les cyber risques livre blanc
Transcription
les cyber risques livre blanc
LIVRE BLANC : LES CYBER RISQUES JUIN 2015 SOMMAIRE LES RISQUES CYBER 5 1. Les types de risques identifiés 5 a) b) c) d) Les systèmes d’information vis-à-vis des tiers Les données Les risques de fraude La gestion de crise 5 6 7 8 2. Les préjudices 8 3. Les contrats types d’assurance 9 a) Le Contrat Tous Risques Informatiques b) Le Contrat Dommages Immatériels Informatique c) Focus sur l’approche en termes de couverture « Responsabilité Civile » LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 9 10 11 3 LES RISQUES CYBER D’aussi loin que remonte notre histoire, les sociétés humaines organisées ont toujours recherché le moyen de compenser les risques de leur temps et leurs conséquences. Le code d’Hammourabi déterminait ce que devait un homme à un autre pour le préjudice qu’il lui avait causé, des grecs aux armateurs anglais en passant par les commerçants romains et vénitiens, les gens de la mer organisaient la solidarité face au risque de ruine ou de perte d’un navire par des systèmes de mutualisation plus ou moins complexes (prêt à la grande aventure, P&I de la taverne de LLOYD’s…), les sociétés arabo-musulmanes ont créé le AL’TAKAFUL ou la mutualité organisée autour du concept de solidarité et ce en conformité avec les préceptes de leur foi… Aujourd’hui, à l’heure de nos sociétés interconnectées et de la mondialisation dématérialisées des échanges, nous parlons échanges de données, stockages via des serveurs virtuels ou cloud, de trading haute fréquence par des robots. Nous vivons de plus en plus nos vies administratives, professionnelles, privées derrière des écrans et les risques, s’ils ne sont plus simplement physiques (l’atelier qui brule, le véhicule accidenté, les dommages matériels causés à autrui par notre produit…), deviennent également et même de plus en plus immatériels (la fraude, le virus, la mauvaise programmation), ce qui ne les rend pas moins réels avec des conséquences financières parfois démultipliées… 1. Les types de risques identifiés a) Les systèmes d’information vis-à-vis des tiers i) Les Fonctionnalités Les systèmes d’information mis à disposition doivent remplir leurs usages, c'est‐à‐dire stocker, gérer et véhiculer de l’information à ses utilisateurs, qu’il s’agisse de ses collaborateurs, de clients ou de partenaires. Les systèmes d’information doivent être accessibles, fiables, sécurisés (au sens de sauvegarde des données mais aussi d’intégrité des données, intrusion), garantir une continuité de services et permettre à ses utilisateurs de bénéficier des prestations/applications attendues. Ils doivent être disponibles 24 heures sur 24, 7 jours sur 7 et 365 jours par an, afin de permettre, d’une part, la réalisation des opérations initiées par les collaborateurs pendant leur temps de présence, et, d’autre part, fonctionner selon les plages d’ouverture des nouveaux services offerts à travers les plateformes téléphoniques ou l’internet. Ils ne doivent pas être isolés et donc être interconnectés avec les réseaux de télécommunication et les différents éléments de l’organisation informatique ‐ serveurs, PC, smart phones, imprimantes utilisés par les collaborateurs et utilisateurs finaux, ainsi qu’avec les systèmes informatiques des partenaires et clients, tout en assurant la sécurisation et la confidentialité des données. Ils doivent être ouverts et interopérables et donc garantir l’accessibilité aux services mis à disposition des clients, entreprises et bénéficiaires, à travers les applications sur les différents canaux de diffusion: smart phone, les plateformes téléphoniques ou les différents sites web (de consultation, de déclaration et de simulation en ligne) à disposition des clients. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 5 ii) Les risques En termes de risques, on peut identifier : L’indisponibilité totale ou partielle du système d’information, suite à sa destruction (incendie, explosion, dommage électrique…), à une carence de fournisseurs (télécom, électricité et logiciel,...), à un dysfonctionnement imputable à un prestataire extérieur (erreur de conception, de programmation, de maintenance,…), ou à une intrusion physique (vol de matériel ou de données, …) voire logique (contamination par virus …). L’impossibilité d’assurer une continuité de services résultant de défaillances internes, propres à l’organisation de l’opérateur et/ou à l’organisation des différents opérateurs avec laquelle l’organisation informatique de l’opérateur se trouve en interaction, active ou passive. Les risques liés à la sécurisation de son système informatique qui obligerait la DSI à interrompre l’accès aux tiers des services proposés l’opérateur aux différents opérateurs qui utilisent ses services. b) Les données i) La nature des données Un opérateur est amené à détenir et à conserver au sein de ses systèmes d’information et de ses serveurs des données sur des affiliés et/ou des clients, qu’elles relèvent de sa propre gestion et/ou de la gestion d’autres institutions et/ou sociétés. Il s’agit d’informations spécifiques (droits à des prestations sociales, logements HLM, historiques des commandes…), de données personnelles (nom, adresse, numéro de sécurité sociale, composition de la famille, rémunération…), de données sensibles et protégées (données relatives à la santé, au handicap...), de données ayant une valeur monétaire (données de paiement...) et de données confidentielles (données sur les entreprises et les professions, leur histoire, leurs projets…). ii) Les risques En termes de risques, on peut identifier : • L’incapacité pour les collaborateurs ou pour les partenaires (offices hlm, groupes de protection sociale, clients…) d’accéder aux données (données numérisées / GED ; extractions de données; données détenues par des tiers..), de les saisir (courriers, téléphones, mail, web…), et de les utiliser pour procéder aux opérations de gestion (appel et affectation des cotisations; liquidations…). • L’impossibilité pour les clients ‐ entreprises et bénéficiaires ‐, d’accéder aux services, notamment plateformes téléphoniques et sites internet, proposées et/ou mises à disposition par l’opérateur et/ou ses clients, et de consulter, modifier les données sur les affiliés, les clients, les utilisateurs. • La perte, la fuite ou le vol de données susceptible de causer des préjudices financiers (données de paiement…) avec risque de sinistre sériel s’il s’agit d’une liste de coordonnées bancaires, les banques exigeant la destruction de l’ensemble des cartes bancaires et leur réfection, qu’une utilisation frauduleuse ait déjà été opérée ou non, ainsi que des préjudices opérationnels (fichiers clients; données marketing...) qu’aurait à supporter l’opérateur directement en en étant la victime (ou indirectement recours en responsabilité des entreprises et bénéficiaires). • Les frais engagés pour rendre leur intégrité, leur fiabilité ou leur caractère opérationnel aux données. • Les obligations imposées aux clients de l’opérateur détenteurs de données à caractère personnel de mettre en œuvre des mesures correctives et réparatrices à l’égard de personnes qu’il s’agisse des propres collaborateurs de l’opérateur ou de ses affiliés et autres bénéficiaires, dont les données personnelles ont été atteintes. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 6 La loi Informatique et Libertés du 6 janvier 1978 a chargé la Commission nationale Informatique et Libertés de veiller à la protection des droits des personnes et a renforcé les obligations de responsables du traitement des données. c) Les risques de fraude i) La nature des fraudes Par le nombre et la nature de ses clients (et par conséquence de leurs affiliés, clients, allocataires, demandeurs…), la multiplicité des opérations individuelles, à caractère financier (affiliation, liquidation, perception...) concernant chacun d’entre eux, par les enjeux financiers majeurs engendrés par certaines opérations (encaissements ; versements…) qui peuvent viser toute d’utilisateurs finaux, l’opérateur est exposé à des risques majeurs de fraude interne ou externe. La dématérialisation croissante des activités augmente de manière très significative les opportunités de fraude. La créativité des fraudeurs étant sans limite quant aux mécanismes de fraude, la spécificité des activités gérées par l’opérateur conduit à imaginer des scénarii de fraudes tournant, par exemple autour de faux bénéficiaires, de fausses déclarations, de l’activation des comptes de bénéficiaires non apurés, ou bien de la minimisation des sommes à verser au bénéficiaire. La fraude peut être le fait de tiers, éventuellement en relation plus ou moins étroite avec des collaborateurs du groupe (cf. prestataires ou partenaires…), agissant avec des complicités internes au client ou sous la menace (question des addictions auxquels des collaborateurs peuvent être sujet), ou seuls. La fraude peut également être commise par des collaborateurs, de tout niveau dans l’organisation de l’opérateur, agissant seuls ou avec la complicité‐ active ou passive de la hiérarchie, à même de profiter de failles dans l’organisation des systèmes d’information, de l’insuffisance des procédures et des opérations de contrôle interne, en particulier à l’occasion des migrations, intégrations, et autres changements dans la gouvernance des systèmes, ainsi que de la surveillance de chaque collaborateur isolé et traitant de taches spécifiques. La fraude commise au moyen de l’outil informatique peut être notamment le fait de collaborateurs opérationnels ou, chez le client, des départements en charge d’opérations comptables d’affiliations, d’agrégation de droits, de liquidation de pension, d’attribution de logement… en créant des opérations fictives. La fraude peut se caractériser soit par une opération unique, généralement de grande ampleur, lorsqu’une fenêtre d’opportunité exceptionnelle se présente à un collaborateur, qui n’avait pas nécessairement l’intention de frauder, soit, sur une longue période, par la réalisation de détournements de faible ampleur, mais qui finissent par chiffrer du fait d’opérations unitaires frauduleuses continues, qui pour leur part ont été conçues à dessein, en profitant de failles opérationnelles concrètes du système. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 7 ii) Les risques En termes de risques, on peut faire la distinction entre : • Les fraudes dont les clients de l’opérateur, institutions financières ou autre, sont les victimes. Celles‐ci peuvent être couvertes par un contrat d’assurance spécifique de « Fraude‐Détournement », positionné à leur niveau. Néanmoins, le corolaire à cette « protection », pour le cas où les fraudes et détournements seraient issus de l’organisation même de l’opérateur, il est nécessaire de prendre en compte les possibilités de recours à son encontre. • Les fraudes commises à l’égard des tiers, clients, affiliés et partenaires, pour lesquelles l’opérateur peut être jugé responsable, en raison des failles de son système d’information, du défaut de procédures internes n’ayant pu prévenir la réalisation d’une fraude, interne ou externe, ainsi que de l’insuffisance de contrôle opérationnel sur les collaborateurs fraudeurs. d) La gestion de crise Le rôle crucial qu’ont pris les systèmes d’information dans l’exercice des activités des clients de l’Opérateur exige une gestion optimisée de leurs dysfonctionnements et de se donner les moyens de résoudre les incidents dans les délais les plus courts. Le transfert des risques à un assureur requiert que lui soit laissé le pilotage de la mise en œuvre de la réparation des dommages dont il va assumer la charge financière. Néanmoins, les équipes de l’opérateur ne peuvent être écartées de la gestion d’un sinistre, celle‐ci étant à même d’accompagner l’expert désigné par l’assureur du fait de sa connaissance de l’architecture de ses systèmes d’information, de sa capacité d’identifier les hypothèses de dysfonctionnements, et les solutions pour y remédier et en prévenir la réitération. Sur le sujet des couvertures d’assurance touchant à la sécurité informatique, il est important de négocier, avant la prise d’effet du contrat d’assurance, un protocole de gestion de crise qui associe le « forensic » désigné par l’assuré et/ou l’assureur avec le RSSI de l’entreprise. Il est ici question d’inclure en pré-action l’assureur afin de négocier à l’avance sa participation financière au PRA/PCA avant toute démarche administrative de traitement d’un sinistre. 2. Les préjudices La réalisation des risques identifiés ci‐avant se traduit en termes financiers. Certains préjudices sont des pertes sèches, d’autres des manques à gagner, mais également des dépenses non productives. Il y a également des frais engagés par l’assuré de différentes natures (frais d’expertise, frais juridiques, frais de prévention, frais de remédiation, frais de communication…) Certaines pertes sont physiques, d’autres immatérielles, voire non quantifiables en termes financiers. Ainsi peut‐on distinguer les grandes catégories de préjudices suivantes, qui seront traitées par l’un ou l’autre des contrats d’assurance, Dommages/ Pertes d’exploitation ou Responsabilité Civile : • Les pertes subies par l’opérateur, d’une part, et les préjudices de toute nature supportés par des clients ou des partenaires qui devront être indemnisées par ce dernier, suite à réclamation du tiers, d’autre part, • Les dommages matériels (remplacement et réparation de l’outil informatique), d’une part, et les frais engagés pour remédier à un dommage (frais de reconstitution de données et frais de décontamination du système informatique….), d’autre part, LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 8 • Les frais engagés pour rétablir la disponibilité du système d’information, d’une part, et les pertes d’exploitation supportées par l’opérateur suite à un dysfonctionnement et/ou à l’indisponibilité du système d’information (mise en, place du PCA par exemple), • Les dépenses improductives (paiement du chômage technique) et les pertes de marge sur les activités concurrentielles, suite à survenance d’un évènement rendant indisponible le système d’information, • Les atteintes à la réputation. 3. Les contrats types d’assurance a) Le Contrat Tous Risques Informatiques En général, on retrouvera la garantie « Tous Risques Informatiques » (TRI) dans un contrat Dommages «TOUS RISQUES SAUF» mais qui ne prendra pas en compte les dommages d’origine immatérielle. Il intervient suite à dommage matériel tel incendie, explosion, dégât des eaux, dommages électriques,… i) Assurance du matériel informatique et bureautique Ce contrat garantit l’assuré sous réserve des seules exclusions figurant dans le contrat dommage «TOUS RISQUES SAUF», contre tous les dommages matériels, détériorations, destruction, pertes, altérations ou vol, de tous les matériels informatiques et bureautiques, ainsi que les matériels périphériques et logiciels qui y sont rattachés, les systèmes d’exploitation, les systèmes de climatisation, les installations d’alarme et de surveillance, lorsqu’ils se trouvent dans l’enceinte des locaux assurés, en cours de transport et chez les tiers. ii) Les extensions de garanties Les frais de reconstitution des informations L’assureur garantit le paiement des frais exposés par l’assuré pour : • Le remplacement de tous supports déjà porteur d’information employés par l’assuré dans le traitement de l’information, y compris dans les lieux de sauvegarde et en cours de transport, • La reconstitution des informations portées sur ces supports. L’indemnité est égale au coût réel du remplacement et de la reconstitution des informations. L’assuré bénéficie d’un délai maximum de deux ans pour justifier de la reconstitution des informations. Les assureurs sont tenus, sur la demande de l’assuré, de se libérer par acomptes au fur et à mesure des remplacements et reconstitutions sous réserve de justificatifs. Les frais de déblais Les frais nécessaires pour l’enlèvement des matériels, aménagements et accessoires, leur déplacement et/ou leur transport suite à un sinistre garanti. Les frais supplémentaires d’exploitation LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 9 L’assureur garantit le paiement des frais que l’assuré devra exposer d’un commun accord avec l’expert, pour pouvoir continuer le traitement des informations dans des conditions aussi proches que possible du fonctionnement normal, à la suite d’un sinistre garanti. On entend par frais supplémentaires, la différence entre le coût total de traitement informatique après sinistre et celui qui aurait été supporté pour effectuer les mêmes tâches durant la même période, si aucun sinistre n’était survenu. Le coût total de traitement comprend les frais de gestion habituels, ainsi que les frais spécialement engagés durant la période nécessaire pour recouvrer une situation de gestion identique à celle immédiatement antérieure au sinistre. Il est précisé que le matériel sinistré se trouvant à l’origine des frais supplémentaires doit faire l’objet d’un dommage matériel. Autres extensions Les frais générés pour la recharge et/ou le remplacement des systèmes de protection des biens objets de la présente garantie. La diversité des risques de l’opérateur liés à son activité et aux systèmes d’information génère une plus grande vulnérabilité. Outre les événements matériels, (incendie, inondations, etc…) couverts dans le contrat dommages « TOUS RISQUES SAUF », ce patrimoine informatique est aussi exposé à une atteinte aux données ou aux flux de données en l’absence de dommages matériels. C’est ce capital informatique qui est un élément immatériel et qui nécessite un traitement spécifique en matière d’analyse et de financement des risques par une couverture d’assurance appropriée. b) Le Contrat Dommages Immatériels Informatique Ce contrat est indépendant du contrat Tous Risques Informatiques (TRI) qui traite des atteintes matérielles aux équipements informatiques. Il vient compléter celui‐ci pour ce qui concerne les atteintes immatérielles aux données informatiques de l’entreprise. Le contrat Dommages Immatériels Informatiques couvre pour l’essentiel les frais engagés par l’assuré suite à la survenance d’un évènement garanti. Il peut être étendu pour garantir les pertes d’exploitation consécutives à la survenance d’un évènement garanti (sauf, en général, l’erreur humaine). Tandis que les garanties du contrat TRI étaient déclenchées par la survenance d’un évènement « matériel » (incendie, explosion, dommage électrique…), le contrat d’assurance Dommages Immatériels Informatiques intervient suite à introduction, altération, destruction des données consécutive à la survenance de l’un des évènements suivants : • Acte de malveillance interne et/ou externe, • Intrusion‐ hacking, • Contamination virale, • Déni de service, • Erreur humaine d’un collaborateur au niveau de l’exécution de prestations et de la saisie de données, voire sous certaines conditions de la programmation, ainsi que les erreurs d’exécution de prestataires ou sous‐traitants, • Panne ou dérangement des installations informatiques ou de télécommunication. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 10 Les frais indemnisés au titre du contrat Dommages Immatériels Informatiques sont généralement les suivants : • Les frais de reconstitution de données (les frais pour se procurer à nouveau les programmes, collecter les éléments d’information disponibles à partir des sauvegardes ou de tout autre support, et ressaisir les données), • Les frais de décontamination virale informatique, • Les frais supplémentaires d’exploitation (utilisation d’équipements extérieurs; mise en œuvre d’autres méthodes de travail ; sous‐traitance ; personnel supplémentaire), • Les honoraires des experts pour identifier l’origine et les circonstances d’un sinistre, en ce compris les couts d’investigation et d’enquête, • Les dépenses de relations publiques et de sauvegarde de l’image de marque, • Les frais de recours, • Les frais induits par l’utilisation non autorisée du système informatique. Certains assureurs peuvent y ajouter divers frais visant à prévenir la réitération d’un sinistre; l’assureur acceptant ainsi de prendre en compte certains frais engagés pour « améliorer » la prestation/ fonctionnalité défectueuse ou vulnérable, telles que frais de sauvegarde (backups), frais de secours informatique (plan de continuation d’activités), frais de sécurisation. Certaines extensions qui se situent à mi‐chemin entre les garanties Dommages et les garanties Responsabilité Civile peuvent être prévues, et en particulier la couverture des frais de notification engagés pour informer les clients d’une atteinte à leurs données personnelles. Le contrat peut aussi prévoir une couverture « Perte d’Exploitation » ; certains contrats allant même jusqu’à couvrir les pertes d’exploitation consécutives à l’incapacité d’exploiter le fichier clients, suite à la survenance d’un évènement garanti ou à son vol. Une extension « extorsion » peut également être souscrite, pour couvrir les menaces de groupes criminels de pirater, contaminer ou rendre indisponible (notamment par déni de service) le système informatique et/ou les sites web de l’entreprise. L’assureur couvre les frais de consultants en gestion de crise et en sécurité informatique, les dommages constitués par la réparation du site internet ou des programmes et données, et les pertes d’exploitation consécutives à l’arrêt du système ou du site. Certains assureurs couvrent également la rançon demandée par le maitre‐ chanteur (ce point doit être notamment abordé avec le responsable de la sécurité informatique au sujet d’attaques ciblées visant un déni de service contre rançon). c) Focus sur l’approche en termes de couverture « Responsabilité Civile » Un contrat de Responsabilité Civile Générale couvrira les conséquences pécuniaires, en cas de dommages subis par un tiers, du fait d’une erreur, négligences, omissions (faute professionnelle) commis par les préposés de l’opérateur dans l’exercice de leurs activités. Il peut couvrir les conséquences pécuniaires résultant d’une atteinte logique. Pour autant, il s’agit exclusivement de prendre en charge les conséquences pécuniaires des dommages subis par les tiers et l’analyse du sinistre (exemple : atteinte aux données personnelles confiées) se fera selon une analyse « RC » : • Intervention de l’assureur après réclamation écrite du tiers, • Garantie au titre des Dommages Immatériels Non Consécutifs, souvent très sous-limitée. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 11 En outre, un contrat de Responsabilité Civile ne couvrira pas les pertes subies par l’opérateur (couts engagés par ce dernier pour identifier les causes du dysfonctionnement de son système informatique et y remédier, notamment par sa décontamination ; les pertes d’exploitation supportées suite à l’incapacité de délivrer ses services à ses clients et de percevoir une marge bénéficiaire sur ceux-ci ? ...). Aujourd’hui, les Assureurs proposent, à moindre coût, une offre « packagée » permettant de transférer à l’Assureur l’ensemble du risque « informatique » : Réclamations à l’encontre de l’opérateur en cas : • De non-respect des lois et règlementations applicables en matière de protection des données personnelles et à la confidentialité , de toute atteinte au droit au nom, à l’image, à la voix, à l’intimité, et à la vie privée, à l’honneur et à la réputation, opérées par voie électronique ou non, en ce compris les opérations de hameçonnage, • De manquement de la part de l’opérateur à une obligation légale ou règlementaire de préservation de la sécurité et / ou de la confidentialité de données personnelles, • De divulgation d’informations confidentielles, en ce notamment compris les informations à caractère commerciale, • D’action civile intentée par une autorité administrative ou gouvernementale (type CNIL), • De transmission d’un virus et du fait de la négligence dans la mise en œuvre de toutes mesures appropriées destinées à prévenir l’utilisation de vos systèmes d’informations par des tiers à des fins d’attaque par déni de service. Cyber pertes de revenus : les pertes ou diminution substantielle de vos revenus internet en conséquence directe d’activités de tiers dont vous êtes la cible spécifique et qui bloquent intentionnellement l’accès à vos sites internet ou d’activités de cyber-pirate Prise en charge du montant de votre perte Prise en charge des frais de mesures correctives Prise en charge des frais additionnels (services d’une société de relation publique, services d’un consultant informatique, d’un consultant en sécurité logique, y compris les frais pour renforcer ladite sécurité). Cyber-Responsabilité : toute réclamation à l’encontre de l’Opérateur à raison du contenu de ses courriers électroniques, intranet, extranet ou sites internet, quand bien même ce contenu résulterait des faits d’un cyber-pirate (contrefaçon des droits d’auteur, de droits voisins, de marques, de dessins ou de modèles, du droit des producteurs de bases de données, allégations ou imputations de faits portant atteinte à l’honneur ou à la considération, à la vie privée et à la confidentialité) et les risques inhérents ou les dommages résultant de la transmission d’un virus Prise en charge de vos frais de défense Prise en charge des dommages et intérêts mis à votre charge Failles de Sécurité Informatique : Dommages immatériels à raison d’atteintes aux données personnelles détenues ou transmises, sous quelque forme ou sur quel que support que ce soit, par l’opérateur ou pour son compte (pertes ou vol desdites données) Prise en charge des frais d’expertise juridique et informatique, aux fins exclusives de confirmer la réalité des atteintes et d’identifier les individus affectés Prise en charge des frais liés à l’identification, à la rédaction des obligations de notification et à la notification des atteintes aux individus. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 12 Cyber-extorsion : menaces de tiers d’endommager, détruire et/ou corrompre votre site internet, intranet, réseau ou système informatique au moyen de l’introduction d’un virus, menaces de diffuser, divulguer et/ou utiliser des informations confidentielles de nature commerciale, posant comme condition de ne pas les exécuter en contrepartie d’une rançon Prise en charge de la rançon et des frais additionnels en résultant Cyber-Pirate : actes d’un cyber-pirate ayant consisté à endommager, détruire, modifier ou corrompre et/ou détourner l’utilisation de votre site internet, intranet, réseau ou système informatique, à copier et/ou voler un programme, un fichier ou des données que vous conservez Prise en charge des mesures correctives (remplacement et/ou réparation de votre site internet, intranet, réseau ou système informatique, programmes, fichiers ou données que vous conservez sous forme électronique et de remise de ceux-ci en l’état dans lequel ils étaient préalablement à leur endommagement, destruction, modification) et prise en charge des frais additionnels en résultant. LIVRE BLANC : LES CYBER RISQUES – JUIN 2015 13 NOTRE MÉTIER Leyton propose des expertises dédiées à l’optimisation des charges sociales, fiscales, du financement de l’innovation et des achats. Leyton vous accompagne également avec des prestations de conseil, de formations et de services adaptées à vos besoins. NOS CHIFFRES CLÉS 18 années d’expériences 60 M€ de chiffre d’affaires 500 collaborateurs 4200 clients 8 bureaux en France et 7 à l’international Pour plus d’informations sur notre offre, consultez notre site internet : www.leyton.com SIÈGE SOCIAL PARIS 146 bureaux de la Colline - 92213 Saint-Cloud Cedex Tél. : 01 55 39 11 00 Fax : 01 55 39 11 11 PARIS | LYON | TOULOUSE | MONTPELLIER | SOPHIA Ou contactez-nous : [email protected] ANTIPOLIS LONDRES | DUBLIN | BRUXELLES | CASABLANCA | MONTRÉAL | MONACO | STRASBOURG | NANTES | LILLE