Atelier N°A2
Scénarios de
risques cyber
26
èmes
Rencontres du Risk Management | AMRAE 2018
1
INTERVENANTS
08/02/2017 2
Kevin HEYDON
Groupe L'OCCITANE
Directeur
Sécurité de l'information
kevin.heydon@loccitane.com
Modérateur : Marie-Élise LORIN
Pilote de l’antenne régionale AMRAE
SMACL Assurances
Responsable du département Gestion des risques
me-lorin@smacl.fr
Alexis NARDONE
GM Consultant
Expert associé
alexis.nardone@gmconsultant.com
Anne CRIDLIG
Zurich
Souscripteur
RC professionnelle & Cyber
anne.cridlig@zurich.com
3
SCÉNARIOS
Scénario 1 :
Paralysie de l’entreprise suite à
une attaque ransomware
4
•Description
–Vecteurs d'intrusion
•Failles techniques (protocoles mal maîtrisés, mises à jour manquantes)
•Ouverture d’une pièce jointe ou d’un lien vérolé par un collaborateur
–Propagation
•Postes informatiques
•Espaces partagés, serveurs applicatifs et sauvegardes
•Cas publics
–Les plus célèbres en 2017 : WanaCry & notPetya
08/02/2017
Scénario 1 :
Paralysie de l’entreprise suite à
une attaque ransomware
5
•Principales mesures de sécurité envisageables
08/02/2017
Technique
Protéger les postes et serveurs
Protéger les réseaux
Séparer les réseaux
Orga.
Gérer les mises à jour
Gérer les sauvegardes… et les restaurations
Se préparer à gérer des incidents
Humaine Sensibiliser les collaborateurs
Scénario 1 :
Paralysie de l’entreprise suite à
une attaque ransomware
6
•Assurabilité
08/02/2017
Services d’assistance
Contrat « Cyber »
Accès à un responsable en gestion de crise (24h/24 – 7j/7)
Frais de consultant spécialisé en négociation
Prise en charge de la rançon (fonds, monnaie virtuelle, valeur
des biens remis)
Perte d’exploitation
Scénario 2 :
Vol de données
(RH ou clients)
7
•Description
–Vecteurs d'intrusion
•Exploitation d’une faille de sécurité du SI de l’entreprise
… ou d’un système annexe moins sécurisé
•Cas publics
08/02/2017
Scénario 2 :
Vol de données
(RH ou clients)
8
•Principales mesures de sécurité envisageables
08/02/2017
Technique
Adopter les bonnes pratiques (ex : OWASP)
Faire des pentests et auditer les vulnérabilités
Tracer, détecter et alerter
Orga.
Gérer et revoir les accès et les comptes (yc en SaaS)
Veiller les marqueurs, utiliser des honey pots
Se préparer à la communication de crise
Humaine Sensibiliser les collaborateurs (yc juridique)
Scénario 2 :
Vol de données
(RH ou clients)
9
•Assurabilité
08/02/2017
Services d’assistance
Contrat « Cyber »
Accès à un responsable en gestion de crise (24h/24 – 7j/7)
Frais d’experts nécessaires à la résolution de la crise et à
l’atténuation de ses conséquences
Prise en charge des frais de défense et des dommages en
cas de réclamation de tiers
Responsabilité civile générale
Fraude (si volet malveillance)
RC des Dirigeants
Autres contrats
mobilisables
Scénario 3 :
Paralysie de l’entreprise suite à
un désastre sur un datacenter
10
•Description
•Accumulation de plusieurs causes
•Cas publics
08/02/2017
Scénario 3 :
Paralysie de l’entreprise suite à
un désastre sur un datacenter
11
•Principales mesures de sécurité envisageables
08/02/2017
Technique Mettre en œuvre du dual room / dual sites
Orga.
Construire, tester et maintenir un BCP / DRP
Exiger des SLA et un DRP des tiers critiques
Se préparer à la gestion de crise
Humaine Tout appuyer sur l’analyse de risques (validée senior manag
t
)
Scénario 3 :
Paralysie de l’entreprise suite à
un désastre sur un datacenter
12
•Assurabilité
08/02/2017
Services d’assistance
Contrat « Cyber »
Autres contrats
mobilisables
Accès à un responsable en gestion de crise (24h/24 – 7j/7)
En fonction de la cause de l’interruption du Datacenter,
tout ou partie des garanties du contrat cyber pourront être
mobilisées
Dommages aux biens
Responsabilité civile générale ou professionnelle
13
Et si la victime était votre sous-traitant ou un
de vos prestataires ?
08/02/2017
14
MERCI À TOUS !
Atelier A2 : Scénarios de risques cyber - Février 2018
Atelier A2 : Scénarios de risques cyber - Février 2018