Cyber-risques Sous contrôle

Cyber-risques
Sous contrôle ?
RÉSEAUX SOCIAUX
TOP 10
MENACES ET TENDANCES
39 % des utilisateurs ne se déconnectent pas.
25 % partagent les informations de leur compte.
1 utilisateur sur 3 accepte des invitations d’inconnus.
24 % utilisent la même plateforme de stockage en ligne à titre privé et professionnel.
12 % des utilisateurs ont déjà été piratés.
1. Téléchargements drive-by
2. Vers/Chevaux de Troie
3. Injection de code
4. Exploit Kits
5. Botnets
6. Dégâts matériels/pertes par vol
7. Vol/fraude d’identité
8. Attaques DDoS
9. Phishing
CONVICTIONS (ERRONÉES)
10. Spam
“Les risques économiques de la cybercriminalité ne
sont pas si élevés”
“Nous ne constituons pas une cible” “Un pare-feu nous
“Nous satisfaisons à toutes les normes de sécurité, nous sommes donc en sécurité” protège”
“Nous n’avons pas de boutique
en ligne, donc aucun problème
de cybercriminalité”
UN INCIDENT
COMMENT LES ORGANISATIONS GÈRENT-ELLES LES CYBER-RISQUES ?
MAUVAISE ATTITUDE
B O N N E AT T I T U D E
• Quels actifs devrions-nous protéger ?
Le plan de cyber-incidents en vigueur :
Et comment ?
• Effectuer un inventaire/ une analyse :
•
Quelle est la cause (accident ou crime) ?
Est-ce du ressort unique des TIC ou d’autres
départements sont-ils concernés ?
•
• Déterminer l’impact de l’incident en matière de :
Avons-nous déjà fait de la prévention ?
• Quelles sont les conséquences concrètes pour nos clients ?
• De quels systèmes disposons-nous et quels logiciels utilisons-nous ?
• Nous n’avons pas de politique en matière de
qualité des mots de passe, de médias sociaux et/
ou de formations dans le domaine des services
- Continuité
- Situation financière
- Sécurité
- Conformité / - Qualité
législation
- Fiabilité
- Réputation
- P rotection des
renseignements
personnels
et des comportements en ligne.
• Qui est responsable des services de cloud
computing que nous utilisons ?
LES ORGANISATIONS SONT-ELLES PRÉPARÉES AUX CYBER-RISQUES ?
77 % ont été confrontées à une faille de sécurité au cours des deux dernières années.
38 % ne possèdent AUCUN PLAN en matière de cyber-incidents.
17 % pensent être totalement préparées en cas de cyber-incidents.
41 % pensent qu’une meilleure connaissance des risques et menaces aide à être mieux préparé.
57 % ne rapportent pas les cas d’incidents si elles n’y sont pas obligées.
LES CONSÉQUENCES
1
LA PLUS
GRANDE MENACE
PROVIENT DE…
Hackers 22 %
2
LES COÛTS
ENGENDRÉS PAR LA
CYBERCRIMINALITÉ
A l’échelle mondiale
€ 98 milliards par an
(ex-) employés 21 %
En Belgique
Autres pays/ états 11 %
€ 3,5 milliards par an
Hactivistes 5 %
Quotidiennement
Grande criminalité 4 %
JOUR
1 million de consommateurs touchés
3
LES SECTEURS TOUCHÉS
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13
14.
Services financiers 15 %
Média et divertissement 13 %
Industries manufacturières 10 %
Aviation & défense 6%
Services aux entreprises 4%
Vente au détail 4%
Construction
4%
Industrie chimique 4%
Télécommunication 4%
Industries pharmaceutique et biologique 4 %
Transport 3%
Services juridiques 3%
Enseignement
3%
Autres 23 %
APPROCHE : PRISE DE CONTRÔLE
Étape 1
Signification : que signifie cyber pour mon organisation ?
Dresser la carte des risques, menaces et vulnérabilités de votre organisation.
Étape 2 Conséquences : quels en sont les impacts ?
Analyser les conséquences potentielles sur les affaires et la réputation, la responsabilité éventuelle, les dommages et les couvertures d’assurance actuelles.
Étape 3 Mesures (gestion et contrôle) :
quelles sont les mesures dont je dispose
et celles dont j’ai besoin ?
Discuter des mesures actuelles et souhaitées, les mettre en œuvre et veiller à
une assurance adéquate aux niveaux appropriés de l’organisation.
Étape 4 Impact/ résultat : cela fonctionne-t-il ?
Vérifier si les mesures prises ont le résultat/ l’impact souhaité, évaluer si les
dispositions sont suffisantes et adapter là où c’est nécessaire.
• Apprenez de vos erreurs ! Ou plutôt, apprenez des erreurs des autres.
• Le « cyber » n’est pas une problématique (uniquement) réservée
au service informatique.
• Veillez à disposer d’une approche globale et cohérente.
• Évaluez la souplesse de l’organisation et la résistance face aux incidents
liés aux TIC.
• Veillez à sensibiliser, par exemple par des formations.
• Mettez en place de solides politiques de maintenance et de mises
à jour des systèmes.
• Surveillez constamment l’infrastructure TIC vitale.
Sources
•
•
•
•
•
•
•
•
•
•
Communiqué de presse, Cyber Security Coalition, 20 Octobre 2014
Underrated Threats Report, Aon plc, 2013
Cyberrisico’s managen met de Aon-aanpak, Aon Groep Nederland, 2013
General Threat Landscape, Mandiant, 2013
Cyber incident response: Are business leaders ready?, The Economist, Intelligent Unit, 2014
Net Losses: Estimating the Global Cost of Cybercrime, McAfee, 2014
Cost of Cyber Crime Study: Global Report, Ponemon Institute, October 2013
Norton Report, Symantec, 2013
Are you making yourself victim of Cybercrime?, Zone Alarm, Juin 2014
ENISA Threat Landscape, Responding to the Evolving Threat Environment, Septembre 2014
Risk. Reinsurance. Human Resources.
Sensibilisation
et mise en place
d’une politique
cyber
Comment se porte votre organisation ?
Utilisez l’outil de diagnostic des cyber-risques.
Rendez-vous sur aon.be/cyber
1023-cyber14-BE-FR-v2
CONSEILS RAPIDES