Archives pour la catégorie Cyberrisque

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Cyber sécurité : un exemple de plan d’action. Mise en place de solutions de sécurité des données.

Pour terminer le mois d’octobre consacré à la cybersécurité, je vous propose après des articles sur l’identification de ce risque puis sa quantification, un article consacré à la mise en place de plans d’actions (étape 4 de la démarche de gestion des risques).

Chez Rémy Cointreau, agilité rime avec sécurité

Le groupe de spiritueux, avec ses sites de production et de ventes disséminés partout dans le monde, offre une cible de choix pour les cyberassaillants. Rémy Cointreau a ainsi mis en place des solutions de sécurités des données.

Chez Rémy Cointreau, la menace cyber est prise très au sérieux. Il faut dire que, avec des sites de production disséminés un peu partout dans le monde (Angers, Cognac, Barbade, l’Ecosse, …) et des équipes de ventes et de marketing en Chine, aux Etats-Unis ou encore au Japon,  le groupe de spiritueux, dont l’origine remonte à 1724, s’est internationalisé au fil des années . Ce qui en fait aussi une cible potentielle pour des cyberassaillants. Il affiche aujourd’hui un chiffre d’affaires de 1,2 milliard d’euros par an et compte près de 1.900 salariés. « Nous sommes une entreprise internationale, nous ouvrons ou fermons des filiales régulièrement, nous devons donc avoir une organisation très agile », souligne Xavier Leschaeve, responsable de la sécurité des systèmes d’information (RSSI) du Groupe Rémy Cointreau.

Recours aux outils collaboratifs

Enclenchée à son arrivée, en 2015, la transformation numérique a d’abord consisté à basculer les données du groupe – ventes, marketing, financières… –  dans des clouds sécurisés : Amazon, Azure, Google . « Il n’y a pas de données clients hormis nos bases CRM », précise le RSSI. Une transformation digitale qui s’est également traduite par le recours à des outils collaboratifs (Box et Office 365) pour que tous les salariés puissent travailler ensemble d’où qu’ils se trouvent.

Quid de la cybersécurité ? « En arrivant [NDLR – en provenance de la sécurité Groupe de l’assureur Axa], j’ai mis en place des solutions de sécurité évoluées, explique Xavier Leschaeve. On a réalisé un vrai bond technologique, en ayant notamment recours à des outils EDR, Endpoint Detection and Response, sorte d’antivirus de nouvelle génération, qui nous permettent de détecter les comportements anormaux, aidés également par notre prestataire SOC, Security Operations Center, qui assure la surveillance de nos alertes de sécurité. » 

Fédération d’identité pour les salariés

Mais, ce qui fait la force du cloud, et des logiciels en tant que services (SaaS), à savoir la possibilité d’y avoir accès depuis l’extérieur, fait aussi leur faiblesse… C’est pourquoi, Rémy Cointreau a créé « une fédération d’identité » réunissant tous les accès pros d’un salarié, avec une double identification, à l’aide des téléphones mobiles de l’entreprise. « L’authentification forte, quand on travaille dans le cloud, c’est primordial, insiste Xavier Leschaeve. Cela évite notamment que les messageries soient piratées trop facilement. Ce qui reste un des points d’entrée privilégiées des pirates. » Et, d’ajouter « lorsqu’une personne quitte la société, on peut aussi lui retirer tous ses accès en une seule opération ». S’évitant ainsi les fuites d’informations vers la concurrence.

Mais, on a beau mettre tous les garde-fous, « Il y aura toujours quelqu’un derrière la porte », sourit celui qui siège aussi, depuis juin 2019, au conseil d’adminitration du Cesin, le Club des experts de la sécurité de l’information et du numérique. Ou ils essaieront de rentrer par la fenêtre… « Pour preuve, les récentes tentatives d’intrusion via Whatsapp ou LinkedIn qui sont apparues chez certains de nos membres », poursuit Xavier Leschaeve.

Sensibilisation et formation

Les clefs alors, toujours les mêmes, la sensibilisation et la formation des utilisateurs, notamment grâce au e-learning. « Et, à chaque fois que je vais dans une filiale, j’organise des rencontres avec les collaborateurs du site pour leur rappeler les risques, leur présenter les derniers menaces », poursuit le RSSI. Une sécurité de tous les instants qui passe aussi par la mise en place de Process métiers : « Au service comptabilité par exemple, on n’acceptera jamais de demandes de virement par téléphone ! » insiste-t-il.

Autre grand point de vigilance : les sites de production. L’informatique industrielle est, en effet, mise à jour moins régulièrement que celle de bureau, et les OS y sont souvent plus anciens. Rien d’étonnant donc pour le RSSI à ce que  les « cryptolockers » ou autre « ransomwares » s’attaquent d’abord aux usines .

Fort heureusement, pour l’instant Rémy Cointreau a été épargné. « On a réussi à détecter et bloquer les tentatives à temps, souffle son RSSI. Mais, en ce domaine, vous ne m’entendrez jamais crier victoire ! » 

Et, si jamais cela arrivait ? « Il faudra alors que nous soyons capables d’isoler chaque site, le plus rapidement possible afin d’éviter la contamination. C’est à cela que nous travaillons. » Car, même si la menace cyber évolue, les recettes restent finalement toujours les mêmes en sécurité informatique : « Mettre à jour, surveiller, ségréguer, et disposer de backup pour pouvoir réinstaller », conclut Xavier Leschaeve.

Stéphane CHARBEAU

Les Echos Publié le 25 sept. 2019

Venez tester gratuitement votre Cyberrisque.

Belle initiative. Bercy propose pendant le mois européen de la Cyber Sécurité des Cyber-tests gratuits.

02/10/2019

Rencontre avec Christian Dufour, Haut Fonctionnaire de Défense et de Sécurité des Ministères Economiques et Financiers (HFDSI des MEF). Accompagné de Bruno de Laigue, Président du réseau des Dirigeants Financiers (DFCG), ils présentent un dispositif d’autodiagnostic cyber destiné aux dirigeants des entreprises, notamment les TPE et PME, afin qu’elles prennent conscience de leur niveau de Sécurité sur quatre points essentiels de le Système d’Information (SI).

Pour la seconde année consécutive, la MEF s’associe à la DFCG pour faire le buzz durant le mois européen de la cybersécurité. Et 2019 voit le jour d’une boîte à outils de tests (quatre pour l’instant) mis à disposition des entreprises sur le site https://ssi.economie.gouv.fr. Elle leur permettra de connaître exactement le niveau de sécurité de quatre points essentiels de leur SI en s’auto-testant. Développés en Interne par l ‘équipe de Jean-Philippe Papillon, Responsable ministériel Sécurité des Systèmes d’Information, ces outils permettent de sensibiliser des néophytes du sujet à la Sécurité d’un SI. Car cette année, le focus est mis sur le conseil et la sensibilisation des plus petites entreprises, qui avec très peu de moyen, n’en consacrent que peu ou prou à la cybersécurité de leur structure.

CyberSécurité : 4 tests en libre accès

Dans un premier temps, en septembre dernier, ces outils ont été proposés aux 3000 adhérents de la DFCG. Ils ont été un peu plus de 10%, soit environ 350 directeurs financiers à se prêter au jeu. Les résultats de ces tests ont conforté la DFCG comme les instances gouvernementales sur l’urgence à sensibiliser la part la pus importante du tissu économique français.

Les quatre tests portent sur le niveau de mise à jour du navigateur web, la politique de sauvegarde, la robustesse du mot de passe et le niveau de sécurité des serveurs de messagerie. A la fin de chaque test, la société connaît le niveau de protection de l’élément mis sur la sellette au travers d’une note ou d’une couleur indiquant le niveau de sécurité, cela va de nul à très bon en passant par tous les niveaux intermédiaires possibles.

Sensibilisation des Dirigeants

Ces tests permettent aux dirigeants d’entreprise de savoir s’ils sont bien protégés ou pas. Dans le cas où la société s’appuie sur un prestataire extérieur pour assurer sa défense, cela lui permettrait de savoir si ce dernier a fait du bon travail ou non et donc, de l’obliger à revoir son travail si la Sécurité est mal assurée.

Les tests sont proposés sous la forme d’un téléservice. Ils ont été choisis en se basant sur  les trois facteurs principaux de compromission qui sont l’ingénierie sociale, le craquage de mot de passe et l’exploitation de failles connues (notamment quand les mises à jour des logiciels ne sont pas réalisées régulièrement).  Rien n’est mémorisé du côté du site qui propose le téléservice pour des raisons de sécurité, de respect des secrets de l’entreprise qui se teste et de conformité aux réglementations sur les données personnelles. Par exemple, quand une entreprise teste le niveau de sécurité de son mot passe, le site ne connaît bien entendu pas le login et ne peut, également, faire aucun lien avec l’entreprise en test. Sur le mot de passe, c’est le niveau de faiblesse de ce dernier qui est remonté et il est également possible de savoir si ce mot de passe a déjà fuité sur le Net.

Premiers résultats 

Les résultats de l’étude ont démontré que 75% des entreprises interrogées ont un navigateur mis à jour alors que 82% d’entre elles ont un domaine de messagerie mal protégé. Pour donner une idée de ce qui peut arriver quand sa messagerie est mal protégée, le cas de la société Tonneau, 3 millions d’euros de Chiffre d’affaires et 15 salariés, qui subit un détournement de fonds de 300000 euros en 4 jours à cause d’une usurpation de mail. Sur le mot de passe, plus de 50% des entreprises ont eu leur mot de passe facilement cassé selon le test. 67% d’entre elles n’ont pas de politique de sauvegarde qui tienne la route (pas de duplication des serveurs de sauvegarde, pas de vérification si la sauvegarde est bien réalisée …). Ce test n’en est pas un réel dans le sens où une liste de questions pointues est posée au dirigeant et les réponses sont pondérées ce qui donne une idée sur la bonne tenue et la protection des sauvegardes. Enfin seules 5 à 7 entreprises ont un plan de reprise d’activité en cas de chiffrement de leurs données par un malware. Pour finir, elles sont seulement 10 à avoir établi une « fiche Réflexe » qui correspond à un ensemble de processus à suivre et mettre en place en cas de crise.

Cette sensibilisation s’accompagne de liens sur des FAQ proposant nombre de bonnes pratiques.

Propager l’Information

Pour l’instant, Bercy a annoncé la mise à disposition de ces outils gratuits dans sa lettre aux entreprises. L’ANSSI en a également parlé. Bouche à oreilles et médias seront parmi les organes de propagation de cette chaîne. L’accès à la base de la pyramide économique française reste encore compliqué aujourd’hui.

Source : https://ssi.economie.gouv.fr.

Par Solange Belkhayat-Fuchs

Une fois le cyber risque cerné (voir articles précédents. Point de vue du juriste. Point de vue du gestionnaire), les entreprises doivent en identifier les causes pour le cartographier. Quels sont les critères qui, sur le terrain, sont tout de suite révélateurs de la fragilité de l’entreprise en matière de cybersécurité ? La parole est aux experts.

Huit indices inquiétants sur votre fragilité cyber

Publié le 25/09

  1. Les signes extérieurs d’inconscience

« Lorsque j’entre dans une entreprise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il y a une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impression en dit beaucoup sur le souci qu’a l’entreprise de la cybersécurité, de même que l’attitude de ses interlocuteurs : on sent vite s’il y a une appétence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercuter à tous les niveaux », indique Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique à l’Anssi, Agence nationale de la sécurité des systèmes d’information.

  1. L’absence de politique de cybersécurité

« Il faut qu’il existe dans l’entreprise des règles officielles, même très larges : un document qui explique celles liées à la cybersécurité dans l’entreprise : politique de sauvegarde, politique de mise à jour, règles sur les mots de passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr

  1. Le nombre de personnes mobilisées sur le sujet

C’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investissements. « Les entreprises françaises emploient en moyenne un spécialiste cybersécurité pour 900 employés, avec des écarts importants selon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas, par exemple dans l’industrie. C’est faible, quand on considère qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’information », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr, du secteur et des spécificités de l’entreprise mais en moyenne un rapport de 1/500 est une bonne cible pour vraiment changer de posture. »

  1. La proximité entre le CISO et le RM

« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre, c’est grâce à la collaboration et la relation de confiance de ces deux responsables que l’entreprise pourra casser les silos pour mettre en oeuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.

  1. L’absence de dispositifs de surveillance

« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil », indique Jérôme Notin.

  1. Le niveau de rattachement hiérarchique du responsable de la sécurité informatique

« C’est le tout premier élément révélateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… », explique Gérôme Billois, associé cybersécurité et digital trust chez Wavestone. Le bon positionnement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsable soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »

  1. L’absence ou la fragilité du plan de continuité d’activité

« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire face à un incident. Or, il faut se préparer et savoir comment réagir si jamais cela arrive dans l’entreprise : déconnecter les systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, président de la DFCG. « Si la plupart des grandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structures… Je demande souvent aux dirigeants des entreprises que je rencontre « si demain, on trouve votre fichier clients sur Internet, savez-vous comment réagir ? » », complète Gérôme Billois.

  1. La fusion des sphères privées et professionnelles

« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et professionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou un seul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La séparation des sphères privée et professionnelle est une première étape dans la maturité cyber », explique Fabien Caparros.

Cécile Desjardins

 

Cyber risque : le point de vue des assureurs

« Le cybersilencieux » : le risque qui inquiète les assureurs

Les cyberattaques peuvent faire jouer des contrats classiques d’assurance dommages ou de responsabilité civile, démultipliant l’exposition des assureurs à ce risque. L’heure est à la prise de conscience du « silent cyber » et à la nécessité de clarifier les contrats.

Les  cyberattaques font planer une menace « silencieuse » sur les assureurs. Des contrats classiques d’assurance dommages (IARD) ou de responsabilité civile peuvent en effet être mis en jeu, alors qu’ils avaient souvent été conçus quand la menace n’était pas si forte qu’aujourd’hui. « Toute police qui ne comporte pas une exclusion explicite pour les cyberincidents peut être exposée », soulignaient les analystes de S&P Global Ratings dans un rapport publié en août.

« Les assureurs en sont à des stades différents dans l’évaluation de leur véritable exposition cyber, comprenant le ‘silent cyber’. C’est une priorité pour l’industrie parce que les limites d’exposition dans les polices d’assurance dommages des entreprises sont souvent plusieurs fois supérieures à celles accordées par les polices cyberdédiées », alertait l’agence Moody’s dans un rapport paru cet été. Autrement dit, les enjeux financiers peuvent être colossaux.

Couvertures « affirmatives »

Rien d’étonnant donc, si « la volonté des assureurs aujourd’hui est de couvrir les incidents cyber dans des polices spécifiques, car les polices traditionnelles ne sont pas tarifées pour couvrir ces risques », comme l’explique Ezéchiel Symemouh, chez le courtier Gras Savoye Willis Towers Watson.

Les compagnies semblent en tout cas bien décidées à s’attaquer au « cybersilencieux » et aux zones grises qui peuvent exister dans leurs contrats. « Nous travaillons actuellement sur ce sujet. Nous devrions nous orienter vers des couvertures affirmatives qui détaillent ce qui est couvert et ce qui ne l’est pas, afin que tout soit transparent pour le client », explique ainsi Paul Sterckx, directeur du département risques financiers d’AIG en France.

Mouvement très remarqué dans le secteur, le géant mondial de l’assurance Allianz est en train de déployer une nouvelle stratégie de  souscription des cyberrisques , en commençant par AGCS, sa filiale dédiée aux grands risques.

Des régulateurs se sont eux aussi emparés du sujet, à l’image de la Prudential Regulation Authority en Angleterre, qui a appelé en début d’année les assureurs britanniques à mettre en place des plans d’action.

Laurent Thévenin

Assurances et Cyberrisques : le retour…

La problématique Assurance et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui nous disait :  » Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  N’en est-il pas de même avec le cyberrisque ? La gestion des risques transversale et la Fonction Risk Manager sont au premier plan. 

Ci-dessous un premier article sur ce sujet : le point de vue d’une juriste 

Assurance et cybersécurité : pourquoi c’est encore flou pour les entreprises

LE CERCLE – La fréquence des attaques informatiques a nettement augmenté au cours des dernières années. Toujours plus agressives, elles soulèvent de nombreuses questions quant aux couvertures d’assurance permettant aux entreprises de s’en prémunir et d’y faire face.

Notre société, dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques, s’expose chaque jour davantage au risque cyber, que l’incident soit le fait d’un salarié ou d’une attaque par un tiers.

Les célèbres attaques Wannacry et Not Petya ont entraîné par ricochet une augmentation corrélative du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019, bien que certains spécialistes pensent que cette augmentation est en partie le fruit de l’entrée en vigueur récente du Règlement général sur la protection des données personnelles (RGPD).

Toutefois, on continue de penser que le risque cyber est à la limite de l’assurabilité. Il est vrai que l’assureur se heurte à une absence d’antériorité sur ce risque récent, ce qui aggrave la difficulté de pouvoir adapter la capacité d’indemnisation avec une prime adaptée. Sans méthode d’analyse du risque fiable et sans enregistrement systématique des incidents cyber, les contours de ce risque restent flous et dont les conséquences à l’échelle mondiale paraissent incontrôlables.

Des polices dédiées aux cyber risques

Au-delà de la difficulté de définir une méthode actuarielle fiable, il faut nécessairement appréhender le risque de façon globale car il implique de facto l’ensemble des acteurs d’un même écosystème. Certains y voient là une nouvelle application de la «sécurité interdépendante» développée en matière de terrorisme.

Face à cette situation, certains assureurs ont préféré maintenir leurs polices traditionnelles, de sorte que bien que non identifié dans la police, ce risque «silent cyber» serait pris en charge, comme le piratage de données bancaires des utilisateurs d’un site internet ou de pertes d’exploitation consécutives à un incident cyber intentionnel ou non. Cela s’est parfois accompagné d’une simple augmentation des lignes existantes ou de la souscription d’avenants.

Les polices «tous risques sauf» présentent également un intérêt pour les PME qui sont souvent démunies face à un risque qu’elles ne peuvent correctement appréhender, dès lors qu’à défaut d’exclusion expresse des dommages causés par un virus, ces polices devraient pouvoir être actionnées en cas d’incident cyber.

De façon générale, on reproche tout de même à ces polices d’aboutir à des situations de cumuls de garanties ou d’assureurs, génératrices de complexité souvent au détriment de la bonne résolution de l’incident cyber.

D’autres assureurs ont fait le choix de développer un produit cyber, impliquant un accompagnement en amont de l’assuré pour définir le niveau de protection attendu et devant être maintenu par ce dernier, puis en aval lorsque l’incident survient pour l’aider à affronter la crise et restaurer son système d’information à l’aide de spécialistes missionnés en urgence, y compris le week-end.

Plusieurs limites

Pour séduisantes qu’elles soient, ces polices dédiées sont encore jugées peu claires avec des exclusions bloquantes comme les conséquences de l’atteinte à l’image et à la réputation de l’entreprise pourtant souvent mises à mal en cas de cyber incident.

On regrette aussi que ces polices ciblées demeurent trop génériques, sans réelle adaptation au profil de leur assuré, selon qu’il est une société du CAC 40 ou une PME. A cet égard, les réassureurs joueront certainement un rôle important, puisqu’ils réclameront de leurs clients assureurs d’être en mesure de détailler l’exposition spécifique au risque cyber pour accepter de réassurer.

En outre, même en cas d’amélioration notable des polices, les entreprises n’auront-elles pas toujours cette réticence à partager avec les assureurs des informations jugées confidentielles ou relatives au niveau de protection réelle de leur système informatique ?

L’Etat n’aurait-il pas ici un rôle à jouer dans l’évaluation de ce risque et la collecte des données liées aux incidents cyber ? Certains voient d’ailleurs dans le RGPD un moyen réel de constituer une base de données des incidents cyber qui touchent les entreprises en Europe.

En conclusion, les assureurs sont aujourd’hui contraints de développer des produits d’assurances efficaces et simplifiés sauf à laisser croître un marché parallèle de prévention et de gestion du risque cyber emmené par des prestataires de sécurité cyber ou même le laisser s’échapper au profit d’entreprises pionnières du CAC 40 qui mettent à disposition des obligations dédiées émises sur le marché des capitaux.

Emmanuèle Lutfalla, avocate, co-fondatrice et associée du bureau parisien de Signature Litigation.

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Cyber risque

Je vous propose deux articles sur le Cyber risque. Encore lui !

Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.

Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.

Article 1 

Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?

ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10

Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.

Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.

L’importance d’une culture de gestion des risques

Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.

Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !

Des organisations encore trop peu protégées face aux cyberattaques

Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.

Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.

Faire de la DSI un centre de profits

Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.

Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.

Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.

Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.

Article 2

Le cyber-risque est (aussi) une affaire de Comex !

mardi 9 octobre 2018, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.