La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cyber risks et e-réputation

Publié parBastien Verrier Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Cyber risks et e-réputation"— Transcription de la présentation:

1 Cyber risks et e-réputation
Séminaire Innovation Bertrand De Battista Frédéric Coppin Anne de Guigné Nicolas Gomart Christophe Guirten Marc Lesieur CHEA – le 05 Septembre 2013

2 Sommaire I – Les cyber-risques, l’e-réputation et leur évolution
- Atteintes aux données - E-réputation - Autres  Vu - Par les entreprises - Par les particuliers II - Les réponses actuelles pour les Risk Managers Les cyber-risques : quelles solutions internes, quelle réponse des assureurs ? Quel avenir pour les assureurs ? l’e-réputation : quels risques pour l’entreprise et comment s’y protéger ? Des solutions internes et des alternatives d’assureurs. III - Témoignage M Eric Lemaire, Directeur de la Communication et de la Responsabilité d’Entreprise d’Axa France

3 en plus exposés aux cyber-risques …
Nous sommes de plus en plus exposés aux cyber-risques … 5 milliards d’appareils connectés et accessibles via internet en 2013, 31 milliards en 2020 Le Wi-fi, les réseaux sociaux, le BYOD, le cloud computing… Le volume de données stockées augmente de 62% annuellement et Or moins de 20% de ces données auraient fait l’objet de protections

4 Chaque jour 1,5M de personnes sont hackées soit 18 par seconde
110 milliards US$ : coût annuel de la cybercriminalité dans le monde . En France 2,5 milliards d’euros de pertes pour les entreprises 90% des entreprises américaines ont été piratées au cours des 12 derniers mois. 83% des internautes chinois ont été victimes de cybercrimes

5 Pourquoi le cyber-risque nous intéresse-t-il en tant qu’assureurs / courtiers
Jusqu’à présent une couverture « par défaut » des cyber-risques Un transfert des polices généralistes vers les polices cyber? Des entreprises encore sceptiques face à ces polices spécialisées

6 1. Risques liés à la sécurité du réseau internet
Pertes ou dommages des biens numériques. Violation de la confidentialité des données. Indisponibilité du réseau informatique et destruction matérielle. Prise de contrôle de processus informatiques.

7 L’électrochoc du double piratage de Sony : près de 100 millions de comptes utilisateurs
Double attaque sur le réseau de jeu en ligne et le service de musique et vidéo à la demande de Sony Conséquences dramatiques : sites inaccessibles, données personnelles de millions d’utilisateurs dérobées, dont 2.2 millions de données de cartes bancaires, service interrompu pendant plus d’un mois, pertes estimées à environ 122 millions d’euros, poursuites judiciaires… Pourquoi ? Sony utilisait des versions obsolètes de logiciels, et ses serveurs n’étaient pas protégés par un pare-feu

8 2. Risques liés aux contenus présents sur le réseau internet : l’e-réputation
Les risques médiatiques pour l’entreprise Les atteintes informationnelles  Les atteintes touchant à l’identité de l’entreprise  Les atteintes d’ordre technique  Les risques pour l’individu Des risques nombreux Le droit à l’oubli

9 Findus et la viande de cheval : une multiplication d’erreurs
Février 2013 : Findus révèle que ses lasagnes surgelés contiennent de la viande de cheval Présence sur le Net minime : twitter ou facebook très peu actifs. Communication sur l’affaire uniquement dans un question/réponse Une volonté systématique d’effacer les commentaires des Internautes, pas de dialogue Violent retour de bâton : le scandale devient « l’affaire Findus »

10 Les réponses actuelles pour les Risks Managers

11 Organisation des entreprises face aux cyber risques
Une nécessaire prise de conscience et une future obligation légale Protection Prévention, contrôle et réparation Transfert du risque résiduel

12 Une nécessaire prise de conscience
« Il n’existe que deux types d’entreprises, celles qui ont été piratées et celles qui le seront. » Robert Mueller, Directeur du FBI, mars 2012  Identification des personnes impliquées Cartographie des risques « first-party risks » : Déni de service Vol ou fuite de données Risques de réputation Fraude (non spécifique aux cyber risques) Distinction risques externes et internes « third-party risks » : responsabilité

13 Une nécessaire prise de conscience
3.Analyse des contrôles existants Pertinents ? Suffisants ? Complets ? 4. Le tout dans le cadre d’une politique générale de sécurité à définir au plus haut niveau de l’entreprise selon son « appétit pour le risque »

14 Protection 1 - Déni de service: destruction, dégradation
Distinction sécurité physique et sécurité système Protection des accès : Physique: sécurité d’accès aux locaux Système: plusieurs couches de sécurité : antivirus, antispam, antibot, etc . , sur réseaux et postes de travail individuels, agissant en coupe circuit ou en parallèle Protection face aux risques liés au web 2.0 (applications P2P: partages de fichiers) : contrôle et application de règles de sécurité (blocage d’applications ou fonctionnalités), sensibilisation au moment de l’accès aux applications et demande de justification

15 Protection 2 - Vol ou fuite de données
Risque principal : équipements mobiles des collaborateurs Protection: mots de passe (complexité, renouvellement), chiffrage, non-stockage sur disque local, contrôle supports amovibles (clé USB) Détection des données protégées avant qu’elles ne quittent l’entreprise (solutions « prévention des pertes de données » (DLP)) Cohérence accès réseau et équipements mobiles / présence dans l’entreprise Contrôle des postes de travail et des imprimantes

16 Prévention, contrôle et réparation
Sensibilisation des utilisateurs Charte d’usage et de bonnes pratiques Éducation et formation sur les comportements à risque. Contrôles et suivi Associés à la cartographie des risques Automatisés et aléatoires Exemples de contrôles: tests d’intrusion, d’usurpation d’identité, « ethical hacking », etc. Monitoring sécurité informatique: revue et régularisation des comptes à privilèges élevés, suivi et gestion des événements de sécurité Normalisation Réparation Plans de reprise et/ou de continuité d’activité Plan de secours informatique

17 Transfert du risque résiduel
Identification des risques non ou partiellement couverts Confrontation avec l’offre du marché de produits d’assurance contre les cyber risques Décision de transfert ou amélioration du dispositif de contrôle interne. Maintien de l’effort de veille sur les risques et les technologies et mise à jour régulière de la cartographie et des contrôles Et toujours en cohérence avec la politique de sécurité choisie par l’entreprise

18 Les solutions assurantielles pour les entreprises
Cyber-risques

19 Ace - Dataguard Descriptif
Ce produit permet d’accompagner l’entreprise dans ses actions préventives. En effet, couverture très large, avec une indemnisation optimale, qui tient compte de la nature et de l’ampleur des sinistres. Ce produit combine des garanties de Dommages et de Responsabilité civile. Trois garanties peuvent être également actionnées, même en l’absence de réclamation, pour accompagner l’Assuré: • dans ses investigations, • dans ses relations avec la CNIL, • dans la notification aux tiers. Les garanties proposées Dommages matériels Garantie Tous Risques Sauf couvrant les dommages aux ordinateurs et équipements annexes sous contrat de maintenance informatique Frais de reconstitution des données Frais supplémentaires d'exploitation Pertes d'exploitation consécutives Erreurs et accidents Frais de reconstitution Frais supplémentaires d'exploitation Pertes d'exploitation consécutives Carence des fournisseurs Actes de malveillance Sabotage et vandalisme des systèmes Fraude commise par tout moyen, y compris informatique (contrat DATA PROTECTOR) Virus Frais de reconstitution des données Frais supplémentaires d'exploitation Pertes d'exploitation ou perte d'activité bancaire consécutives Carence des fournisseurs Dépenses engagées pour restaurer l'image de la marque Préjudices liés à une divulgation de données confidentielles (contrat DATA RISKS PROTECTION) Pénalités

20 Hiscox – Data Risks Descriptif
Avantages Un accompagnement avant et après souscription pour prévenir et sensibiliser les entreprises face aux risques liés à la gestion des données: - audit possible de la sécurité informatique de l’entreprise - accès gratuit à notre solution d’information globale sur la protection des données personnelles via notre portail de ressources dédié (Hiscox eRisk HubTM) Engagement de services avec la mise en œuvre de la réponse à incident dans les 48 heures en cas de perte ou violation de données.  Une prise en charge immédiate par des experts informatiques pour arrêter l’intrusion dans les systèmes de sécurité. Une prise en charge immédiate par des spécialistes (avocats, agence de communication de crise, call center) pour gérer les conséquences financières et sur votre réputation : - frais de notification, de veille et de remise en service des systèmes informatiques - perte de chiffres d’affaires - frais de négociation en cas d’extorsion Une prise en charge des réclamations de tiers ou des autorités administratives au titre de la responsabilité civile de l’entreprise en cas de perte ou violation de données : - frais de défense, y compris devant un tribunal pénal - dommages et intérêts Une police d’assurance flexible et adaptable aux besoins de l’activité de l’entreprise. Descriptif Ce contrat est une offre globale de services, qui s’appuie sur un réseau d’experts mis à la disposition des entreprises destinés à les protéger contre les risques liés à l’intégrité de leurs système d’information, de leurs données personnelles et ou sensibles Cible Toutes entreprises responsables du traitement de données à caractère personnel (e-commerce, distribution, hôtellerie, santé, restauration) Toutes les tailles d’entreprises de la PME aux grands comptes Hors cible Institutions bancaires Sociétés de jeux en ligne

21 Aig - Cyber Edge Descriptif
Les garanties proposées Les responsabilités liées aux données => conséquences financières de perte ou de détournement de données de clients ou d‘employés. La gestion de crise et l’assistance => frais de consultants permettant de minimiser et de mettre fin à un cyber-incident (sont compris : les frais d’expert informatique pour sécuriser votre réseau, les coûts de notification et de surveillance associés à une atteinte à la protection des données et les frais de consultant en relations publiques suite à une atteinte à la réputation des dirigeants et/ou de la société) Les enquêtes administratives => frais liés à une enquête administrative ainsi que les sanctions prononcées suite à une violation de la réglementation relative à la protection des données personnelles. La restauration des données électroniques => coûts de récupération, de recollecte ou de reconstitution des données après une fuite ou une atteinte à la sécurité des données. L’interruption du réseau (En option) => perte de profit net résultant d’une interruption matérielle du réseau assuré après une attaque de déni de service ou une atteinte à la sécurité du réseau. La responsabilité multimédia (En option) => dommages et frais de défense engagés en raison d’une violation des droits de propriété intellectuelle de tiers ou d’une négligence relative aux contenus électroniques; La cyber-extorsion (En option) => paiement de rançons à des tiers qui menacent de divulguer des informations confidentielles piratées via votre réseau. Descriptif Le nouveau produit CyberEdge offre une solution aux diverses conséquences des cyber-risques. Les fuites et les pertes de données peuvent entraîner des sanctions réglementaires, entacher gravement l’image de l’entreprise et remettre en cause sa pérennité. Conscient de l’effet domino d’une cyber-crise, AIG propose une couverture d’assurance intégrant le conseil de spécialistes. CyberEdge couvre les principaux risques liés aux atteintes à la sécurité d’un réseau mais offre également les services de spécialistes afin d’aider les assurés à prendre les meilleures décisions en cas de crise. La plupart des entreprises ne sont pas assurées spécifiquement contre les cyber-risques.

22 Quel avenir pour les offres assureurs ?

23 Protection

24 Warren Buffet : « It takes twenty years to build a reputation and five minutes to destroy it ».
Le sens et la puissance de l’e-réputation consistent en effet à servir le développement de parts de marché, l’accompagnement de nouveaux produits ou services, la conception d’offres en phase avec des conversations analysées et évaluées. À condition de passer de l’observation à l’action.

25 Démarche de Risk-Management
Analyse des risques liés à l’e-réputation Définition des orientations de politique de gestion de l’e- réputation Toutes les entreprises ne sont pas toutes égales au risque d’e- réputation

26 Une mutation des rôles des parties prenantes
7 familles de risques numériques 1. Stratégique 2. Ethique et juridique 3. Lié au contrôle des SI 4. Lié aux RH 5. Marketing 6. Lié à la dématérialisation des rapports humains 7. Périphérique

27 Veille interne ou ST et outils type Digimind
Equipe Communication et Community Management Stratégie de communication Collective (e-réputation, top réputation) et individuelle (console d’engagement) Plateforme PCA / SI

28 La gestion du Workflow par le Community Manager
Console d’engagement Digimind : un lieu unique pour engager la discussion avec les internautes via les différents comptes sociaux à disposition de l’entreprise

29 La gestion de « l’e-réputation de flux » et la « top réputation »

30 Stratégie juridique Sensibilisation interne

31 Stratégie de communication Collective (e-réputation, top réputation)
Sensibilisation interne

32 Les solutions assurantielles pour le particulier
Protection Juridique spécialisée

33 Analyse offre particuliers

34 Analyse offre particuliers
Le marché du particulier entre contrat dédié optionnel peu vendu Coût trop élevé pour des garanties complètes Risque d’antisélection Inclusion dans des contrats de Protection Juridique Risque de dilution des garanties Risque d’insuffisance de garanties La solution résiderait-elle dans l’Assurance affinitaire liée aux produits nomades ?

35 Les solutions Assurantielles :
Une solution ‘Care & Cure’ pour les entreprises: e-réputation

36 Organisation de solution ‘assuristance’ de type ‘care & cure’
AUDIT E-Reput. + Crise CARE Veille e-Réputation (module optionnel) CURE Gestion de crise (incl. Crise e-Réputation) assisteur assureur Possibilité d’inclure l’audit de e-réputation dans l’évaluation du risque par Generali ? ALERTE assureur Entreprise

37 Les solutions assurance-assistance-prévoyance pour les entreprises
Les garanties « Gestion de la Crise » spécialisées e-réputation combinant assurance, assistance et protection juridique ASSISTANCE  Via le consulting d’experts en gestion de crise (prise en charge limitée en nombre d’heures) qui mettra en œuvre l’intervention d’un prestataire spécialisé qui mettra à la disposition de l’entreprise ses ressources spécialisées en community management et/ou en content management L’intervention du réseau de prestataires spécialisés Gestion de crise selon la nature de la crise à traiter (médias off line, accident,…) PROTECTION JURIDIQUE  Via la prise en charge du volet juridique si nécessaire ASSURANCE  Via une éventuelle indemnisation en pertes pécuniaires

38 Intervention d’Eric LEMAIRE, Directeur de la communication et de la responsabilité d’Entreprise d’Axa France.

Télécharger ppt "Cyber risks et e-réputation"

Présentations similaires

Directrice C0mmerciale

Directrice C0mmerciale
Le Groupe  ses ACTIVITES :

Le Groupe  ses ACTIVITES :
Animation et modération de votre réputation numérique Web 2.0 / Réseaux sociaux, pourquoi ? Propriété de Tinkuy SARL – Oct. 2010 - Reproduction Interdite.

Animation et modération de votre réputation numérique Web 2.0 / Réseaux sociaux, pourquoi ? Propriété de Tinkuy SARL – Oct Reproduction Interdite.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
Simulation de management Principes d’une simulation de gestion

Simulation de management Principes d’une simulation de gestion
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
La politique de Sécurité

La politique de Sécurité
Les réseaux informatiques

Les réseaux informatiques
Journée détude régionale du 23 mai 2008 - Lévaluation interne des établissements et services sociaux et médico-sociaux : Où en sommes-nous ? 1 Résultats.

Journée détude régionale du 23 mai Lévaluation interne des établissements et services sociaux et médico-sociaux : Où en sommes-nous ? 1 Résultats.
LE DOCUMENT UNIQUE DE DELEGATION

LE DOCUMENT UNIQUE DE DELEGATION
AXES OBJECTIFS MESURES

AXES OBJECTIFS MESURES
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.

MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.
Réunion des responsables de section du 03/04/2009.

Réunion des responsables de section du 03/04/2009.
Protégez votre auto-entreprise grâce à lassurance Responsabilité Civile Professionnelle.

Protégez votre auto-entreprise grâce à lassurance Responsabilité Civile Professionnelle.
PARTENAIRE SECURITE - 2 Avenue Aristide Briand 92220 Bagneux Tél : 01 58 07 01 01 Fax : 01 58 07 01 00 Lexternalisation de lopérationnel de votre Sécurité

PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
L ’ASSURANCE-PROSPECTION

L ’ASSURANCE-PROSPECTION
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.

Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.
Groupe de travail Veille collective

Groupe de travail Veille collective

Présentations similaires

Annonces Google