La Cybercriminalité : De vraies raisons de s`inquiéter
Transcription
La Cybercriminalité : De vraies raisons de s`inquiéter
FOCUS décembre 2011 Conseil en gestion des risques et assurances CYBERCRIMINALITE : un risque ? un fléau ? un business ? Novembre 2011, la menace Duqu prend de l’ampleur. C’est un virus qui s’attaque à l’informatique de process. De la même manière que son cousin Stuxnet dont l’objectif visait les infrastructures nucléaires iraniennes, Duqu s’installe sur un grand nombre d’ordinateurs avant de se concentrer sur une ou des cibles précises. PME, grandes entreprises et administrations de huit pays sont actuellement touchées. Selon le Second Annual Cost of Cyber Crime Study du Ponemon Institute délivrée en août 2011 et réalisée auprès d’un échantillon représentatif de 50 entreprises américaines, le coût moyen annuel de la cybercriminalité par entreprise a augmenté en un an de 56%, le nombre d’attaques de 45%, le temps moyen de résolution du problème de 28%. Une donnée également intéressante démontre qu’aucune des entreprises sondées n’a échappé à au moins un type d’attaque : 100% des sondés ont subi une attaque par virus, vers ou cheval de Troie. Ces résultats sont à rapprocher de ceux de l’étude réalisée par PriceWaterhouseCoopers sur les années 2008/2009 auprès d’un échantillon de 529 entreprises : en 2009, 62% des entreprises interrogées avouaient avoir été infectées, contre 21% en 2008. Nous n’en sommes plus à l’heure des hackers prodiges, isolés, défenseurs (parfois) d’idéaux en recherche de notoriété. Les mots de bandes organisées à l’assaut d’un marché de 1.000 milliards de dollars annuels paraissent mieux convenir. Surfant sur les défauts sécuritaires des nouvelles technologies (cloud computing, par exemple) et un relatif flou pénal, les cyberpirates prennent des risques pour l’instant limités en comparaisons des gains potentiels. Que ce soit une quête de données stratégiques (déstabilisation du G20, du FMI, de Bercy), ou d’argent (accès aux données personnelles des clients de la banque Citigroup ; de Sony) états et entreprises sont la cible de cette nouvelle délinquance. Les risques sont réels pour les entreprises dont déjà 80% (UE) des informations sont numérisées et le coût de telles attaques est en forte croissance. Dans son étude, Ponemon Institute relève un coût médian de 5.9M$ par an, en augmentation de 2.1M$ (56%) par rapport à l’année précédente. Quand à la moyenne, elle s’établit à 8.5M$ en 2011 contre 6.5M$ en 2010. 4% 30% 30% 100% 42% 44% 96% 64% 82% Virus, cheval de Troie, vers Botnets Vol de matériel Hameçonnage Déni de service Programme malveillant Web based attacks Code vicié Intrusion maline L’interruption d’activité et les pertes d’exploitation sont des postes durement éprouvés, d’autant que l’on observe un allongement du délai moyen de résolution du sinistre, passé de 14 à 18 jours. Au-delà de ce 18è jour, les coûts engendrés augmentent de façon exponentielle. 10% 5% Autres Dommages aux équipements 13% 9% 13% 18% Perte de revenu 2010 2011 22% 28% Interruption d'activités 42% 40% Perte d'information 0% 20% 40% Une publication de la société Malmasson Courtage SAS Directeur de publication : Bertrand Destruhaut, Directeur Général 7 place de la Gare – BP 20719 – 57207 Sarreguemines Cedex / Tel : +33 (0) 387 98 01 28 Fax : +33 (0) 387 98 33 85 S.A.S. au capital de 61500 € - Code NAF 6622 Z – N° siret 429 938 087 00039 - RCS Strasbourg 429 938 087 Garantie financière et assurance de responsabilité civile professionnelle conforme aux articles L512-6 et L512-7 du code des assurances N° ORIAS : 07 002 506 - Tél. : 01 53 21 51 70 - Site internet : www.orias.fr - Organisme de contrôle ACAM 60% FOCUS décembre 2011 Cybercriminalité et gestion des risques Une des plus anciennes et efficace manière de gérer un risque est de l’éliminer, comme l’illustre Guillaume Grallet dans le magasine Le Point du 10 mars 2011 : « L’entrainement a lieu dans la banlieue de Chengdu, dans le Sichuan, au sud-ouest de la Chine. Les forces combattantes sont au nombre de 10.000. Pour s’adapter à la nouvelle donne, l’empire du milieu a décidé de revenir aux…pigeons voyageurs « Nous en avons autant qu’il y a de soldats dans l’armée Suisse », observe un responsable Chinois. Si l’armée populaire forme des pigeons, ce n’est pas par passion de l’ornithologie, mais parce qu’elle est consciente de la fragilité des réseaux de communication modernes. » Tous les types d’entreprises sont concernés et, par défaut de moyens, les plus exposées à des conséquences dramatiques touchant leur exploitation et leur continuité d’activité sont les PME-PMI. Prévention et transfert à l’assurance Malmasson Courtage est partenaire des porteurs de risques qui ont su, dans leur vision du traitement de ce type de risques, allier la prévention, l’assistance et la garantie financière. Les garanties couvrent, en cas de malveillance d’origine interne ou externe, de virus, ver, cheval de Troie, bombe logique… les frais et dépenses de : - décontamination virale, - reconstitution des données, - frais supplémentaires d’exploitation, - expert d’assurés, - pertes d’exploitation, - extorsion, - responsabilité civile. Les garanties interviennent à défaut ou en complément des polices d’assurances traditionnelles qui excluent les conséquences de virus, et après épuisement de la garantie « reconstitution de données » du contrat dommages en place. En tout état de cause, la vitesse de propagation de ce fléau, de son cheminement et de ses impacts financiers nécessite une prise de conscience. Et ainsi impose un retour à une culture du risque qui exige une prise de recul pour identifier, analyser, prévenir et protéger puis transférer. Pour toute information complémentaire : Maïté Raux 06 20 46 45 17 [email protected] Frédéric Schneider [email protected] 06 03 13 33 50 Standard 03 87 98 01 28 [email protected] Une publication de la société Malmasson Courtage SAS Directeur de publication : Bertrand Destruhaut, Directeur Général 7 place de la Gare – BP 20719 – 57207 Sarreguemines Cedex / Tel : +33 (0) 387 98 01 28 Fax : +33 (0) 387 98 33 85 S.A.S. au capital de 61500 € - Code NAF 6622 Z – N° siret 429 938 087 00039 - RCS Strasbourg 429 938 087 Garantie financière et assurance de responsabilité civile professionnelle conforme aux articles L512-6 et L512-7 du code des assurances N° ORIAS : 07 002 506 - Tél. : 01 53 21 51 70 - Site internet : www.orias.fr - Organisme de contrôle ACAM