GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE - Assurances des Cyber-rançons –

🚩 Les objectifs de la démarche de gestion des risques sont de :

·      transférer le risque ;

·      atténuer le risque ;

·      lever le risque ;

·      accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

‍

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management.Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

·     l’assurance pour le transférer

·     les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

🚩 Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE

🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plansd’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action /fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action /cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

🚩 Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.

- un article sur l’importance de la sensibilisation

- des vidéos de sensibilisation de l’ANSII destinés aux collaborateurs à la gestion du cyber-risque

- la campagne de sensibilisation deSPIE à la cyber-sécurité

‍

🔍 Se poser les bonnes questions.

- le guide de l’ANSII destiné auxTPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI

🚩 S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.

Cyberattaques : la faille est souvent interne et humaine

Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires. 

Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l'entreprise.

Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L'humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.

Au sein des entreprises, il est récurrent que la faille de sécurité soit d'origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 %des incidents de sécurité proviennent d'un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d'entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.

Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent15 % de ces risques.

Invalider les droits d'anciens employés

Souvent, lorsqu'un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l'entreprise et au bout de quelques années, cela peut concerner un nombre d'anciens employés important et donc une faille sécuritaire considérable. Le risque est d'autant plus grand pour les employés quittant l'entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d'autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.

Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l'on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l'air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C'est pour cela qu'il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre.Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu'on n'est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d'e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.

Lucie et Thierry Brenet. Les Echos. 22 novembre

Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs

Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.

Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.

Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.

Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.

https://www.youtube.com/watch?v=mhL8AWqv3Es

Le Loup et l’Agneau

Problématique : “Ce n’est pas ma priorité”

Le Corbeau et le Renard

Problématique : “Je n’y connais rien, je ne suis pas concerné”

Le Lièvre et la Tortue

Problématique : “Je n’ai pas le temps”

La Cigale et la Fourmi

Problématique : “Je n’ai pas le budget”

La campagne de sensibilisation de SPIE

12 vidéos très courtes mais percutantes

Un exemple, la clé USB : https://lnkd.in/ghDpwp84

La liste complète ici : https://lnkd.in/gv96aSCn

La cyber-sécurité pour les TPE / PME en 13 questions

Avec la digitalisation des entreprises, le nombre d'attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d'un certain nombre de cyber-menaces.

Découvrez la mise à jour du guide de l'#ANSSI réalisé avec la Direction Générale desEntreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.

📕 https://www.entreprises.gouv.fr/fr/actualites/numerique/la-cybersecurite-pour-tpe-pme-13-questions

Une veille sur l’actualité /assurance des cyber-rançons : épilogue

✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale

🚨 15 novembre 2022à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE

⚠ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :

🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.

🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».

🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.

🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.