement. Toutes les politiques et/ou procédures dans la
présente publication doivent servir de lignes directrices lesquelles vous pouvez utiliser pour
créer vos propres politiques et procédures. Nous croyons que vous personnaliserez ces modèles
pour qu’ils soient le reflet de vos propres opérations et croyons que ces modèles peuvent servir
de plate-forme utile pour cette tâche. Toute l’information contenue dans ce document ne
vise pas à constituer un conseil juridique, et par conséquent, vous devez consulter vos propres
avocats lorsque vous élaborez des programmes et des politiques. Nous ne garantissons
nullement l’exactitude de ces renseignements ni les résultats. Nous n’assumons en outre aucune
responsabilité par rapport à cette publication, les politiques modèles et procédures, y compris
les renseignements, les méthodes ou les suggestions en matière de sécurité contenues dans
la présente publication. De plus, Zurich vous rappelle que cette publication ne saurait être
considérée comme un document comportant toutes les procédures acceptables en matière de
sécurité et de conformité et ne saurait impliquer que des procédures autres pourraient ne pas
être appropriées dans les circonstances. Le sujet de cette publication ne couvre pas toutes les
situations liées à un produit d’assurance et le fait d’adopter ces politiques et procédures n’offre
en outre aucune protection en vertu de quelque police d’assurance que ce soit.
©2015 Zurich Compagnie d’Assurances SA
A1-112005402-A (04/15) 112005402