Archives mensuelles : novembre 2013

Mise en ligne des présentations du Petit Déjeuner du CARM du 19 novembre 2013

CARMPetit-déjeuner du 19 Novembre 2013 : « Le nouveau cyberespace -De l’anticipation des risques à l’indemnisation »

Les interventions de :

  • Jean-Laurent SANTONI, Président de CLEVERCOURTAGE et Directeur de PROVADYS
  • Patrick POUILLOT, Senior Underwriter, Special Enterprise Risks, MUNICH RE

au Petit Déjeuner du CARM du 19 novembre 2013 sur les thèmes :

  • Cyber risques et données numériques, de quoi parle-t-on ?
  • Cybercriminalité et atteinte aux systèmes d’information
  • Analyser et financer les risques – Un défi pour les assureurs

Sont en ligne ici :

http://lecarm.com/wp-content/uploads/2013/11/CARM-pdj-19nov13-Cyber-Risques-JLS.pdf

http://lecarm.com/wp-content/uploads/2013/11/CARM-pdj-19nov13-Cyber-Risques-PP.pdf

 




3ème Forum Européen de lutte contre la fraude – 28 novembre 2013 à Paris

 

logo-FELCF-3Le 3e Forum Européen de lutte contre la fraude se tiendra le 28 novembre 2013 à l’hôtel Potocki – 27, avenue Friedland – Paris VIIIe

Inscription sur http://www.reso-club.com/forum2013/inscription.php et programme sur http://www.reso-club.com/forum2013/programme.php

Organisé par l’Association du RESO-CLUB EFP dont Jean-Laurent Santoni est membre du conseil d’administration, ce Forum a pour objet de renforcer les échanges, les synergies et les collaborations entre tous les acteurs économiques et publics dans le domaine de la prévention et de la lutte contre la fraude. La présence de Madame Taubira, Garde des Sceaux, Ministre de la Justice, celle de Monsieur Valls, Ministre de l’Intérieur, ainsi que celle de Monsieur Alain Bauer, criminologue ainsi que celle de nombreux intervenants experts indiquent que la fraude dont la fraude identitaire se situe à un haut niveau du positionnement de la hiérarchie des questions sociétales. Ce 3ème Forum est placé sous l’égide et le soutien de la Commission Européenne, la Chambre de Commerce et d’Industrie de Région Paris Ile-de-France ainsi que Enterprise Europe Network de Paris.

Reso-Club EFP se donne pour mission première de servir de relais entre les entreprises et les pouvoirs publics afin de les alerter sur les fraudes dont la fraude identitaire qui touchent tout autant les entreprises que les particuliers.  Elle se mobilise également auprès des entreprises privées pour les sensibiliser aux enjeux et règlementations en vigueur ; notamment aux risques du non-respect des procédures relatives à la conformité et au KYC (Know Your Customer).

Jean-Laurent Santoni animera l’Atelier 6 dont le thème est : L’identité numérique, un enjeu pour les acteurs économiques (opportunités versus risques). Quatre experts apporteront leur concours et leur éclairage aux différentes dimensions entourant cet enjeu :

–          La gouvernance des opportunités et des risques liés à l’identité numérique : intervention par Jean Marc Rietsch, Président de FedISA Europe. On retrouvera l’idée directrice que l’identité numérique est la clé d’entrée dans l’environnement dématérialisé, garantissant aux acteurs économiques qu’ils échangent ou contractent avec la bonne personne, que cette personne dispose de la capacité juridique et financière à contracter et que le contrat aura toute sa valeur juridique et d’opposabilité dans l’espace dématérialisé, français et européen, garantissant la confiance dans l’économie numérique.

–          Le traitement technique des opportunités et des risques liés à l’identité numérique : intervention de Pierre Aubry de l’Imprimerie Nationale.

–          Le traitement financier des risques liés à l’identité numérique : intervention d’Alexandra Gavarone, Directeur chez l’assureur Beazley. Elle expliquera comment le financement des risques permet la protection par des services d’accompagnement et l’indemnisation par l’assurance des entreprises et des victimes lors de violations de données personnelles et d’atteinte à l’identité numérique en France et aux US (privacy)

–          Vision internationale, historique et prospective : l’identité numérique et le nommage au travers des extensions et des noms de domaine dans l’internet libre, avec l’intervention de Louis Pouzin, Président de Open-Root, co-lauréat du Prix Queen Elisabeth for Engineering pour ses contributions majeures à la création et au développement d’Internet et du World Wide Web.




Cyber-attaques, où en sont les entreprises françaises ?

Provadys_CesinCyber-attaques, où en sont les entreprises françaises ?

Dans le cadre de la réalisation de son livre blanc, Provadys, en partenariat avec le Cesin, a réalisé un sondage auprès de Responsables de la Sécurité des Systèmes d’Information (RSSI) de grandes entreprises françaises et internationales du 6 juin au 12 août 2013.
Des questionnaires en ligne et papier ont en effet été diffusés auprès de 140 RSSI. Le questionnaire proposé comportait quarante questions et abordait cinq grandes thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation.

L’objectif de l’étude réalisée conjointement par le Cesin et Provadys était d’apporter un éclairage sur les actions mises en œuvre dans les entreprises françaises pour se préparer aux attaques, les détecter et y faire face. Il s’agissait de mieux connaitre la situation des entreprises en matière de résilience face aux cyber-attaques.

Nous nous attacherons ici à examiner les réponses relatives à la thématique « récupération » visant en particulier les aspects juridiques et assurances.

• Synthèse de l’échantillon

73 RSSI ont répondu au questionnaire, soit une participation significative de 52 %. Parmi les entreprises ayant répondu au questionnaire, 87 % sont de très grande taille (plus de 500 collaborateurs). Cette enquête reflète donc principalement les préoccupations des grandes entreprises. D’un point de vue secteur d’activité, le panel des entreprises ayant participé et répondu au sondage est équilibré : elles sont 25 % à faire partie du secteur Industrie ; 23 % du secteur Banque/Assurance et 16 % du secteur Administration (Public).

• Les aspects juridiques et réglementaires

Il ressort de l’étude que les aspects réglementation ne sont pas suffisamment pris en compte par les entreprises (CNIL et secret médical). Au moins 22 % ne connaissent pas bien leur environnement de conformité et de ce fait ne peuvent pas mettre en œuvre des mesures cohérentes en conformité avec la loi. De la même manière, le secret médical est une obligation légale dès lors que les entreprises manipulent des données médicales. Les entreprises doivent être conscientes des données qu’elles manipulent. Par ailleurs, 96 % des entreprises déclarent manipuler des données à caractère personnel alors que seulement 1 % déclare être soumise à la réglementation CNIL. De la même manière 36 % déclarent traiter des données de santé alors que 22 % d’entre elles déclarent être soumises au secret médical. Or toutes les données gérées par les entreprises peuvent être des cibles pouvant intéresser des agresseurs potentiels. Les cyber-attaques pouvant viser ces données, les stratégies de cyber-défense des entreprises doivent impérativement intégrer la protection de ces données.

• Les aspects assurance

Pour les entreprises, la probabilité d’occurrence d’une cyber-attaque est très élevée à moyen terme ; pourtant, très peu d’entre elles disposent d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée.

Pour 32% d’entre elles, il sera très difficile de récupérer d’une cyberattaque et/ou de tirer les enseignements qui permettront de prévenir une nouvelle attaque du même type.

De la même manière, la grande majorité des entreprises n’a pas encore formalisé les processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. En effet, 60% déclarent ne pas avoir défini les processus permettant de prendre en compte les aspects juridiques et assurance suite à une cyber-attaque. Ces entreprises seront donc dans l’incapacité de porter plainte et/ou de tenter de récupérer une part du préjudice via une assurance

.Conclusion 

L’étude démontre que l’étape de prise de conscience a été réalisée par les entreprises en France. Les cyber-attaques sont donc bien présentes dans le catalogue des sujets à adresser. Néanmoins, il reste encore de nombreuses étapes à franchir pour beaucoup d’entreprises avant de pouvoir garantir un niveau optimal de résilience face aux cyber-attaques. Leur préparation reste théorique et les organisations aussi bien que les équipes ne sont pas outillées ou entraînées opérationnellement pour y faire face. Des moyens existent, des investissements et des travaux ont été réalisés mais l’efficacité de tous ces éléments n’est pas évaluée régulièrement afin qu’ils puissent être ajustés, et les mesures de récupération, notamment fondées sur le financement du risque par l’assurance, ne sont pas mises en œuvre, un peu comme si les entreprises pensaient encore que « cela n’arrivera qu’aux autres ».