Cyber-risques Sous contrôle
Transcription
Cyber-risques Sous contrôle
Cyber-risques Sous contrôle ? RÉSEAUX SOCIAUX TOP 10 MENACES ET TENDANCES 39 % des utilisateurs ne se déconnectent pas. 25 % partagent les informations de leur compte. 1 utilisateur sur 3 accepte des invitations d’inconnus. 24 % utilisent la même plateforme de stockage en ligne à titre privé et professionnel. 12 % des utilisateurs ont déjà été piratés. 1. Téléchargements drive-by 2. Vers/Chevaux de Troie 3. Injection de code 4. Exploit Kits 5. Botnets 6. Dégâts matériels/pertes par vol 7. Vol/fraude d’identité 8. Attaques DDoS 9. Phishing CONVICTIONS (ERRONÉES) 10. Spam “Les risques économiques de la cybercriminalité ne sont pas si élevés” “Nous ne constituons pas une cible” “Un pare-feu nous “Nous satisfaisons à toutes les normes de sécurité, nous sommes donc en sécurité” protège” “Nous n’avons pas de boutique en ligne, donc aucun problème de cybercriminalité” UN INCIDENT COMMENT LES ORGANISATIONS GÈRENT-ELLES LES CYBER-RISQUES ? MAUVAISE ATTITUDE B O N N E AT T I T U D E • Quels actifs devrions-nous protéger ? Le plan de cyber-incidents en vigueur : Et comment ? • Effectuer un inventaire/ une analyse : • Quelle est la cause (accident ou crime) ? Est-ce du ressort unique des TIC ou d’autres départements sont-ils concernés ? • • Déterminer l’impact de l’incident en matière de : Avons-nous déjà fait de la prévention ? • Quelles sont les conséquences concrètes pour nos clients ? • De quels systèmes disposons-nous et quels logiciels utilisons-nous ? • Nous n’avons pas de politique en matière de qualité des mots de passe, de médias sociaux et/ ou de formations dans le domaine des services - Continuité - Situation financière - Sécurité - Conformité / - Qualité législation - Fiabilité - Réputation - P rotection des renseignements personnels et des comportements en ligne. • Qui est responsable des services de cloud computing que nous utilisons ? LES ORGANISATIONS SONT-ELLES PRÉPARÉES AUX CYBER-RISQUES ? 77 % ont été confrontées à une faille de sécurité au cours des deux dernières années. 38 % ne possèdent AUCUN PLAN en matière de cyber-incidents. 17 % pensent être totalement préparées en cas de cyber-incidents. 41 % pensent qu’une meilleure connaissance des risques et menaces aide à être mieux préparé. 57 % ne rapportent pas les cas d’incidents si elles n’y sont pas obligées. LES CONSÉQUENCES 1 LA PLUS GRANDE MENACE PROVIENT DE… Hackers 22 % 2 LES COÛTS ENGENDRÉS PAR LA CYBERCRIMINALITÉ A l’échelle mondiale € 98 milliards par an (ex-) employés 21 % En Belgique Autres pays/ états 11 % € 3,5 milliards par an Hactivistes 5 % Quotidiennement Grande criminalité 4 % JOUR 1 million de consommateurs touchés 3 LES SECTEURS TOUCHÉS 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13 14. Services financiers 15 % Média et divertissement 13 % Industries manufacturières 10 % Aviation & défense 6% Services aux entreprises 4% Vente au détail 4% Construction 4% Industrie chimique 4% Télécommunication 4% Industries pharmaceutique et biologique 4 % Transport 3% Services juridiques 3% Enseignement 3% Autres 23 % APPROCHE : PRISE DE CONTRÔLE Étape 1 Signification : que signifie cyber pour mon organisation ? Dresser la carte des risques, menaces et vulnérabilités de votre organisation. Étape 2 Conséquences : quels en sont les impacts ? Analyser les conséquences potentielles sur les affaires et la réputation, la responsabilité éventuelle, les dommages et les couvertures d’assurance actuelles. Étape 3 Mesures (gestion et contrôle) : quelles sont les mesures dont je dispose et celles dont j’ai besoin ? Discuter des mesures actuelles et souhaitées, les mettre en œuvre et veiller à une assurance adéquate aux niveaux appropriés de l’organisation. Étape 4 Impact/ résultat : cela fonctionne-t-il ? Vérifier si les mesures prises ont le résultat/ l’impact souhaité, évaluer si les dispositions sont suffisantes et adapter là où c’est nécessaire. • Apprenez de vos erreurs ! Ou plutôt, apprenez des erreurs des autres. • Le « cyber » n’est pas une problématique (uniquement) réservée au service informatique. • Veillez à disposer d’une approche globale et cohérente. • Évaluez la souplesse de l’organisation et la résistance face aux incidents liés aux TIC. • Veillez à sensibiliser, par exemple par des formations. • Mettez en place de solides politiques de maintenance et de mises à jour des systèmes. • Surveillez constamment l’infrastructure TIC vitale. Sources • • • • • • • • • • Communiqué de presse, Cyber Security Coalition, 20 Octobre 2014 Underrated Threats Report, Aon plc, 2013 Cyberrisico’s managen met de Aon-aanpak, Aon Groep Nederland, 2013 General Threat Landscape, Mandiant, 2013 Cyber incident response: Are business leaders ready?, The Economist, Intelligent Unit, 2014 Net Losses: Estimating the Global Cost of Cybercrime, McAfee, 2014 Cost of Cyber Crime Study: Global Report, Ponemon Institute, October 2013 Norton Report, Symantec, 2013 Are you making yourself victim of Cybercrime?, Zone Alarm, Juin 2014 ENISA Threat Landscape, Responding to the Evolving Threat Environment, Septembre 2014 Risk. Reinsurance. Human Resources. Sensibilisation et mise en place d’une politique cyber Comment se porte votre organisation ? Utilisez l’outil de diagnostic des cyber-risques. Rendez-vous sur aon.be/cyber 1023-cyber14-BE-FR-v2 CONSEILS RAPIDES