Atelier B2
Digitalisation :
quels impacts sur le profil
de risque de l'entreprise ?
2
Atelier B2
Digitalisation : quels impacts sur le profil de risque de l'entreprise ?
Intervenants
Modérateur
Marc AYADI
Cyber (Security, technology and Data) leader
for Western Europe and Maghreb
Julien BLANCHEZ Global Security & Compliance Strategist
François BRISSON
François BEAUME
Director, Risk and Insurance
Head Tech Cyber
La Digitalisation, c’est quoi ?
4
« La digitalisation est l’intégration des
technologies digitales dans la vie de tous les
jours par la numérisation de tout ce qui
peut être numérisé. »
Une définition ?
5
Un changement sociétal majeur
« La digitalisation représente la
troisième révolution anthropologique majeure »
Michel Serres, membre de l’académie française, professeur à Stanford
Invention de l’imprimerie (XVéme siècle)
Passage de la transmission orale à l’écrit (-4 000 av JC)
Digitalisation (XXI éme siècle)
6
Pour l’Entreprise ?
Numériser son offre et toute la
chaîne de création de valeur
Une opportunité
Un environnement qui devient
dynamique
Moins de contrôle des flux
d’information la concernant
Une accélération du cycle d’innovation
…/…
Des risques
Stratégie
8
* Source: Ultralinx, **Source: Ericsson Vision 2020, ***Source: Google
La sécurité des systèmes d’information et la protection de l’information ne peut pas être correctement appréhendée si on ne
prend pas en compte les mutations profondes qui ont actuellement lieu : stratégie digitale, évolutions des usages, ruptures
technologiques, etc.
Sécurité, quel est le contexte actuel ?
La « digitalisation » modifie en profondeur les interactions avec les
partenaires, les clients et les processus internes de l’entreprise
9
Evolution des menaces et des
réponses aux menaces
1970 >1980 >1990 > 2000 > 2010
- Faire face aux dangers
naturels
- Mise en place de
mesures concrètes
(évacuation, premiers
soins)
- Recours à une
assistance externe
- Recours à un nombre
restreint de
technologies
émergentes
- Récupération simple
après une défaillance
des systèmes
- Apparition de la
gestion des risques
dans l’ensemble de
l’organisation
- Généralisation de la
conformité
réglementaire
- Plan de continuité
d’activité
-Développement
des protections
contre les virus
- Progrès en
information et
cybersécurité
- Passage au 100% en
ligne
- Connexion de
dispositifs
- Management des
identités et des
accès
- Chocs globaux
(terrorisme,
changement
climatique, crises
politiques)
- Externalisation avec
des tiers (exemples : le
cloud)
- Résilience économique
- Objets connectés
- Infrastructures
critiques
- Cyberespionnage et
cyberattaques menées
par des Etats tiers
Unités centrales Client / serveur Internet E-commerce Digital
La digitalisation, l’arrivée massive des objets connectés, l’évolution des réglementations et
l’explosion de la cybercriminalité sont autant de facteurs qui contraignent les entreprises à
faire évoluer leurs systèmes de protection.
10
Au devant de la scène..
Le digital dans un contexte sensible très particulier
Une pression médiatique et légale,
Un niveau de tolérance zéro sur la protection des données personnelles.
Nécessité d’un dispositif fiable et transparent à destination des partenaires.
Essor des certifications des processus de contrôle interne (ISAE3402, SOCx) et
organisations (ISO 27001).
Une augmentation continue
de l’exposition et des
menaces
Transfert de la gouvernance du SI vers les métiers lié au changement de modèle des DSI
(Cloud computing, mobilité …).
Perte de maitrise des frontières et de la mise en œuvre des mesures de sécurité.
Evolution permanente du profil d’exposition au risque de l’entreprise.
Déploiement imposé des nouvelles technologies, des média sociaux et des solutions de
mobilité.
Professionnalisation de la filière de contrôle IT au sein des DSI, Directions de l’Audit
Interne, Directions des Risques et Inspections Générales.
Fortes attentes autour de la protection des données : Accès, disponibilité, confidentialité,
traçabilité.
Médiatisation des
incidents sécurité
La sécurité comme
argument commercial
Augmentation continue
de l’exposition et des
menaces
Une implication de plus
en plus pressante des
métiers
Un renforcement des
textes réglementaires
10
11
LA CYBER-CRIMINALITÉ FAIT PARTIE DU
QUOTIDIEN - AVEC LE DIGITAL ENCORE PLUS
•LA CYBER-CRIMINALITÉ
FAIT PARTIE DU QUOTIDIEN
44% des organisations ont le sentiment d’être
vulnérables à cause de salariés non sensibilités
(Source : EY Global Information Security Survey 2015)
317 millions de nouveaux programmes malveillants
ont été créés en 2014
(Source : Symantec Internet Security Threat Report 2015)
82 secondes suffisent à une campagne de
phishing pour avoir un premier clic
(Source : Data Breach Investigations Report 2015)
92% des outils connectés à Internet sont
vulnérables aux failles connues
(Source : Cisco 2016 Annual Security Report)
5 grandes entreprises sur 6 ont été la cible
d’une attaque en 2014
(Source : Symantec Internet Security Threat Report 2015)
12
Les nouvelles formes de menaces
1.Les fuites de données sont inévitables
2.Le cyber-espionnage continue et devient l’apanage d’Etat
3.Attaques DDOS via IOTs
4.Les logiciels malveillants sur mobiles continuent d'augmenter
5.Le phishing basé sur la collecte d'informations personnelles explose
(spear phishing)
6.Les attaques par ingénierie sociale sont utilisées sur les réseaux sociaux
7.Les réseaux de zombies (machines piratées) infiltrent toujours les
entreprises
8.Les notifications en cas de fuite de données deviennent la règle
9.Les infrastructures essentielles sont des cibles
10.Le code source des applications est analysé et toutes les vulnérabilités
mises à nu
Des attaques de plus en plus sophistiquées … et
organisées exploitant les nouvelles failles
13
Les plus grosses fuites de données
recensées à juillet 2016
Plutôt rares entre 2004 et 2008
14
Les plus grosses fuites de données
recensées à juillet 2016
Une accélération entre 2008 et 2011
15
Les plus grosses fuites de données
recensées à juillet 2016
Une explosion depuis 2011
16
Les plus grosses fuites de données
recensées à juillet 2016
Des volumes de données de plus en plus importants
17
« Notre sécurité est-elle centrée sur la
protection des actifs qui génèrent du
revenu ? »
« Comment mesurer l’efficacité de notre
programme de sécurité ? »
« Nos investissements sécurité permettent-ils
de couvrir nos risques et sait-on anticiper les
nouvelles menaces ? »
« Comment notre sécurité prend t-elle en compte
les évolutions de notre “operating model” et de
notre écosystème SI »
« Notre dynamique de projets sécurité est-elle
adéquate ? A-t-on le bon rythme et la bonne
priorisation ? »
« Mon ordre du jour est surchargé »
« Cela relève de l’informatique »
« Ce n’est pas notre problème »
« Les risques sont difficiles à évaluer »
« Le retour sur investissement est difficile à
percevoir »
« C’est trop technique »
SE POSER LES BONNES QUESTIONS
La cyber-sécurité est l’affaire de tous –
plus encore maintenant
18
CRÉER UNE STRATÉGIE CENTRÉE SUR LA
PROTECTION DE L’INFORMATION
Il est vital de faire évoluer la stratégie de sécurité périmétrique vers une stratégie centrée sur la
protection de l’information
« La sécurité périmétrique va me permettre de protéger mes applications et mes services »
Sécurité de l’information :
Détection en quasi « temps-réel »,
réaction sur incidents, décontamination
des systèmes infectés et correction des
autorisations d’accès
Industrialisation des contrôles de
conformité
Point de sécurité toujours d’actualité :
Sécurité des PC/Laptops, etc.
Sécurité des systèmes mobiles
Contrôle des connexions Internet
Protection contre les malwares, etc.
Protection périmétrique Protection des informations
critiques
2010 2016
19
ÉVOLUER VERS DES STRATÉGIES DE
SÉCURITÉ DITES « PROACTIVES »
Dès lors que la prévention a atteint ses limites, les entreprises doivent adopter une posture où elles
sont prêtes à répondre à un incident de sécurité
Risk
tolerance
Govern
Threat
intelligence
Business
priorities
Complicate
Detect
Respond
Educate
Mettre en œuvre des
moyens de DÉTECTION
Définir et EXÉCUTER la
stratégie de sécurité
Prendre des mesure rapides et
efficaces afin de répondre à une
attaque, mettre en œuvre des
corrections STRUCTURANTES
« Ralentir, détecter, réagir et maintenir »
Compliquer « la vie » des
assaillants et RALENTIR
leur avancée
Technique
21
L’évolution vers le Cloud
22
Quel est le
maillon
faible ?
99.%
63%
12%
* Verizon Data Breach Investigations
Report 2016
24
Capacité d’anticipation
Les organisations prennent confiance dans leur capacité à
anticiper les cybermenaces, mais des progrès restent à faire…
Trop peu d’organisations accordent le niveau d’attention requis aux principes élémentaires de
cybersécurité. Ainsi chaque jour, elles placent leurs clients, leurs salariés et même leur propre
avenir face à des risques considérables.
Le challenge du nombre de dispositifs : 73% se déclarent préoccupées par la faible connaissance
qu’ont les usagers de leurs failles de sécurité potentielles.
Le challenge des données : Les organisations doutent de leur capacité à traquer les trafics suspects
au-delà de leurs réseaux (49%) ou à repérer les attaques «zero day» cachées ou inconnues (40%).
Le challenge de l’écosystème : De nombreuses organisations s’attendent à ce qu’il soit de plus en
plus difficile de superviser l’ensemble de leur écosystème (34%).
L’émergence des objets connectés et l’explosion du nombre de ces dispositifs accentuent les
besoins d’anticipation des organisations et font émerger de nouveaux challenges.
25
Les outils techniques
26
Infrastructure Google Cloud
27
Sécurité sur toute la pile
technologique
28
Capacités à résister
Si dans l’ensemble, les organisations ont amélioré leur capacité à
résister, les cyberattaques ne cessent de se sophistiquer
Près de la moitié des répondants (48%) déclarent que l’obsolescence de leur
système de protection est une importante source de vulnérabilité. Alors qu’elles
affichaient un véritable optimisme en 2015, ils sembleraient qu’après une phase de
rodage de leurs systèmes, les entreprises aient finalement véritablement pris
conscience de la nature de la menace.
Au cours de ces 12 derniers mois, quelles menaces/vulnérabilités ont augmenté votre
exposition au risque ?
29
METTRE EN PLACE UNE GESTION
AVANCÉE DES MENACES : SMARTSOC
Analyses avancées des menaces,
agrégation et corrélations
24/7
SMARTSOC
Information contextuelles liées
aux technologies déployées
Information spécifiques à l’industrie
et à la localisation géographique
Collecte d’informations :
Systèmes d’exploitation
Applications
Bases de données
Gouvernement
Santé
Education
Etc.
Flux de données
en provenance
de services
commerciaux
Flux de données
en provenance
de services non
commerciaux
Flux de données
en provenance
de réseaux
sociaux
La création d’une stratégie de supervision et de contrôle sécurité doit s’appuyer sur les processus
métiers et pas uniquement sur « l’infrastructure technique »
« Investiguer, réagir et communiquer »
30
Juridique
31
Compliance
32
Le Risque Politique
Organisation
34
Il doit appréhender le sujet dans toutes
ses dimensions (techniques, juridiques,
organisationnelles) pour :
Porter l’analyse de risque
Dynamiser la réduction des risques
Permettre le financement
Communiquer au top management sur ce
risque (comme sur les autres)
Rôle du Risk Manager ?
35
7 points clés d’une organisation
cyberrésiliente
Identifier les
informations
prioritaires et
actifs
stratégiques
Acquérir une fine connaissance
de l’organisation pour mieux la
mobiliser en cas d’attaque
Cartographier
l’écosystème
Mener des investigations formelles et
préparer d’éventuelles poursuites
judiciaires
Instaurer une culture du
changement
Faire preuve d’un leadership
exceptionnel dans
l’encadrement de ses
équipes
Collaborer pour réduire les
facteurs de risque
points clés d’une
organisation cyberrésiliente
Les
7
36
La cyberrésilience : une dynamique lancée
mais des efforts restent à faire
Etre capable de prévoir et de détecter les
cybermenaces via une stratégie de veille et à
une démarche de défense active.
Mettre en place un bouclier efficace de
protection conçu en fonction du niveau de
risque que l’organisation.
Disposer d’une capacité de réponse adaptée
et savoir gérer une crise (investigation post-
incident et reprise d’activité).
L’investissement des
organisations
présente encore des
lacunes
37
Capacité à réagir
•Capacités à réagir
Les organisations ont compris l’importance de renforcer leurs
capacités de réaction aux cyberattaques
Savoir prioriser
Le plan de continuité d’activité (PCA) et les systèmes de
gestion des informations font partie des priorités des
organisations, preuve qu’elle ont compris l’importance
de savoir réagir. Les systèmes de gestion des
informations et des événements de sécurité (SIEM)
combinés aux SOC sont aussi privilégiés par les
entreprises.
Les investissements des organisations
Perception des priorités et choix d’investissement ne vont
pas toujours de pair. Identifié comme une top priorité, le
plan de continuité d’activité arrive ainsi en 9e position des
priorités budgétaires. Les organisations ne semblent pas
prêtes à investir dans de nouvelles compétences visant à
adapter et/ou réorganiser leur système d’approche
défensif
38
Cyberrésilience ou
cyberagilité ?
•Cyberrésilience ou cyberagilité ?
Si chercher à être plus agile et investir en ce sens est important, la question de la
résilience l’est tout autant : « êtes-vous cyberrésilients ? ».
La cyberrésilience est une composante de la résilience économique : elle mesure la
résilience d’une organisation confrontée à une cybermenace au cours de trois phases
clefs d’action : l’anticipation, la résistance et la réaction.
Années après années, l’enquête EY met en lumière les défis soulevés par la
cybersécurité. Voici quelques résultats clés de l’enquête de cette année.
affirment que leur budget a
augmenté au cours des 12
derniers mois. 53%
des SOC collaborent et partagent leurs
données avec d’autres acteurs du même
secteur
49%
ne connaissent pas le
préjudice financier
potentiel d’une faille
majeure de sécurité.
49%
Synthèse de l’exposition
40
Impacte toutes les entreprises (risques et
opportunités)
Evolue rapidement de même que le
contexte technique et réglementaire
Son analyse et son traitement nécessitent
de mobiliser une pluralité d’expertises
Exposition Digitale
Financement
42
Pré-financer la réponse à incident de
sécurité sur les données ou sur le réseau
–Financer les frais de défense face aux
fournisseurs, clients et les entités
publiques en cas d’incident
–Organiser sa capacité de gestion de crise
digitale, former ses équipes et se tester
–Préparer un accès privilégié à des
expertises peu disponibles part ailleurs
(Forensique IT ultra spécialistes, expert
en tentative d’extorsion, gestion médias
et réseaux)
–Anticiper et protéger les profits futurs
issus du Digital
Objectifs du transfert de risque
•Peace of mind
•Innovations
•Prévention
•Data knowledge
•Valorisation des
data
•Gestion de crise
•Communication
•Média
•Revenus
•Profits
•Présence
mondiale
Rester
compétitif
Valeur de la
marque/
réputation
Accompagner
la croissance
Protection
des données
critiques
43
La pluralité des transferts
•Assurance Cyber “stand alone”
Le caractère Multi disciplinaire de la couverture
•Cyber Vs Garanties Traditionnelles
Responsabilité Civile
Dommages aux biens
Pertes d’Exploitation
•Alternatives
Garanties type “paramétriques”
44
Les challenges
Comprendre et couvrir les risques nouveaux
•Les Risques liés à la disponibilité des réseaux
•Sabotage de data
•Le risque d'accumulation
•Vols massifs de données
•Le cas particulier du “cyberwar”
•La régulation 2.0
•Les risques “silencieux”
45
Les opportunités
Faire de l’innovation un moteur de croissance
•L’organisation des assureurs autour des plateformes
•L’utilisation massive des smart datas et analytics
•La création d’un droit des algorithmes « Ethics by design »
•La gestion des sinistres 2.0
•Le Machine learning et le Blockchain
46
Pour aller plus loin
•Big data et actuariat
•La disponibilité des capacités d’investissement
•L’innovation dans la chaine de valeur
Pour conclure
48
Vision « Conseil »
1.Les attaques ne vont pas cesser. La digitalisation ouvre même la voie à plus
d’exposition. Pour autant, il est plus que jamais important d’accompagner
« lucidement » plutôt que de tenter de bloquer
2.Le facteur humain (collaboration et sensibilisation) est clé !!
3.Se connaître (force et faiblesses) par rapport à son exposition digitale permet de
mieux doser les efforts
4.L’anticipation permet de mieux s’adapter et de résister
5.Une focalisation sur les actifs clés exposés permet de concentrer les efforts et une
meilleure efficacité
6.Une surveillance adaptée complétée par des dispositifs de gestion des incidents
sécurité / de crise efficaces permettent d’éviter les grandes crises
7.Envisager toutes les pistes en matière de traitement du risque (dispositifs
technologiques, cyber-assurance, transfert de la gestion d’une partie de sac
sécurité etc..)
Pour conclure
49
Vision « technique »
La technologie fait partie de la solution
Les rendements d’échelle , « internationale », seront importants dans la décision
La maturation du cadre légal va faciliter l’adoption
L’évolution de la discussion politique doit être observée avec précaution
Pour conclure
50
Vision « Assureur »
Le marché de l'assurance continue à s'adapter rapidement aux enjeux nouveaux des
assurés, malgré la remise en question de la classification traditionnelle des risques et
les résistances organisationnelles.
Le marché "cyber" a connu une phase expérimentale de développement basée sur la
concentration des efforts en souscription sur l'analyse du niveau de sécurité de l'IT
des assurés. Ce modèle doit s'adapter aux nouvelles méthodes de profilage de
risques, aux technologies liées au Big Data ou au blockchain par exemple.
La complexité liée à la compliance peut être encadrée par un effort accru de
« normalisation » et une collaboration en devenir entre le marché de l’assurance et les
acteurs publics,
Pour conclure
51
Vision « Risk Manager »
Le Risk Manager est idéalement placé pour :
-mener à bien cette analyse de risque co-construite avec la DSI, le juridique, la
stratégie, etc.
-en inclure les résultats dans la cartographie globale des risques,
-les partager avec les différents organes de Gouvernance,
-Adapter les modalités de financement aux spécificités des risques digitaux.
Pour conclure
52
MERCI DE VOTRE ATTENTION !
AVANT DE PARTIR , N’OUBLIEZ PAS DE REMPLIR
L’EVALUATION !
-Soit sur la feuille, à remettre à l’hôtesse à la sortie
-Soit directement sur la WEB APPLI
Merci : vous participez à l’objectif ZERO PAPIER !
Les slides seront en ligne dès la semaine prochaine sur
www.amrae.fr
Atelier B2 : Digitalisation : quels impacts sur le profil de risque de l'entreprise ? - Février 2017
Atelier B2 : Digitalisation : quels impacts sur le profil de risque de l'entreprise ? - Février 2017