• kraken-assurance.com

Le cyber risque en 2020 : de l’urgence de protéger son entreprise contre les cyberattaques

Mis à jour : août 11

Les cyberattaques sont, en 2020, au cœur de l’actualité et les demandes de rançon de la part d’hackers ne sont plus anecdotiques.

D’ailleurs en 2019, 23 % des demandes auprès de la plateforme cybermalveillance.gouv.fr provenaient de pratiques d’hameçonnage (*).

Pendant les derniers mois de confinement liés au coronavirus, les réseaux de cybercriminels ont profités de la pandémie COVID-19 et se sont attaqués à des milliers d’entreprises.

cyberattaque MMA ASSURANCES

En 2020, aucune entreprise ne peut, donc, ignorer l’enjeu des cyberattaques. Ce phenomene touche toutes les entreprises, qu’elles soient de petites tailles ou plus internationales. Parmi, les derniers exemples de cybercriminalité, on trouve la cyberattaque WhatsApp, la cyberattaque Facebook, la cyberattaque Twitter ou la plus récente, en juillet 2020, la cyberattaque MMA assurances.

Lire l’article des ECHOS du 27 juillet 2020

« L’assureur MMA assurances victime d’une cyberattaque »

Le mutualiste a annoncé que certains de ses services et son site Internet rencontraient des difficultés à la suite d'une « tentative d'acte malveillant ». « MMA a subi une tentative d'acte malveillant qui a nécessité l'arrêt des systèmes informatiques à titre conservatoire, entraînant des difficultés d'accessibilité sur le site mma.fr et sur l'ensemble de ses services de gestion », indiquait, lundi, sur le réseau social LinkedIn, l'assureur acteur important du marché des professionnels et des entreprises.

https://www.lesechos.fr/finance-marches/banque-assurances/lassureur-mma-victime-dune-cyberattaque-1225006

Plan

1. Le bilan du cyber risque en 2020

2. Télétravail et cybersécurité

3. Comprendre le malware et la ransomware

4. Comprendre « la fraude au président » ou « l’arnaque au président »

5. Comment lutter contre la cyberattaque en entreprise

6. L’importance de souscrire une assurance cyber risque et cybersécurité

1. Le bilan du cyber risque en 2020

Les analystes tirent un premier constat du cyber risques et des cyberattaques : les entreprises perdent beaucoup plus en 2020.

En effet, depuis deux ans, on note que le coût des actes de cybercriminalité est beaucoup plus important mais avec une fréquence en baisse. On le constate chaque année, la cybercriminalité devient plus organisée et plus puissante.

Le cyber risques en chiffres :

  • Le total des pertes des entreprises touchées par les cybers attaques s’élèvent à 1,6 milliards d’€ (contre 1,1 milliards d’€ en 2019).

  • L’impact financier du cyber risque a été multiplié par 5,5 en 4 ans.

  • Le cout médian d’une cyber attaque est de 50 000 € en 2020.

  • La perte financière la plus importante a été subie par une entreprise financière Britannique avec un impact financier de 80 millions d’€.

  • Les conséquences sur la clientèle d’une entreprise suite à une cyberattaque se sont agravées. Plus de 20 % des entreprises déclarent avoir eu des problèmes plus importants pour attirer les clients après une cyberattaque.

2. Télétravail et cybersécurité

La période de confinement COVID-19 a entrainé une montée en puissance du télétravail en 2020 et on n’a pu constater pendant cette période l’énorme succès des plates formes de conférences téléphoniques, comme ZOOM ou Microsoft Teams.

Les hackers ont profités de cette période pour attaquer les systèmes à distance de ces entreprises. Le niveau de protection des systemes informatiques a diminué. On a noté une augmentation de 34% des attaques par les cybercriminels en juin 2020.

3. Comprendre le malware et la ransomware (cyber risques définition)

· Qu’est-ce qu’un malware ? :

Le malware est un logiciel malveillant, intrusif qui a pour objectif d’endommager les ordinateurs de l’entreprise, mais aussi les tablettes ou les appareils mobiles. Ces logiciels malveillants agissent comme un virus de la grippe dans les systèmes internes.

Dans d’autres cas, les malwares peuvent voler ou supprimer les données de l’entreprise.

A ce sujet, nous vous conseillons l’article d’Oracle sur les malwares

https://www.oracle.com/fr/cloud/malware-logiciel-malveillant.html#:~:text=Un%20malware%2C%20ou%20logiciels%20malveillants,%2C%20adware%2C%20scareware%2C%20etc.

· Qu’est-ce qu’un ransomware ou cyberattaque rançon ? :

Le ransomware est un logiciel malveillant qui attaque les systèmes informatiques d’une entreprise (le malware) et qui affiche une demande de versement d’une rançon financière pour que le système informatique de l’entreprise et que les ordinateurs puissent fonctionner à nouveau.

En savoir plus avec un article intéressant sur le phénomène de ransomware sur Wikipédia : https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel

· Conseil cyber attaque : Il est important d’avoir une bonne détection du malware avant qu’il ne se transforme en ransomware. C’est pourquoi, le risque cyber sécurité ne doit pas être négligé au plus niveau de l’entreprise.

En principe, il y a deux phases :

  • Une infection initiale : dans cette phase, les pirates recherchent des éléments ayant une valeur afin d’évaluer la taille de la cible cyber-risque qui va leur permettre de déterminer le montant de la rançon à demander à l’entreprise.

  • Un blocage du site avec une demande de rançon à l’entreprise.

Il est donc important pour l’entreprise de disposer de bonnes capacités de détection afin d’arrêter une cyber-attaque avant le déclenchement de la seconde phase.

Aller plus loin avec la vidéo YouTube sur les enjeux du big data autour du cyber risques (Vidéo YouTube de#tendancedroit et LexisNexis) : https://youtu.be/JWzp-WsfVsk

4. Comprendre « la fraude au président » ou « l’arnaque au président »

« La fraude au président » se perfectionne chaque année. Il s’agit pour les personnes malveillantes de se faire passer auprès des collaborateurs pour un dirigeant et de demander de réaliser un transfert en urgence vers un nouveau compte. Le plus souvent à l’étranger.

Les méthodes se perfectionnent avec une parfaite imitation des voix des dirigeants.

· Comment se prémunir contre le phénomène de « la fraude au président »

  • Il faut dans un premier temps informer l’ensemble des salariés de l’entreprise de l’importance de ne pas divulguer d’informations concernant le fonctionnement de l’entreprise, en particulier sur les réseaux sociaux.

  • Informer et sensibiliser les collaborateurs de ce type d’escroquerie et porter l’attention pendant les vacances, les jours fériés et les veilles de week-end.

  • Mettre en place des procédures de doubles vérifications, en particulier pour les virements internationaux et une procédure d’escalade en fonction des montants des transferts.

  • Et bien entendu, mettre à jour la sécurité informatique de l’entreprise

Comprendre la technique de la fraude au président

5. Comment lutter contre la cyberattaque en entreprise

On a relevé 6 phases importantes à mettre en place pour lutter contre les cyberattaques en entreprise.

5.1. Votre entreprise doit établir un process

Le process cyber attaque informatique de l’US National Institute of Standards and Technology des Etats Unis (NIST) est intéressant à étudier. A ce propos, le NIST a élaboré une liste de bonnes pratiques avec 5 impératifs :

  1. Identifier le risque cyber avec un audit.

  2. Protéger les systèmes informatiques et les données de l’entreprise : renforcement des protections.

  3. Détecter le plus tôt possible une cyberattaque informatique : informations sensibles d’intrusions dans les systèmes informatiques.

  4. Répondre à une cyber attaque par un process en interne et une réponse immédiate.

  5. Récupérer après une intrusion malveillante : mise en œuvre d’une cellule de crise, d’une communication de crise et d’un accompagnement autour de la résilience au sein de l’entreprise.

les bonnes pratiques du NIST cyber risque

A lire, l’article sur l’approche de la NIST et du cyber risque

https://blogrisqueetsecurite.beijaflore.com/2018/10/04/nist-cybersecurity-framework/

5.2. Identifier tous les appareils connectés et les différentes bases de données de l’entreprise

Chaque appareil doit être répertorié et un plan de sauvegarde de données doit être mis en place.

L’entreprise doit se prémunir des intrusions malveillantes (cyber attaques) et utiliser des outils de gestion des e-mails. Ces outils doivent permettre d’empêcher les spymails (**) et les attaques de phishing (***) de toucher les boites de réception des messageries de l’entreprise.

5.3. Pas de lutte contre les cyberattaques sans budget conséquent

L’entreprise doit investir dans la protection de ses données et doit mettre en place une organisation autour de la cybersécurité :

· un ou plusieurs responsables identifiés.

· une formation des équipes concernées.

· une sensibilisation du personnel dans son ensemble.

· un process interne disponible.

Il est impératif pour les entreprises et les services RH de former les collaborateurs d’une entreprise aux enjeux des cyberattaques.

5.4. L’acteur N°1 de la lutte contre la cyber criminalité : la Direction d’une entreprise

La cybersecurité doit être une priorité des dirigeants de PME. Les actions autour du cyber risque doivent être inscrites dans les plans stratégiques de l’entreprise.

5.5. Crash-test cyber risque et résilience

Les entreprises doivent réaliser des tests grandeur nature et se préparer au risque d’une cyber attaque.

En amont également, l’entreprise doit réfléchir à une communication cybersécurité, à destination des clients et des collaborateurs : Avec un plan de communication, par exemple.

Le MEDEF a mis en place un crash-test cybersécurité autour de 18 questions.

Crash-test MEDEF (****)

6

assurance cyber risques

. L’importance de souscrire une assurance cyber risques

L’entreprise doit se protéger et protéger ses actifs en souscrivant une cyber risques assurance. Cette assurance cyber risques prendra en charge les éventuels coûts financiers touchant l’entreprise suite à une cyber attaque.

· Pourquoi souscrire une assurance cyber risques ?

  • Pour se protéger financièrement.

  • Pour s’appuyer sur l’expertise spécialisée dans les moments cruciaux.

  • Pour auditer vos systèmes informatiques contre les cyberattaques.

  • Pour mettre en place une communication de crise.

Et au final, pour aider les entreprises à se remettre en route le plus rapidement possible après une cyberattaque.

Les contrats d’assurances professionnels, comme le contrat tous risques informatiques, couvrent les matériels mais couvrent rarement les conséquences financières dues à un acte de malveillance, un virus ou une cyberattaque. Pourtant ces attaques peuvent compromettre l’activité même de l’entreprise et entraîner des coûts financiers importants (Ordonnance du 24/08/2011, ci-dessous).

· L’impact de l’ordonnance du 24 aout 2011 en cas de cyberattaque

L’ordonnance du 24 aout 2011 oblige les FAI (fournisseurs d’accès à internet) d’informer la CNIL (Commission Nationale de l’Informatique et des Libertés) et les abonnés au service de toute violation de données.

Mais depuis 2011, cette ordonnance a été étendue à toutes les entreprises qui ont, traitent et exploitent des données personnelles et bancaires. On le voit, l’ordonnance du 24 aout 2011 touche un nombre très important d’entreprises.

Cette obligation est accompagnée d’un coût financier particulièrement lourd. En effet, le montant d’une notification est estimé à 130 € par donnée. Par exemple, un hôtel subit un vol de ses données clients qui touche 1 000 clients, cela coutera 130 000 € à l’entreprise. Faites le calcul pour les données de votre entreprise.

Pour aller plus loin : lien complet de l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024502658&categorieLien=id

Avec l’ordonnance du 24 aout 2011 sur le cyber risque un certain nombre d’actions à mettre en œuvre pèse sur les entreprises :

  • Notification à la CNIL d’une violation des données et information de mesures prises.

  • Mise en place d’une mesure de chiffrement concernant les clés USB, les ordinateurs portables et l’utilisation de disques durs.

  • Mise en place d’un registre de violations des données au sein de l’entreprise.

  • Elaboration d’une procédure d’alerte avec la mise en place de mesures à court et moyen terme afin d’éviter les atteintes aux données personnelles (cyber attaques).

  • Mise en place d’une procédure de notification des clients de l’entreprise : courriers types, engagement d’un call center, …

· Comment souscrire une assurance cybersécurité ?

Kraken assurance encourage la souscription d’une police de cyber assurance avec des garanties cyber risques spécifiques.

Kraken assurance vous propose son réseau de spécialistes en mesure de répondre à l’ensemble de vos besoins avec une approche 360° de la cybersécurité :

  • Audit cyber risques : Spécialistes de l’audit de vos systèmes informatiques et de protection de vos données.

  • Assurance cyber risques : Réseau d’assureurs spécialisés cyber risques sur toute la France.

  • Formation cyber risques : Organismes de formation spécialistes de la cybersécurité.

  • Communication de crise et attachés de presse cybersécurité : Spécialistes de la gestion de crise et de la communication en cas de cyberattaque.

Kraken assurance vous aide à protéger votre entreprise pour faire face aux conséquences d’une cyber attaque

  • Je cherche un conseil sur la cyber sécurité pour mon entreprise.

  • Je souhaite un rappel ou un rendez-vous pour étudier mon risque cyber.

  • Je souhaite un devis assurance cyber risques.

  • Je cherche un assureur cyber risque pour mon entreprise : trouver un courtier d’assurance spécialisé cyber risque, trouver un agent général d’assurance spécialisé en assurance cyber risque.

(*) Hameçonnage : L’hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc.

(**) Spymail : Le spymail est un spyware ou encore un dispositif logiciel d’espionnage. Cela consiste, par exemple à espionner des dossiers d’un avocat, d’un homme politique ou d’un journaliste. On se souvient tous du feuilleton Snowden (Edward Snowden, lanceur d'alerte et informaticien de la CIA et de la NSA. En 2013, il a révélé l'existence de plusieurs programmes américains et britanniques qu’il a rendus public via les médias.

(***) Pishing : Le pishing est une technique de cyberattaque et de cyber criminalité qui « utilise la fraude, la supercherie ou la tromperie pour vous inciter à divulguer des informations personnelles sensibles. » Source Avast.fr https://www.avast.com/fr-fr/c-phishing

(****) Test cybersécurité MEDEF : Ce test a été réalisé en collaboration avec la Fédération Bancaire Française, la Fédération Française de l'Assurance, la Fédération Française du Bâtiment, la Fédération des industries électriques, électroniques et de communication, Syntec numérique, l’Observatoire de la Sécurité des Systèmes d'Information et des Réseaux, le Club des Experts de la Sécurité de l'Information et du Numérique et Cyberzen.

il s'agit du logo de kraken-assurance