Télécharger le document technique
Transcription
Télécharger le document technique
Le bon, la brute et le négligeant Un survol du risque de piratage informatique des entreprises Le bon, la brute et le négligeant Au cours des dix dernières années environ, l’internet a vraiment tout changé. Surtout pour le meilleur. Toutefois il a donné lieu a des risques majeurs de cyber attaques surtout pour des vols et des accidents. Les crimes et les accidents virtuels peuvent mener à des pertes de biens, de revenu et de réputation réelles, ainsi qu’à une responsabilité accrue. De plus, ces pertes peuvent être inter-reliées; l’une peut entraîner l’autre et créer une réaction en chaine comme un jeu de dominos. Prenez par exemple Target, le magasin à grandes surfaces des É.-U. Vers la fin 2013, des voleurs auraient pénétré par infraction dans le réseau de l’entreprise en utilisant des mots de passe subtilisés dans une autre entreprise qui assurait le service du chauffage et de l’air conditionné, ce qui a permis d’accéder aux systèmes de paiement et de voler les renseignements des cartes de paiement de 40 millions de consommateurs.1 L’infraction pourrait coûter à Target des centaines de millions de dollars, comprenant des frais juridiques, de conseil, et les services de contrôle des cartes de crédit. Le coût de la perte de confiance de la part des consommateurs n’est pas connu. Zurich Compagnie d’Assurances SA (Direction canadienne) fait du piratage informatique une priorité. Nous faisons des recherches, nous avons des actions de lobbying à ce propos, nous offrons une expertise et des garanties d’assurance. Vous pouvez trouver un aperçu général sur notre site Web : http://www.zurichcanada.com/can/en/ solutions/security-privacy-solutions/ cyber-thought-leadership.htm Ce document technique s’adresse aux entreprises clientes – existantes ou potentielles – et toute autre personne qui partage notre intérêt pour ce problème grandissant. Le document a pour but de donner une vue d’ensemble des risques cybernétiques, ce qui comprend : • Qui sont les auteurs, qui causent les risques cybernétiques? • Que font-ils, comment est-ce que cela survient? • Qu’est-ce qui est exposé au risque? • Que peut-on faire pour se protéger? 1 V ijayan, Jaikumar. ‘Target breach happened because of a basic network segmentation error.’ Computerworld. 6 February 2014. http://www.computerworld.com/article/2487425/ cybercrime-hacking/target-breach-happened-becauseofabasic-network-segmentation-error.html 3 La puissance de l’informatique : le bon, la brute et le négligeant Nous ne travaillons plus ni ne vivons de la manière à laquelle nous étions habitués. Les communications et le stockage d’informations ont changé de façon spectaculaire. La technologie est au pouvoir. Dans une certaine mesure, beaucoup d’entre nous auraient pensé inconcevable que nos vies deviennent numériques. Le numérique ou la technologie virtuelle est un amplificateur. Ceci permet aux utilisateurs de faire des choses beaucoup plus importantes qu’ils auraient pu faire auparavant. Ceci comprend de très bonnes choses et de très mauvaises. Beaucoup de recherche et d’attention a été accordée à ce qui est bon. Ce rapport toutefois se concentre sur ce qui est mauvais – moins connu mais toutefois très important. Ceci commence avec les auteurs. Ils tombent dans deux catégories. Les gens qui menacent les compagnies pour des raisons de cupidité, de malveillance ou d’hostilité, et ceux qui mettent les autres en danger à cause de leur propre négligence. Qui sont les vrais cybercriminels? Les menaces intentionnelles du monde informatique tombent dans deux catégories de base. Premièrement il y a les criminels et les vandales qui veulent voler, escroquer ou nuire aux compagnies ou à leurs clients. Deuxièmement il y a les espions ou les combattants, qui lorsqu’ils épient ou attaquent de la part d’un gouvernement, peuvent indirectement toucher une compagnie et créer des dommages. 2 The Federal Bureau of Investigation (FBI), ‘Cyber’s Most Wanted.’ http://www.fbi.gov/wanted/cyber 3 McGuire, Michael R. ‘Organised Crime in the Digital Age.’ John Grieve Centre for Policing and Security, London Metropolitan University, BAE Systems Detica. March 2012. 4 Ibid. 4 Les voleurs virtuels et les escrocs Peut-être ironiquement vous pouvez en trouver certains facilement sur l’internet. Il suffit de regarder la liste «Cyber’s Most Wanted» qui est affichée par le Federal Bureau of Investigation aux É.-U.2 Presque toujours, les inculpations sont soit le vol – d’argent ou de données – ou la fraude. Qui sont ces gens? Il s’avère, que la plupart ne correspondent pas à la fausse image populaire d’un jeune fana de l’informatique qui travaille seul. Selon une étude en 2012 par BAE Systems et la London Metropolitan University, 80 pourcent des crimes cybernétiques sont le travail de criminels professionnels. Ce n’est pas un passe-temps. C’est leur travail.3 Dans la plupart des cas les cybercriminels travaillent pour une organisation, comprenant environ cinq à six membres, pouvant aller quelquefois jusqu’à 15. Beaucoup sont basés dans l’ancienne Union Soviétique avec d’autres groupes similaires dans les Amériques, en Chine en Inde et au Nigéria. Ces groupes ne sont pas – en tout cas pas encore – aussi grands et établis que les syndicats du crime organisé. Ils sont plus nébuleux, informels et éphémères. Souvent ils fonctionnent comme une sorte «d’équipe de projet» composée de travailleurs indépendants. Aussi et en dépit de tous les stéréotypes, les voleurs virtuels ne sont pas particulièrement jeunes. Leur âge moyen se situe entre 26 et 35 ans, selon l’étude de BAELondon Metropolitan University.4 Ils ne sont pas non plus tous des as de l’informatique. Bien sûr il y en a quelques uns, mais le reste est en général des criminels ordinaires qui travaillent de 9 à 5. Ceci est surtout en raison de la «déqualification» de la criminalité informatique qui est rendue plus accessible par la disponibilité de «logiciels malveillants» qui peuvent être achetés librement et utilisé par n’importe qui. Ces outils offrent toute une panoplie allant de virus tout prêts pour exploiter les points vulnérables de systèmes individuels au «robot-réseau». En bref des outils de fabrication «à faire soi-même» de logiciels criminels ou des «exploithack packs» et autres outils qui collectent des renseignement à l’insu des utilisateurs qui ne savent pas que leur ordinateur est infecté. Vandales virtuels : les hacktivistes Dans le monde réel, il y a des gens qui inscrivent des graffitis ou protestent contre la cupidité des entreprises en utilisant des moyens illégaux. Maintenant ils sont une opération multicanal avec une présence en ligne. Les trois visages du risque cybernétique Rencontrez le trio infernal : le vol et la fraude, les préjudices volontaires, et les accidents. Ceci sont les principales formes du risque cybernétique. Il y a même une quatrième source hybride Selon la façon dont on le voit, les de danger. C’est lorsque une série soit disant hacktivistes peuvent être de risques sont reliés entre eux et classés du fauteur de trouble cherchant créent une somme de dommages plus de l’attention au «combattant pour grande que ses parties individuelles. la liberté». Ils se décrivent comme des Robin des Bois sur l’internet, Une étude estime que le coût annuel combattant les puissants corrompus du piratage informatique pour pour défendre les droits des faibles l’économie internationale pourrait être et des innocents. Peut importe ce de 400 milliards de dollars US ou peutqu’ils sont, leurs activités se déroulent être davantage.6 C’est une guerre souvent dans les zones d’ombre de la qui escalade, alors que les deux côtés loi, quelque chose entre le droit légal améliorent leur tactique. Les enjeux de protester, la désobéissance civile et sont de taille. la délinquance criminelle. Le piratage pour voler Les mieux connus sont sans doute les Malheureusement, il est Wikileaks et Anonymous. incroyablement bon marché et facile d’acheter des cartes de crédit volées. Dommages indirects : les espions Un site Web basé en Russie donne et les guerriers des détails sur des cartes de crédit Les gouvernements, pour de bonnes volées pour moins de 5 $US chacune. ou mauvaises raisons, ont joué un Ricardo Villadiego, le fondateur et le rôle actif dans le développement de la PDG de consultants en sécurité, copie technologie. Arpanet, le précurseur ces site en ligne, en raison de la facilité de l’internet d’aujourd’hui, a été avec laquelle ceci peut être obtenu, conçu à l’origine par le Ministère c’est un peu comme «l’Amazon® de de la défense des É.-U.5 L’étendue l’économie des cybers crimes.»8 de la surveillance et des attaques cybernétiques ne sont pas connues du Et il ne s’agit pas seulement des grand public en général. Différents cartes de crédit qui sont en vente. rapports ont suggéré l’implication des Les voleurs informatiques prendront gouvernements de la Chine, de l’Israël, pratiquement tout ce qu’ils peuvent des É.-U. et d’autres. pour personnifier un client réel : mots de passe, numéros d’identification Erreurs involontaires : négligence personnels, code pour la fiscalité ou (ou malveillance) des avantages sociaux. De ce point Pour avoir une idée de sources de vue ils travaillent de la même façon potentielles d’attaques que les autres cambrioleurs, en volant cybernétiques, regardez autour des montants d’argent relativement de vous au bureau ou même dans peu importants (peut-être entre 100 un miroir. Les accidents arrivent, $US et 200 $US par transaction) quelquefois avec des données de jusqu’à ce que la personne dont valeur. Ceci est d’abord dû à la l’identité a été usurpée s’en aperçoive négligence selon les recherches du et modifie ses coordonnées. marché. Toutefois, au moins un quart de ces incidents pourraient être du sabotage intentionnel par des employés mécontents et qui passent pour des erreurs de bonne foi. À quel point est-il facile de décoder un mot de passe? Des mots de passe simples peuvent être décodés en quelques secondes ou même une fraction de seconde. Comme toute la technologie en général, les outils de décodage de mots de passe ont évolué. Il peut s’agir d’une approche qui essaye différentes combinaisons et utilise des attaques du genre «devinette» avec les plus vulnérables qui s’ouvriront probablement en l’espace de quelques secondes et même de fractions de secondes. Il existe une bibliothèque de recherche sur la vulnérabilité de différents types de mots de passe et les outils pour les décoder, certains avec des noms fantaisistes comme «Jack l’éventreur». Mais tandis que des outils sophistiqués sont disponibles, il est souvent possible d’utiliser une console de jeu normale pour obtenir les mêmes résultats.7 5 Bellis, Mary. ‘Inventors of the Modern Computer. ARPAnet – the first Internet.’ http://inventors.about.com/library/weekly/ aa091598.htm 6 “Cybercrime is a growth industry. The returns are great, and the risks are low. We estimate that the likely annual cost to the global economy from cybercrime is more than $400 billion. A conservative estimate would be $375 billion in losses, while the maximum could be as much as $575 billion.” Center for Strategic and International Studies, McAfee, part of Intel Security, a subsidiary of Intel Corporation. ‘Net Losses: Estimating the Global Cost of Cybercrime.’ 2014. http://www.mcafee.com/us/resources/ reports/rp-economic-impact-cybercrime2.pdf 7 Bonneau, Joseoph. ‘Guessing human-chosen secrets.’ University of Cambridge Computer Laboratory. Technical Report Number 819. http://www.cl.cam.ac.uk/techreports/ UCAM-CL-TR-819.pdf 8 Wagenseil, Paul. ‘How to Buy Stolen Credit Cards from the ‘Amazon of Cybercrime.’ Tom’s Guide US. 27 February 2014. http://www.tomsguide.com/us/how-to-buystolen-creditcards, news-18387.html#how-to-buy-stolencreditcards%2Cnews-18387.html?&_suid=14158966182430 09643911586010756 5 « Les pourriels représentent plus de deux tiers de tous les courriels. La plupart sont innocents mais quelques-uns visent vos données.» 9 Johnson, Kevin; Leinwand Leger, Donna. ‘U.S. accuses China of hacking Westinghouse, U.S. Steel’. USA Today. 19 May 2014. http://www.usatoday.com/story/ news/nation/2014/05/19/ us-accuses-china-of-cyberespionage/9273019/ 10 Johnston, David Cay. ‘Russian Accused of Citibank Computer Fraud.’ New York Times. 18 August 1995. http:// www.nytimes. com/1995/08/18/business/russian-accusedof-citibankcomputer-fraud.html 6 Les voleurs sont également à la recherche de données. Par exemple, en 2014, les É.-U. ont accusé cinq officiers militaires chinois, de piratage informatique qui leur ont permis de voler des secrets de fabrication, y compris chez Westinghouse, alors que la compagnie était en train de négocier avec la Chine pour y construire une usine nucléaire.9 Au début, les voleurs informatiques travaillaient surtout avec la force brute. En 1994, un mathématicien russe, Vladimir Levin, a mené ce que l’on peut considérer comme le premier cambriolage «virtuel» d’une banque. L’ingénierie sociale est le terme général pour désigner les escroqueries et les cyber-arnaques. Bien que cela semble incroyable, il y a des gens qui se laissent encore prendre par les courriels nigériens qui demandent des transferts bancaires. Il y a des méthodes plus raffinées que le FBI aux É.-U. appelle «rançongiciel» ou «logiciel de la peur». Par exemple, quelqu’un qui est en train de naviguer sur l’internet soudain voit apparaître une fenêtre qui dit que l’ordinateur est infecté par un virus et offre un logiciel «antidote» à l’achat. Diaboliquement, le soi-disant antidote corrompt en fait la machine. Levin manipulait les ordinateurs à Les escroqueries exploitent la nature Citibank pour envoyer de l’argent en humaine: Le désir de la plupart des Finlande, en Israël et à San Francisco.10 gens de faire confiance aux autres et Face à cela, Citibank et d’autres d’éviter des conflits ou de la gêne. Il ont commencé à investir des est plus facile de manipuler les gens sommes importantes dans des que la technologie. Kevin Mitnick pare-feu, protection de mot de , l’homme que le magasine Wired passe, cryptage et tous les autres appelle «un pirate légendaire» est un pièges d’une communication exemple brillant de cela. Selon les sécuritaire. Clairement, ceci dires des medias, il pouvait pénétrer représente une énorme barrière aux en partie grâce à ses aptitudes pirates d’aujourd’hui. Plutôt que en «ingénierie sociale». Avec des de s’engager dans une course aux accents, des imitations et autres armements digitale, beaucoup d’entre aptitudes similaires «discrètes» il eux préfèrent une cible plus docile : pouvait convaincre des employés les humains naïfs. sans méfiance de divulguer des renseignements qu’il utilisait Modcons – la sociologie appliquée pour entrer par infraction dans «Je suis là pour vérifier le système», les systèmes. L’homme décrit par dit la personne indéfinissable en jeans certain come un «farceur» ou un et T-shirt qui prétend venir du Service «pirate récréatif» a été arrêté en des TI. «J’ai égaré mon mot de passe 1995 et condamné pour avoir piraté dit une voix qui serait un responsable les ordinateurs de certaines grandes à l’autre bout de la ligne téléphonique entreprises. À présent il touche des qui grésille. «Urgent» indique un faux honoraires pour son travail en tant courriel, «veuillez renvoyer ces calculs que consultant en sécurité.11, 12, 13 de prix».» 11 Shimomura, Tsutomu. ‘Catching Kevin.’ Wired. Issue 4.02. February 1996 http://archive.wired.com/wired/archive/4.02/ catching.html 12 O’Neill, Ann W. ‘”Condor” Myth Loop of Contradictions: Computers: To some, Kevin Mitnick is an electronic terrorist. Others say he’s a prankster.’ Los Angeles Times. 18 February 1995. http://articles.latimes.com/1995-02-18/news/mn33388_1_kevin-mitnick/2 13 Greenberg, Any. ‘Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits‘. WIRED. 24 September 2014 http://www.wired.com/2014/09/kevinmitnick-sellingzero-day-exploits/ Le vol ou un autre nom : la surveillance Il ne s’agit pas juste de pirates conventionnels. Ceci a été exposé au grand jour par Edward Snowden, qui au milieu des années 2013 a laissé fuir l’écoute illicite perpétrée par la U.S. National Security Agency. Quelques années auparavant, un groupe canadien a détecté ce que l’on pense être une opération de cyber-espionnage, qui serait basée principalement en Chine, qui a infiltré des cibles de grande valeur comprenant des ministères étrangers, des ambassades, des organisations internationales, des medias et des organisations non-gouvernementales.14 Pourriels et virus La masse de pourriels est tout simplement énorme. Plus de deux tiers de tous les courriels sont des pourriels, en se basant sur des données de 2013 rassemblées par la compagnie de sécurité des TI, nommée Kaspersky Lab.15 Tous ne sont pas criminels, bien sûr. Mais une minorité, toutefois importante de pourriels sont envoyés avec l’intention de voler ou de frauder. Les pourriels particulièrement sournois sont ceux qui arrivent avec un contenu odieux – un lien à un site Web risqué, ou un virus qui attend d’infecter votre réseau. Ce dernier peut causer toute sorte de problèmes: faire tomber un ordinateur en panne, voler des renseignements confidentiels, épier les utilisateurs, ou même utiliser le courriel pour envoyer d’autres pourriels, en général sans que l’utilisateur le sache. La plupart des années connaissent trois à cinq alertes au virus qui causent des perturbations majeures et des arrêts. Les mieux connus peut-être étaient «Mydoom» qui a infecté 250 000 ordinateurs en quelques jours en 2004 et «ILOVEYOU» qui a atteint des proportions similaires en 2000. La nuisance Nuire est le deuxième type important de risque cybernétique. Nuire intentionnellement tombe dans deux catégories principales: Les actes internes et l’hacktivisme /guerre informatique. Les actes internes Le problème prend une dimension toute nouvelle lorsqu’un employé mécontent a accès à l’informatique et possède des compétences. Des statistiques précises à propos des actes 14 Munk School of Global Affairs, University of Toronto. The SecDev Group.’The Information Warfare Monitor Project Publishable Summary.’ Project closed in 2012. http:// www.infowar-monitor.net/reports/IWM-Project%20 Publishable%20Summary.pdf 16 Software Engineering Institute, Carnegie Mellon University. ‘2011 Cybersecurity Watch Survey: Organizations Need More Skilled Cyber Professionals to Stay Secure.’ 31 January 2012. http://www.sei.cmu.edu/news/article.cfm?assetid=52 441&article=031&year=2012 15 K aspersky Lab, ‘Spam News.’ 23 January 2014 http:// www.kaspersky.com/about/news/spam/2014/financial_ data_leads_the_malicious_spam_hit_list_for_third_year_ in_a_row 17 M ulligan, Thomas S. ‘Technician Charged in Forbes Sabotage Case. Los Angeles Times. 25 November 1997. http://articles.latimes.com/1997/nov/25/business/fi-57410 posés par des employés ne sont pas disponibles, parce que la plupart des cas sont réglés en privé. Une étude a trouvé que 70 pourcent des incidents internes étaient traités au sein de l’entreprise sans action juridique.16 Pour les employés en colère, vouloir c’est pouvoir. • Le technicien mis à la porte : un technicien informatique a été accusé de saboter le système informatique de Forbes Inc. pour se venger d’avoir été mis à la porte. Les médias, qui citaient les forces de l’ordre, disent que l’attaque a causé une interruption du service informatique pour les employés, et que le chaos a coûté plus de 100 000 $US.»17 • Un technicien à NDB, du service des renseignements en Suisse a téléchargé des informations confidentielles qui provenaient peutêtre d’agences de renseignements britanniques et américaines et a tenté de les vendre, après les avoir fait sortir des immeubles du gouvernement dans un sac à dos. Il est possible qu’il soit devenu frustré après que ses conseils sur l’exploitation des systèmes de données n’aient pas été pris au sérieux, suggère un rapport.18 18 Hosenball, Mark. ‘Swiss spy agency warns U.S., Britain about huge data leak.’ Reuters. 4 December 2012. http:// www.reuters.com/article/2012/12/04/us-usa-switzerlanddatatheftidUSBRE8B30ID20121204 7 L’hacktivisme et la guerre Les cyber-combattants n’attaquent pas informatique seulement les gouvernements. Les hacktivistes et les cyber• La prise du New York Times: combattants peuvent aller à l’assaut des pendant une demi-journée en organisations. La menace est à peut août 2013 «toutes les nouvelles près la même. Ils travaillent simplement qui étaient prêtes à imprimer, ne pour différentes personnes. l’étaient plus». Un groupe qui se déclarait le soi-disant Syrian Les hacktivistes sont exemplifiés par Electronic Army a désintégré le Anonymous, une collectivité de pirates site Web du journal, probablement informatiques qui, grâce à plusieurs pour protester contre la couverture attaques sont tout sauf «anonymes». des conflits armés de ce pays. Le • Operation Japan: en 2012, un fil groupe a aussi tenté des attaques Twitter® associé à Anonymous similaires sur les sites respectifs a temporairement pris le de la CNN, le Financial Times et le contrôle de plusieurs sites Web Washington Post.21 du gouvernement, sur ce qui a • Les vols dans les entreprises été rapporté comme être une financent le terrorisme: en 2011, protestation contre une nouvelle quatre personnes ont été arrêtées loi sur les droits d’auteurs dans aux Philippines pour pirater les ce pays, qui selon les déclarations comptes des clients d’AT&T, et d’Anonymous, allait réduire la envoyer l’argent à un groupe qui protection de la vie privée.19 finançait des attaques terroristes en • En plein jour: une année Asie. La police des Philippines a dit auparavant, Aaron Barr, PDG d’une que le complot a coûté 2 millions de entreprise de sécurité aux É.-U. $US, et ont choisi comme proie, des a menacé de nommer les leaders comptes téléphoniques protégés par d’Anonymous. En l’espace d’un des mots de passe faibles.22 jour, le magasine Wired a déclaré • Un ver dans la machine: en 2010, qu’Anonymous avait réussi à un ver informatique, «Stuxnet,» infiltrer le site Web de la société de apparemment attaquait le Barr, à le fermer et à le remplacer programme nucléaire de l’Iran, qui par un message en faveur était conçu de façon à créer une d’Anonymous. Ceci a compromis le perte de contrôle des centrifugeuses serveur du courriel de sa société et nucléaires. Ces changements a affiché plus de 40 000 courriels pouvaient faire exploser des sur une plate-forme publique. Il centrifugeuses utilisées pour enrichir paraît même que son iPad a été de l’uranium destiné à des réacteurs effacé à distance. 20 ou des bombes.23 19 ‘Anonymous linked to Japan’s government websites attacks.’ BBC. 27 June 2012. http://www.bbc.com/news/ technology-18608731 20 Anderson, Nate, ‘How One Man Tracked Down Anonymous – And Paid a Heavy Price.’ 10. February 2011. 21 H aughney, Christine; Perlroth, Nicole. ‘Times Site Is Disrupted in Attack by Hackers.’ New York Times. 27 August 2013. http://www.nytimes.com/2013/08/28/ business/media/hacking-attackis-suspected-on-times-website.html?_r=0 22 Sengupta, Somini. ‘Phone Hacking Tied to Terrorists.’ 26 November 2011 http://www.nytimes.com/2011/11/27/ world/asia/4-in-philippines-accused-of-hacking-us-phonesto-aidterrorists.html?_r=0 8 23 Broad, William J.; Sanger, David E. ‘Worm Was Perfect for Sabotaging Centrifuges.’ New York Times. 18 November 2010. http://www.nytimes.com/2010/11/19/world/ middleeast/19stuxnet.html?pagewanted=all Des accidents surviendront Des accidents surviendront et tandis que les réseaux informatiques et les communications grandissent, leur possibilité grandit aussi. Les erreurs d’hier étaient possibles sur une série limitée de terminaux et de points d’accès. Les erreurs d’aujourd’hui peuvent arriver sur des milliards d’appareils qui opèrent à peu près n’importe où. Combien de dommages peuvent causer les employés? • Provoquer la fuite de données confidentielles: les gouvernements, les hôpitaux, les banques, les universités et d’autres dépositaires de données confidentielles (résultats académiques, rapports médicaux, demandes d’hypothèque, avantages et identificateurs financiers) sont donnés involontairement et avec une régularité déprimante. Une agence du gouvernement a affiché les numéros de sécurité sociale de trois million de gens sur son site web pendant plus d’un an. Une grande banque a laissé fuir les dossiers de plus d’un million de clients, parce qu’un certain nombre des membres de son personnel avait pendant des années partagé des codes d’accès et des mots de passe. «Les risques se multiplient» - avec une cascade de dangers Une menace moins évidente mais potentiellement plus dangereuse émerge lors que tous les risques se regroupent. Dans le rapport 2014 du Conseil de l’Atlantique et du Groupe Zurich Insurance on peut lire: «Juste imaginez qu’un fournisseur de services dans les nuages ait un épisode «Lehman» avec toutes les données disponibles le vendredi et disparues le lundi. Si cette défaillance tombe en cascade vers un fournisseur important en logistique ou une compagnie qui gère une infrastructure critique, ceci pourrait s’amplifier et créer une onde de choc catastrophique qui se propagerait dans toute l’économie d’une manière difficile à comprendre, modéliser ou prédire à l’avance. En particulier, si cet incident coïncide avec un autre, l’interaction pourrait causer un effondrement d’une étendue, d’une durée et d’une intensité beaucoup plus grande qu’il semblerait possible - semblable à la série d’événements qui ont frappé le système financier en 2008.»24 Il y a un scénario qui est pire encore qui a mené certains experts à parler d’un «Cybergeddon:» L’internet devient un champ de bataille entre les voleurs et les volés, les agresseurs et les victimes, les prédateurs et les proies. Les lieux deviennent si dangereux que les personnes ordinaires et les entreprises cessent de l’utiliser. Cybergeddon, car en effet, est-ce que vous, ou quiconque, pouvez imaginer la vie aujourd’hui sans l’internet? Quoi (et combien) est en danger? Est-ce que vous utilisez des platesformes en ligne populaires? Qu’en est-il des logiciels de consommation courante? Que se passe t ‘il à propos des détaillants populaires, des sites de ventes aux enchères en ligne, des fabricants de jeux électroniques, des supermarchés, des télécommunications et des moteurs de recherche en ligne? Les entreprises de toutes ces catégories, respectées pour leurs connaissances en informatique, ont été piratées. 24 Zurich Insurance Company, Atlantic Council, ‘Beyond data breaches: global interconnections of cyber risk.’ 15 April 2014. http://knowledge.zurich.com/cyber-risk/cyber-risk/ 9 Que veulent les pirates? Les types de renseignements les plus communs qui sont volés lors d’une violation de données sont les : • Noms réels • Dates de naissance • Numéros d’identification du Gouvernement (par ex. pour les avantages sociaux ou les retraites) • Adresses du domicile • Dossiers médicaux • Numéros de téléphones • Détails d’autorisation des comptes financiers • Adresses courriel • Codes d’accès, mots de passe • Coordonnées d’assurance26 Selon certains rapports, environ 400 millions des comptes clients de ces entreprises ont été «compromis» au cours des dernières années. Les enregistrements et les coordonnées d’utilisateur (voir le tableau de la page suivante) ont été acquis par des tiers non-autorisés. Un résultat typique est celui d’un membre du Tesco Clubcard (carte de fidélité d’un supermarché) que le journal le Telegraph a relaté au début de 2014. Lorsqu’un membre a voulu acheter un iPad, elle a planifié de payer avec des points de fidélité accumulés qui valaient environ 200 $US. Toutefois Tesco lui a dit qu’elle n’avait pas de points du tout. Il s’est avéré que les points avaient été volés – et utilisés probablement par des pirates de l’informatique. Tesco n’a pas voulu révéler combien de comptes avaient été compromis. Les rapports sur la fraude incluent divers exemples où des victimes ont perdu de l’argent plus d’une fois et où, dans le cas de la cliente décrite ici «ils ont changé de mot de passe après la première attaque.»25 Pour les entreprises le coût du piratage informatique peut être énorme. Une étude du Ponemon Institute a estimé que le coût moyen «annualisé» du piratage informatique pour plus de 200 organisations est de 7,2 millions de $US par an. La perte d’exploitation représente les coûts externes les plus élevés (amendes, procès, vol de biens, etc.), suivi par les coûts qui sont dus à la perte d’information.27 25 Dyson, Richard. ‘Tesco Clubcard: are your points safe?’ The Telegraph. 25 January 2014. http://www.telegraph.co.uk/ finance/personalfinance/money-saving-tips/10594447/ Tesco-Clubcard-are-your-points-safe.html 26 S ource: Symantec, ‘2013 Trends, Internet Security Threat Report 2014.’ Volume 19. April 2014 http://www.symantec. com/content/en/us/enterprise/other_resources/b-istr_main_ report_v19_21291018.en-us.pdf 27 P onemon Institute. HP Enterprise Services. ‘2013 Cost of Cyber Crime Study: Global Report.’ October 2013. http:// www8.hp.com/us/en/software-solutions/ponemon-cybersecurity-report/ 28 P wC. ‘Economic crime: A threat to business globally.’ Global Economic Crime Survey 2014. www.pwc.com/crimesurvey 10 Sur plus de 5 000 entreprises dans 99 pays, sondées pas PricewaterhouseCoopers pour son étude sur les crimes financiers internationaux en 2014, une entreprise sur quatre a dit qu’elle avait expérimenté un piratage informatique, avec 11 pourcent de celles-ci qui déclaraient des pertes financières supérieures à 1 million de dollars US.28 Évidemment certaines de ces pertes seront des biens tangibles ou intangibles. Mais ceci n’est vraiment que la pointe de l’iceberg. Souffrir d’une atteinte aux données - que cela soit volontaire ou involontaire - peut engendrer toute une chaîne d’autres frais allant de la responsabilité civile aux amendes des législateurs. Ceci peut aussi interrompre les affaires et endommager votre réputation. Sept moyens de perdre - comme l’a appris l’infortunée détentrice d’une carte du Tesco Club, les cybercriminels utiliseront des identités volées à leur profit pour dérober de l’argent ou de la marchandise. Malheureusement les choses peuvent s’empirer. Selon Tim Stapleton, responsable adjoint de la responsabilité professionnelle à Zurich, il y a sept autres manières de perdre. Enquêtes judiciaires - que cela vous plaise ou non, une enquête en général doit être entreprise pour comprendre ce qui s’est passé et comment. Les enquêteurs externes en général facturent des honoraires qui peuvent aller de 100 à 1000 $US de l’heure. Avertir les victimes - beaucoup de gouvernements demandent que les «propriétaires» de violations de données (par ex. clients ou partenaires d’affaires de l’entreprise victime d’une infraction) soient avertis. Même si ce n’est pas obligatoire, pour la plupart des entreprises, c’est probablement une bonne pratique de le faire. Les coûts peuvent s’élever entre 5 et 50 $US par avis, déclare Tim Stapleton de chez Zurich. En avisant les victimes - l’une des meilleures pratiques du centre d’appel de beaucoup d’entreprises qui ont fait l’objet d’une infraction est de procurer un numéro «d’assistance téléphonique» que les clients peuvent appeler pour obtenir des renseignements et du soutien. Contrôle après le vol - donc est-ce que les pirates vont utiliser mon nom, mon courriel, ma carte de crédit ou non? Sous une forme de restitution, beaucoup d’entreprises piratées, surveillent ceci pour les victimes. Dans les cas où ces renseignements sont utilisés, ils offrent souvent de «restaurer» les données à leur véritable propriétaire. Ceci dit le coût est de 10 à 30 $US par victime. L’atténuation des dommages portés à l’image - les fuites de données peuvent être similaires aux fuites physiques de disons du pétrole, de produits chimiques ou de polluants, dans le sens où ils déclenchent l’indignation publique, et pas seulement parmi les victimes. Beaucoup d’entreprises n’ont pas d’expérience avec la colère du public, et pensent qu’il est préférable d’impliquer des experts en relations publiques pour les aider. Les coûts de la défense, les règlements et les paiements d’indemnités - si la faille est suffisamment sérieuse, certaines victimes vont probablement faire un procès pour obtenir des indemnités. Selon une étude d’assureurs par l’entreprise de sécurité NetDiligence, le paiement moyen d’une faille était de $US 954 253. Le coût moyen des services d’urgence était de $US 737 473, et le coût moyen pour les coûts juridiques était de 574 984 $US, tandis que les indemnités suite à une action juridique était en moyenne de 258 099 $US. Des incidents causés par «des actions répréhensibles ou la négligence» de l’organisation affectée tendaient à être légèrement plus coûteux que les incidents dus à de simples erreurs, telles qu’une faute des employés ou quelque chose de provoqué par un fournisseur externe. «Les incidents de piratage qui ne sont pas directement causés par l’organisation affectée, sont extrêmement chers et sont exceptionnels.»29 Amendes et pénalités - perdre des données personnelles peut être un délit civil ou judiciaire. M. Stapleton estime que les amendes ou les pénalités peuvent varier d’aussi peu que 100 $US jusqu’à 1 million $US. Perte d’exploitation et atteinte à la réputation Il y a aussi le problème d’image. Bien que la valeur précise qui est en jeu soit difficile à quantifier, dans la plupart des cas une chose est certaine : La perdre peut être très dommageable. Prenez en considération les clients potentiels du détaillant Target, qui a déjà été cité dans cette étude. «Si vous allez sur Google pour faire des achats et que vous êtes plutôt inondé de nouvelles sur la faille de leurs données, ceci peut vous décourager de votre envie d’acheter» déclare Lori Bailey, Chef international de la gestion et de la RC professionnelle à Zurich. « L’aide n’est pas gratuite. Les enquêteurs en cybercriminalité peuvent facturer jusqu’à 1000 $US de l’heure.» 29 Greisiger, Mark. NetDiligence® 2013, ‘Cyber Liability & Data Breach Insurance Claims, A study of Actual Claim Payouts.’ http://www.netdiligence.com/files/CyberClaimsStudy-2013.pdf 11 « Une prévention totale peut être impossible. La planification peut faire toute la différence en matière d’intervention et de rétablissement.» Se protéger contre les cyber-risques: la résistance est la clé Lorsqu’il s’agit de la sécurité informatique, même les géants de l’internet peuvent avoir des pieds d’argile. Les infractions de données, les attaques de virus, les fraudes et les vols ont frappé les organisations les plus sophistiquées. Personne n’est vraiment à l’abri. Ceci ne va vraisemblablement pas disparaître bientôt. Les cybercriminels, les pirates et les cyber-combattants sont engagés dans une course aux armements permanente, et améliorent régulièrement leurs outils et leurs méthodes de vol, de fraude et de destruction. Entre-temps des accidents vont survenir quelquefois. Il est donc conseillé aux entreprises de prendre d’abord des précautions, à la fois à l’interne et à l’externe, et en même temps de se concentrer sur la résistance et la capacité de se remettre très vite de l’attaque ou de l’erreur qui sont pratiquement inévitables. À l’intérieur de l’entreprise L’approche de la gestion des risques informatiques de toute organisation devrait se concentrer sur les gens, les processus et la technologie déclare Tim Stapleton de chez Zurich. Il ajoute que certains experts débattent sur le fait que 90 pourcent des infractions pourraient être évitées en suivant des principes de sécurité de base. Comme toujours, ce sont les gens Gagner les cœurs et les esprits est important pour limiter les risques de piratage informatique. Et dans ce sens, faire des progrès en matière de sécurité informatique n’est pas différent de tout autre défi des entreprises. D’abord quelqu’un doit être tenu responsable. Ensuite, la prise de conscience et les meilleures pratiques doivent circuler au sein de l’organisation. 12 Responsabilité Qui peut mieux coordonner ceci que le gestionnaire des risques? Selon certains, des organisations aux s É.-U. et en Europe ont assemblé des comités sur la sécurité des données de différents secteurs des organisations, y compris le service de la gestion des risques. «Le gestionnaire des risques est souvent considéré comme le canal d’une approche de la gestion des risques en matière de sécurité et de protection des renseignements personnels, au sein d’une organisation,» explique Lori Bailey de chez Zurich. Ceci peut aller contre la pratique ordinaire qui souvent voit les risques informatiques comme un travail pour le service des TI. Un nombre grandissant d’entreprises se rendent compte maintenant que la sécurité informatique va bien au-delà du service des TI. Une gamme étendue de problèmes tels que les données perdues ou volées, les violations des lois sur la vie privée, l’atteinte à la propriété intellectuelle et les risques liés aux médias sociaux tel que la cyber intimidation et le harcèlement textuel constituent un éventail plus grand de risques informatiques. Un certain nombre de sociétés vont même plus loin en nommant un Chef de la sécurité informatique. Ceci permet de réduire les coûts d’infractions de données d’une entreprise. L’éducation, l’éducation, l’éducation Dans une grande mesure, la promotion d’un comportement de «cyber sécurité» n’est pas différente d’une autre campagne de sécurité. Les employés, les partenaires d’affaires et les clients doivent être prévenus à l’avance et souvent à propos des menaces et des défenses. Ceci devient un devoir conjoint des services des TI et des Communications. Les campagnes tendent à être plus complexes que, disons, rappeler aux gens d’utiliser des ceintures de sécurité ou des casques. Les risques cybernétiques sont nombreux et variés et évoluent régulièrement. montre qu’environ trois entreprises sur quatre ont une politique claire en moyenne.30 Un autre aspect clé est de définir quels sont les «bijoux de la couronne» des données d’une compagnie. Qu’il s’agisse des coordonnées des clients, des données des cartes de crédit, de la propriété intellectuelle ou des connaissances, il devrait y avoir une compréhension claire de la valeur que ces éléments apportent Processus de cyber sécurité à l’organisation. Dans son rapport, Une responsabilité définie comme l’Institut de la gestion des risques pratique de «cyber sécurité» devrait «Cyber Risk»31, presque toutes les faire partie des processus commerciaux violations de données comprennent d’une entreprise. Ces activités de base des techniques relativement simples. dit Tim Stapleton, de chez Zurich sont Une étude du gouvernement du les suivantes : Royaume-Uni remarque qu’«une • Mettre en place des processus et gestion des risques de base» des procédures, tels que la sécurité et des contrôles de sécurité des documents physiques et des pourraient vaincre 80 pourcent des restrictions relatives à l’utilisation des attaques cybernétiques.32 appareils mobiles et personnels sur les lieux de travail. Défenses techniques • Assurer un niveau de compréhension Naturellement il y a des barrières des risques dans toute l’entreprise techniques qui peuvent et devraient de façon à ce que la technologie, les être mises en travers des accidents services des ressources humaines et et des attaques. En effet, Zurich du marketing collaborent, partagent coopère avec la société de sécurité et coordonnent les activités. digitale, le Kudelski Group pour offrir • Assurer que les fournisseurs des outils de pointe (voir l’encadré). externes, tels que les fournisseurs Ceci comprend, l’authentification, qui traitent des informations la cryptographie, les systèmes de sensibles respectent vos protocoles détection d’intrusion, les systèmes sur la sécurité des données. de prévention, le développement d’applications de sécurité, les réseaux Par exemple, que se passe-t-il avec privés virtuels, la protection contre les les medias sociaux? Les entreprises virus et la gestion des correctifs. devraient penser à leur approche sur Pour le lecteur non-technique de cet Facebook®, LinkedIn®, Twitter® et autres. Les approches relatives à leur article, la question clé dont il faut se souvenir est que la technologie utilisation peut aller de l’interdiction n’est qu’un morceau du puzzle de la à l’encouragement – la question est d’avoir une politique claire. Beaucoup sécurité. Du matériel et des logiciels intelligents ne peuvent pas tous seuls d’entreprises n’en n’ont toujours pas. assurer la sécurité de l’information. Une enquête demandée par Zurich La non-conformité devrait être traitée comme dans tout autre secteur. Les gens qui enfreignent les codes de sécurité informatiques devraient être avertis et punis comme il convient avec des infractions sérieuses pouvant mener jusqu’à un congédiement. 30 Advisen Insurance Intelligence. Zurich Insurance Company. ‘2013 Information Security & Cyber Liability Risk Management.’ https://www.advisen.com/pdf_files/ information-security-cyber-liabilityrisk-managementzurich-2013-10-18.pdf 31 Institute of Risk Management, ‘Cyber Risk Executive Summary.’ 2014. http://www.theirm.org/media/883443/ Final_IRM_Cyber-Risk_Exec-Summ_A5_low-res.pdf 32 Department for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Cabinet Office/ Office of Cyber Security & Information Assurance. ’10 Steps to Cyber Security.’ 2012 https://www.gov.uk/government/ uploads/system/uploads/attachment_data/file/73128/121120-10-stepsto-cyber-security-executive.pdf L’équipe Kudelski-Zurich Vers la fin 2013, Zurich a annoncé qu’elle coopérerait avec Kudelski Security, la division de la sécurité informatique du Kudelski Group, pour soutenir un produit d’assurance informatique novateur. Kudelski Security combine plus de 20 ans de savoirfaire technologique avec une expertise juridique, de la conformité, des enquêtes sur le terrain et des communications en cas de crise, selon Christophe Nicolas, un premier viceprésident chez Kudelski Security. «Nous sommes honorés de faire équipe avec Zurich pour offrir à ses clients toute une gamme de solutions telles que les évaluations des risques informatiques, la consultation, ainsi qu’une équipe d’intervention rapide» dit-il.33 33 Press release, Nagra Kudelski Group. ‘Kudelski security cooperates with Zurich Insurance Group to offer cyber security services.’ 19 August 2013. http://www.nagra. com/media-center/press-releases/kudelski-securitycooperateszurich-insurance-group-offer-cyber-security 13 La résistance et l’assurance Pour organiser la meilleure défense contre les risques de l’informatique, l’expérience suggère qu’il ne suffit pas de mettre en charge les bonnes personnes, de rendre les processus sécuritaires et de construire les bons pare-feu. En plus de cela, vous devez être préparé à vous remettre de l’attaque ou de l’accident inévitable. L’assurance peut garantir non seulement les pertes mais aussi les coûts de remise sur pieds. Se préparer à la faille La triste histoire est qu’une forme de faille, quelque part d’une manière ou d’une autre, est presque inévitable. Donc, bien que le fait d’avoir les gens et les processus de prêts, permettra d’atténuer et de limiter l’importance de la faille, il sera toutefois nécessaire d’avoir un plan de reprise des activités. Pour ses clients des entreprises, Zurich aide à aborder cette question en trois parties principales. • Être prêt: Est-ce que vous avez une équipe d’intervention sur place? Quand vous rendrez-vous compte que vous avez été victime d’une infraction? Est-ce que vous avez des vérifications sur les activités de collecte des données, y compris les tiers et les fournisseurs de services informatiques en nuage? Où est-ce que les renseignements sensibles sont conservés et entreposés, est-ce que c’est sécuritaire? Estce que vous avez contrôlé le flot des données dans votre entreprise et avec les fournisseurs, y compris une vérification de la sécurité et de la confidentialité? Est-ce que les employés sont formés adéquatement et préparés à déclarer des cas de perte de données ou des attaques? Est-ce que vous êtes au courant des obligations règlementaires? Est-ce que vous avez accès à des fournisseurs de services spécialisés, telles que les relations publiques et la gestion 34 A dvisen Insurance Intelligence. Zurich Insurance Company. ‘2013 Information Security & Cyber Liability Risk Management.’ https://www.advisen.com/pdf_files/ information-security-cyber-liabilityrisk-managementzurich-2013-10-18.pdf 14 des risques? Comment est-ce que vous communiquez avec vos clients, vos partenaires et vos actionnaires lorsqu’un incident est arrivé? • L’exercice d’incendie: Est-ce que vous savez comment exécuter un examen judiciaire pour déterminer combien de dossiers ont été affectés? Qui doit être informé au sein de l’organisation et qui peut aider? Comment est-ce que les dommages peuvent être contenus? Quand est-ce que les victimes devraient être avisées et que devraient-elles savoir ? Est-ce que vous devriez mettre en place un centre d’appels pour aider les victimes? Quel contrôle du crédit/ de l’identité et quels services de prévention des fraudes doivent être fournis ? Comment rétablissezvous votre réputation sur le marché ? Comment est-ce que vous vous défendrez au tribunal ou contre les législateurs ? Le lendemain: À la suite de l’exercice d’incendie, vous devez établir quels sont les coûts qui sont couverts par l’assurance et quel budget couvre des dépenses supplémentaires, comment enquêter sur l’incident afin d’en tirer des leçons. Assurance Les entreprises devraient prendre en considération l’assurance contre des situations où leurs affaires tombent victimes de prédateurs ou d’accidents informatiques. Certaines couvertures seront fournies en vertu de polices conventionnelles, toutefois de plus en plus d’entreprises découvrent qu’elles ont aussi besoin de garanties informatiques spécifiques et supplémentaires. Aux É.-U. par exemple, 52 pourcent d’environ 300 entreprises qui ont été sondées pour le compte de Zurich en 2013 ont déclaré avoir acheté de l’assurance contre la responsabilité informatique. Ceci était une augmentation par rapport à 44 pourcent en 2012 et 35 pourcent en 2011.34 Garantie conventionnelle Les dommages provenant de crimes ou d’accidents informatiques, seront couverts, dans une certaine mesure dans le cadre d’une assurance conventionnelle. Une politique de RC commerciale, couvrira les pertes ordinaires telles les installations endommagées, l’équipement brisé, ou l’inventaire endommagé. «Les garanties conventionnelles peuvent inclure la perte des données électroniques résultant de la défaillance ou de la force majeure, mais n’incluront pas très probablement certains des nouveaux dangers de l’époque de l’internet.» selon les consultants de Prism Risk Management.35 Garantie informatique Zurich travaille pour développer une police sur la protection de la sécurité et de la confidentialité qui couvre les parties que les polices conventionnelles ne couvrent pas et qui aussi améliorent la résilience. Ceci couvre la responsabilité et la garantie directe de l’assuré, qui comprend les coûts de l’atteinte à la vie privée et la perte d’exploitation et qui peut aider à atténuer la publicité négative et l’insatisfaction de la clientèle : • Coûts de l’atteinte à la vie privée incluent: les frais d’enquête judiciaire du système informatique de l’entreprise pour déterminer la cause ou l’étendue d’une atteinte à la vie privée et certains frais juridiques et de relations publiques. • Garantie des frais de remplacement des biens numériques. • Garantie de la perte d’exploitation et de la perte d’exploitation découlant de la défaillance de tiers indispensables. • Garantie de la menace de cyber extorsion et des paiements de récompenses. Garantie des tiers qui comprend une garantie limitée pour les procédures règlementaires, les frais de la défense et la garantie optionnelle de la responsabilité civile liée aux médias sur l’internet : • Garantie de la responsabilité sur la sécurité et la confidentialité, qui inclut la garantie des frais de défense et de poursuites. • Garanties des amendes civiles et pénalités (disponible en option). • Responsabilité civile des médias sur l’internet (disponible en option). À l’extérieur de la Compagnie À l’extérieur, il peut être bénéfique pour les entreprises de s’impliquer dans le débat à propos de la politique publique relative aux risques cybernétiques. On peut diviser ceci en deux codes principaux: les codes et les normes et la législation ou la règlementation. En général, la première catégorie peut être vue comme la «carotte» qui encourage une bonne attitude et la seconde catégorie comme le «bâton» qui décourage les mauvais comportements. Codes/normes L’Organisation internationale de normalisation (ISO) possède un ensemble de 27000 normes ISO pour aider les entreprises à conserver les actifs informationnels en sécurité.36 Les entreprises peuvent appliquer les normes, demander une accréditation et contribuer au développement à venir des normes. Zurich a déjà fait une demande ISO 27000 pour la souscription de l’assurance de détail, en particulier pour le Payment Card Industry Data Security Standard (PCI DSS). Le National Institute of Standards and Technology, qui fait partie du Ministère du commerce des É.-U. a un service sur la sécurité informatique qui fait de la recherche sur la sécurité cybernétique et aussi développe des normes. Beaucoup d’autres initiatives - des coopérations publiques, privées et semiprivées - sont en cours dans diverses régions et secteurs commerciaux. Législation/règlements Avec l’expansion de l’internet, et l’émergence non moindre des Wikileaks et le déroulement de l’affaire Edward Snowden, la confidentialité est devenue un problème public important. Beaucoup de pays ont maintenant ce qu’on appelle des lois sur «la violation des données et de la confidentialité», qui pénalisent les entreprises pour laisser fuir des secrets. Un exemple est la Hong Kong’s Personal Data (Privacy) Ordinance. Instaurée vers la fin 2012, la loi impose des avis et des demandes de consentement pour les utilisateurs de données et distribue des amendes et des pénalités criminelles potentiellement importantes pour les utilisateurs de données qui enfreignent ces obligations. Il est conseillé aux entreprises d’apprendre les règles sur la confidentialité des données de leur juridiction de compétence et de prendre les mesures qui s’imposent pour assurer la conformité. 35 ‘Cyber Risk Insurance: When Conventional Liability Coverage Might Not be Enough. Prism Risk Management LLC. http://prismrm.wordpress.com/2012/09/16/cyber-riskinsurancewhen-conventional-liability-coverage-might-notbe-enough/ 36 For more information, see: http://www.27000.org/ 15 Vous voulez plus d’articles comme celui-ci? Inscrivez-vous à Distinctive Risk Insights. Vous recevrez périodiquement des courriels de Zurich Canada qui vous donneront accès directement à des documents de renseignements techniques, à des outils de gestion des risques, à des webinaires et à des vidéos instructives qui portent sur des sujets d’affaires d’actualité se rapportant à des risques. www.zurichcanada.com/distinctive-risk-insights Zurich 416-586-3000 www.zurichcanada.com Le logo de Zurich et Zurich sont des marques déposées de Zurich Compagnie d’Assurances SA Zurich Compagnie d’Assurances SA (Direction canadienne) Les renseignements qui figurent dans cette publication ont été compilés à partir de sources fiables à des fins d’information seulement. Toutes les politiques et/ou procédures dans la présente publication doivent servir de lignes directrices lesquelles vous pouvez utiliser pour créer vos propres politiques et procédures. Nous croyons que vous personnaliserez ces modèles pour qu’ils soient le reflet de vos propres opérations et croyons que ces modèles peuvent servir de plate-forme utile pour cette tâche. Toute l’information contenue dans ce document ne vise pas à constituer un conseil juridique, et par conséquent, vous devez consulter vos propres avocats lorsque vous élaborez des programmes et des politiques. Nous ne garantissons nullement l’exactitude de ces renseignements ni les résultats. Nous n’assumons en outre aucune responsabilité par rapport à cette publication, les politiques modèles et procédures, y compris les renseignements, les méthodes ou les suggestions en matière de sécurité contenues dans la présente publication. De plus, Zurich vous rappelle que cette publication ne saurait être considérée comme un document comportant toutes les procédures acceptables en matière de sécurité et de conformité et ne saurait impliquer que des procédures autres pourraient ne pas être appropriées dans les circonstances. Le sujet de cette publication ne couvre pas toutes les situations liées à un produit d’assurance et le fait d’adopter ces politiques et procédures n’offre en outre aucune protection en vertu de quelque police d’assurance que ce soit. ©2015 Zurich Compagnie d’Assurances SA A1-112005402-A (04/15) 112005402