La Cybercriminalité : De vraies raisons de s`inquiéter

FOCUS
décembre 2011
Conseil en gestion des risques et assurances
CYBERCRIMINALITE : un risque ? un fléau ? un business ?
Novembre 2011, la menace Duqu prend de l’ampleur.
C’est un virus qui s’attaque à l’informatique de process.
De la même manière que son cousin Stuxnet dont
l’objectif visait les infrastructures nucléaires iraniennes,
Duqu s’installe sur un grand nombre d’ordinateurs avant
de se concentrer sur une ou des cibles précises.
PME, grandes entreprises et administrations de huit
pays sont actuellement touchées.
Selon le Second Annual Cost of Cyber Crime Study du
Ponemon Institute délivrée en août 2011 et réalisée
auprès d’un échantillon représentatif de 50 entreprises
américaines, le coût moyen annuel de la cybercriminalité
par entreprise a augmenté en un an de 56%, le nombre
d’attaques de 45%, le temps moyen de résolution du
problème de 28%.
Une donnée également intéressante démontre
qu’aucune des entreprises sondées n’a échappé à au
moins un type d’attaque : 100% des sondés ont subi une
attaque par virus, vers ou cheval de Troie.
Ces résultats sont à rapprocher de ceux de l’étude
réalisée par PriceWaterhouseCoopers sur les années
2008/2009 auprès d’un échantillon de 529 entreprises :
en 2009, 62% des entreprises interrogées avouaient avoir
été infectées, contre 21% en 2008.
Nous n’en sommes plus à l’heure des hackers prodiges,
isolés, défenseurs (parfois) d’idéaux en recherche de
notoriété.
Les mots de bandes organisées à l’assaut d’un marché de
1.000 milliards de dollars annuels paraissent mieux
convenir.
Surfant sur les défauts sécuritaires des nouvelles
technologies (cloud computing, par exemple) et un relatif
flou pénal, les cyberpirates prennent des risques pour
l’instant limités en comparaisons des gains potentiels.
Que ce soit une quête de données stratégiques
(déstabilisation du G20, du FMI, de Bercy), ou d’argent
(accès aux données personnelles des clients de la banque
Citigroup ; de Sony) états et entreprises sont la cible de
cette nouvelle délinquance.
Les risques sont réels pour les entreprises dont déjà
80% (UE) des informations sont numérisées et le
coût de telles attaques est en forte croissance.
Dans son étude, Ponemon Institute relève un coût
médian de 5.9M$ par an, en augmentation de
2.1M$ (56%) par rapport à l’année précédente.
Quand à la moyenne, elle s’établit à 8.5M$ en 2011
contre 6.5M$ en 2010.
4%
30%
30%
100%
42%
44%
96%
64%
82%
Virus, cheval de Troie, vers
Botnets
Vol de matériel
Hameçonnage
Déni de service
Programme malveillant
Web based attacks
Code vicié
Intrusion maline
L’interruption
d’activité
et
les
pertes
d’exploitation sont des postes durement
éprouvés, d’autant que l’on observe un
allongement du délai moyen de résolution du
sinistre, passé de 14 à 18 jours. Au-delà de ce 18è
jour, les coûts engendrés augmentent de façon
exponentielle.
10%
5%
Autres
Dommages aux
équipements
13%
9%
13%
18%
Perte de revenu
2010
2011
22%
28%
Interruption d'activités
42%
40%
Perte d'information
0%
20%
40%
Une publication de la société Malmasson Courtage SAS
Directeur de publication : Bertrand Destruhaut, Directeur Général
7 place de la Gare – BP 20719 – 57207 Sarreguemines Cedex / Tel : +33 (0) 387 98 01 28 Fax : +33 (0) 387 98 33 85
S.A.S. au capital de 61500 € - Code NAF 6622 Z – N° siret 429 938 087 00039 - RCS Strasbourg 429 938 087
Garantie financière et assurance de responsabilité civile professionnelle conforme aux articles L512-6 et L512-7 du code des assurances
N° ORIAS : 07 002 506 - Tél. : 01 53 21 51 70 - Site internet : www.orias.fr - Organisme de contrôle ACAM
60%
FOCUS décembre 2011
Cybercriminalité et gestion des risques
Une des plus anciennes et efficace manière de gérer un
risque est de l’éliminer, comme l’illustre Guillaume Grallet
dans le magasine Le Point du 10 mars 2011 :
« L’entrainement a lieu dans la
banlieue de Chengdu, dans le
Sichuan, au sud-ouest de la Chine.
Les forces combattantes sont au
nombre de 10.000. Pour s’adapter
à la nouvelle donne, l’empire du
milieu a décidé de revenir
aux…pigeons voyageurs « Nous en avons autant qu’il y a
de soldats dans l’armée Suisse », observe un responsable
Chinois. Si l’armée populaire forme des pigeons, ce n’est
pas par passion de l’ornithologie, mais parce qu’elle est
consciente de la fragilité des réseaux de communication
modernes. »
Tous les types d’entreprises sont concernés et, par défaut
de moyens, les plus exposées à des conséquences
dramatiques touchant leur exploitation et leur continuité
d’activité sont les PME-PMI.
Prévention et transfert à l’assurance
Malmasson Courtage est partenaire des porteurs de
risques qui ont su, dans leur vision du traitement de ce
type de risques, allier la prévention, l’assistance et la
garantie financière.
Les garanties couvrent, en cas de malveillance d’origine
interne ou externe, de virus, ver, cheval de Troie, bombe
logique… les frais et dépenses de :
- décontamination virale,
- reconstitution des données,
- frais supplémentaires d’exploitation,
- expert d’assurés,
- pertes d’exploitation,
- extorsion,
- responsabilité civile.
Les garanties interviennent à défaut ou en complément
des polices d’assurances traditionnelles qui excluent les
conséquences de virus, et après épuisement de la
garantie « reconstitution de données » du contrat
dommages en place.
En tout état de cause, la vitesse de propagation de ce
fléau, de son cheminement et de ses impacts financiers
nécessite une prise de conscience.
Et ainsi impose un retour à une culture du risque qui exige
une prise de recul pour identifier, analyser, prévenir et
protéger puis transférer.
Pour toute information complémentaire :
Maïté Raux
06 20 46 45 17
[email protected]
Frédéric Schneider [email protected]
06 03 13 33 50
Standard
03 87 98 01 28
[email protected]
Une publication de la société Malmasson Courtage SAS
Directeur de publication : Bertrand Destruhaut, Directeur Général
7 place de la Gare – BP 20719 – 57207 Sarreguemines Cedex / Tel : +33 (0) 387 98 01 28 Fax : +33 (0) 387 98 33 85
S.A.S. au capital de 61500 € - Code NAF 6622 Z – N° siret 429 938 087 00039 - RCS Strasbourg 429 938 087
Garantie financière et assurance de responsabilité civile professionnelle conforme aux articles L512-6 et L512-7 du code des assurances
N° ORIAS : 07 002 506 - Tél. : 01 53 21 51 70 - Site internet : www.orias.fr - Organisme de contrôle ACAM