Extrait : "Analyse des Cyber Menaces réelles pour les entreprises en 2015"

 

Cybersécurité : désormais un enjeu majeur pour tous les dirigeants

 

 

 

Quatre cas récents de cyberattaques « stratégiques » en 2014 placent l'ensemble des dirigeants des plus grandes entreprises mondiales devant leur responsabilité face aux attaques sur le patrimoine immatériels de leurs organisations et la chaine de cybersécurité qu'ils forment avec leurs partenaires, sous-traitants et clients.

 

 

On le sait, les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage lié au cyber-chantage.

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, (@NeelieKroesEU)a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

 

 

Pourquoi les dirigeants sont directement concernés ? Mieux comprendre à la lumière de l'affaire NORTEL

 

Brian Shields, ancien conseiller principal à la sécurité chez Nortel croit que le déclin définitif de Nortel est du à une guerre des prix provoquées par une concurrence nouvelle mais aussi à une autre raison. L'ancien conseiller pense que la progression du géant des télécommunications chinois Huawei est proportionnelle à la chute de Nortel. Il soutient que le cyberespionnage qui sévit actuellement a aussi joué un rôle important dans cette affaire. Nortel était un joyau canadien dans la sphère technologique et c’est maintenant terminé. D’autres suivront si rien ne change, prévient Shields. « Une guerre économique sévit en ce moment et nous sommes en train de la perdre », insiste-t-il.

 

 

Cyber Risks & "Business impact" Quatre cas récents de cyber-menaces « stratégiques » en 2014: USINE METALLURGIQUE ALLEMANDE, SONY, MICHELIN, JPMORGAN CHASE

 

-18/12/2014  un rapport allemand publié le 18 décembre 2014 révèle une attaque informatique inédite contre une usine métallurgique. Le piratage a provoqué d'importants dégâts matériels sur un haut fourneau. Une usine métallurgique allemande a subi une cyberattaque sur son environnement Scada qui a provoqué des dégâts matériels conséquents, a révélé jeudi la publication d'un rapport gouvernemental allemand. Les pirates ont pris le contrôle du réseau de l'usine après avoir obtenu les informations nécessaires à l'aide de techniques sophistiquées d'ingénierie sociale. L'attaque a provoqué la défaillance de plusieurs composants qui ont empêché l'arrêt contrôlé d'un haut fourneau, endommageant l'infrastructure. ( Lire également : http://www.cyberisques.com/fr/mots-cles-11/390-cyber-chantage-aujourd-hui-23-decembre-2014-a-15h-le-groupe-anti-nucleaire-a-diffuse-via-le-reseau-social-twitter-quatre-fichiers-incluant-des-plans-des-reacteurs-1-et-2-de-la-centrale-de-kori )

 

 

- 24/11:2014 Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony. L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque. ( Lire également: http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur )

 

 

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

 

- 8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois. (JPMorgan’s shares  JPM 2.15%  have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

Perspectives 2015:

 

 

En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces.

 

Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et fixer leurs priorités. Deux s'imposent: la protection des systèmes industriels SCADA et celle des données critiques (stratégiques et personnelles).

 

 

En effet, les données critiques sont à forte valeur ajoutée, l'or noir des entreprises pour certains éléments de chantage pour d'autres (cf affaire SONY décembre 2014) : plans d'acquisition et de cession, délibérations du Conseil exécutif, propriété intellectuelle, mails de dirigeants, contrats.... Ces données critiques correspondent à 70 % de la valeur d'une société cotée en bourse et s’avèrent extrêmement précieuses pour les cyber-attaquants – que sont les initiés de la société ou les attaquants sophistiqués.Même si le détournement d’actifs reste de loin la catégorie la plus fréquente (61 % des entreprises interrogées), on relève l’émergence de nouvelles typologies de fraudes plus complexes, la cybercriminalité qui arrive en seconde position (28 %) et la « Fraude au Président » qui est une spécificité française, avec un taux de 10 % et un coût dépassant parfois la dizaine de millions d’€uros. La fraude comptable étant invoquée par 22 % des entreprises interrogées et la fraude aux achats : 21 %.

 

 

Dans la catégorie des cyber-attaques APT (Advanced persistent threat) notons le développement d'exploits basés sur le développement de faux sites WEB (Cas du GIFAS Groupement des industries françaises aéronautiques et spatiales par exemple) avec des atatques de type Watering Hole (infections automatiques à partir d'un site via souvent un exploit Zéro day).

 

 

Les services financiers et télécommunications sont les secteurs les plus touchés par les fraudes externes ; la distribution et les biens de consommation pour les fraudes internes.

 

 

En ce qui concerne la « Fraude au Président », dans un premier temps, seules les grandes entreprises étaient ciblées. Depuis quelques temps, ce phénomène touche même les sous traitants et PMELes procédés sont variés sous couverts de courriels ou d’appels téléphoniques, votre interlocuteur se fait passer pour l’un de vos partenaires (Client, Fournisseur, Commissaire aux Comptes…) en vous communiquant de nouvelles coordonnées bancaires afin d’effectuer vos prochains règlements. 

 

 

Pour toutes les entreprises victimes de ces cyber-attaques, les préjudices financiers s'avèrent considérables en coûts directs ou indirects: atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques, avantages donnés aux concurrents...

 

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

 

 

 

CYBERISQUES.COM premier servicedeVeille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

 

 

Cybersécurité: Trois tendances fortes pour 2015 en Europe (Extraits) :

 

 

 

 

1 - Evolution du Cadre réglementaire en Europe:

L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2.

 

 

Publication le 15 décembre 2015 de la Directive Européenne sur le renforcement de la protection des données: sanction prévue pouvant atteindre 5% du chiffre d'affaires en cas de non respect de la réglementation européenne:http://www.cyberisques.com/fr/component/content/article/83-categorie-3/337-edouard-geffray-le-futur-texte-eu-prevoit-comme-sanction-5-du-ca-en-cas-de-non-respect-de-la-reglementation-eu

 

 

 

 

2 - Données critiques, notification... des actifs nouveaux pour les solutions de transfert de risques et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information variable dans le temps. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie les informations-data comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :


- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

 

 

 

3 - Evolutions de la perception des cyber-risques par les IT managers et membres des COMEX / CODIR:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de toutes les réflexions en matière de cyber-prévention. Selon une étude réalisée par Vanson Bourne pour NTT Com Security, 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne).

En 2015, la cybersécurité s'impose aux Comité de direction et COMEX/CODIR. De plus en plus de dirigeants perçoivent la cybersécurité comme un process de production, un atout marketing et un élément de différenciation fort. Par ailleurs la poussée réglementaire dans ce domaine encourage les chefs d'entreprise a prendre en compte les notions de prévention financière des risques (cyberassurance) et responsabilité civile pour leur propre "protection juridique". Certains responsables se sont vus condamnés suite à une cyber-attaque en raiso d'un niveau de sécurité “insuffisant de leur SI”.

Enfin, au plan économique, l"insécurité coûte de plus en plus chère: par attaque, environ 500 000 euros en moyenne en Europe pour de grandes organisations et 2,9 millions de dollars aux Etats-Unis en 2014 (Source NetDiligence). Il devient impératif de rassurer clients, partenaires et collaborateurs par un niveau d'excellence de la eRéputation des entreprises. Il faut également cartographier, identifier et protéger les "données les plus critiques" des entreprises, coeur de cible des cyber-attaquants.

Dernier point, 2015 sera peut-être celle d'un véritable débat sur... la Sécurité offensive. En clair pour connaitre au mieux les cyber-attaquants, attaquons les afin de disposer d'une vison précise de leur organisation. Sujet tabou qui divise. Pendant combien de temps encore ? D'autant que de plus en plus d'entreprises vendent des informations liées à ce type d'actions sans que les “acheteurs” posent évidemment la question de leur provenance (codes sources de malware et outils, binaires malwares inconnus, adresses IP de cibles potentielles, données exfiltrées, futures cibles, documents de “cyber-chantage”...)

 Pour info: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

 

Selon une etude de Deloitte publiée en décembre 2014:

 

  • 87% des dirigeants considèrent le risque de réputation comme le risque stratégique le plus important pour leur entreprise

  • 41% des chefs d’entreprises sondés reconnaissent qu’un évènement nuisant à leur réputation peut avoir des conséquences sur le chiffre d’affaires de l’entreprise

  • Seuls 19 % des entreprises sont confiantes dans leurs compétences en matière de gestion de ces risques aujourd’hui

  • 57% des chefs d’entreprises sondés souhaitent mettre en place des cellules de crises disposant d’outils d’analyse et de suivi de la marque pour anticiper et gérer les crises de réputation

 

 

 

Pour lire cette analyse dans son intégralité (témoignages de dirigeants, cas réels, vrais chiffres, retours d'expérience pistes de réflexions, solutions ..)

 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

Très bonne fêtes !

 

Jean Philippe Bichard

rédacteur en chef cyberisques.com

  

This email address is being protected from spambots. You need JavaScript enabled to view it.

Dirigeants, pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

L'information c'est ce qui réduit l'incertitude et nous le savons, l'incertitude a un prix élevé. Gagnez du temps et de l'argent en étant le premier informé.


 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information