Les cyber risques, l’e-réputation et leur évolution





télécharger 43.13 Kb.
titreLes cyber risques, l’e-réputation et leur évolution
date de publication20.05.2017
taille43.13 Kb.
typeDocumentos
d.20-bal.com > loi > Documentos









Cyber-risques et

e-réputation

Séminaire Innovation du Centre des Hautes Etudes d’Assurances

Paris, le 5 septembre 2013

Sommaire

I.I. Introduction 4

1.Les cyber risques, l’e-réputation et leur évolution 4

1.Les risques liés à la sécurité du réseau internet  5

2.Les risques liés aux contenus présents sur le réseau internet : l’e-réputation 5

2.Les réponses actuelles pour les cyber managers 6

3.Les cyber-risques : quelles solutions internes ? 6

1.Le renforcement législatif 6

2.Les mesures de protection des entreprises 6

4.Les alternatives d’assureurs 7

a. Un marché assurantiel encore peu développé en matière de cyber-risques 7

b. L’e-réputation : risques et solutions assurantielles 8

3.Témoignage d’Eric LEMAIRE, Directeur de la Communication et de la responsabilité d’Entreprise d’AXA France 9

II.Echanges avec la salle 10
I.I. Introduction

Pierre-Charles PRADIER, Directeur délégué de l’Ecole nationale d’assurances

Bonsoir à tous et à toutes, je suis ravi d’ouvrir la séance du séminaire Innovation du CHEA consacrée aux cyber-risques et à la e-réputation. Bertrand De Battista, Anne De Guigné, Frédéric Coppin, Nicolas Gomart, Christophe Guirten, et Marc  Lesieur nous présenteront leurs travaux. Eric Lemaire, Directeur de la Communication d’AXA France, a apporté son concours à ces derniers, et je le remercie d’être parmi nous.
  1. Les cyber risques, l’e-réputation et leur évolution

Bertrand DE BATTISTA

Dans moins de dix ans, le nombre des machines connectées sera supérieur à 30 milliards, et celles-ci constitueront autant de vecteurs potentiels de cyber-risques. Nous sommes déjà de plus en plus exposés à ces derniers. Dans le monde de l’entreprise, les frontières entre les appareils personnels et professionnels se brouillent : le phénomène BYOD (Bring Your Own Device) est le cauchemar des DSI. L’externalisation des données grâce au Cloud computing pose également de multiples problématiques juridiques aux sociétés.

La production de données s’accroît de 60 % par an. Les données produites au cours des deux dernières années sont ainsi supérieures aux données produites pendant toute l’histoire de l’humanité. Or, moins de 20 % de ces données font l’objet d’une protection, bien qu’un tiers le mériterait, ce qui favorise le développement de la cybercriminalité.

Le piratage est universel. Un internaute est « hacké » toutes les 18 secondes, et 90 % des entreprises américaines auraient été victimes d’un piratage au cours des douze derniers mois. Le coût de la cybercriminalité est estimé à 110 milliards de dollars dans le monde, et à 2,5 milliards d’euros par an pour les entreprises françaises.

Pourquoi les cyber-risques nous intéressent-ils en tant qu’assureurs ?

Le marché de l’assurance contre les cyber-risques est aujourd'hui essentiellement anglo-saxon. Il est estimé à 700 millions d’euros. 30 % des entreprises américaines souscrivent une police d’assurance contre les cyber-risques. Le phénomène est beaucoup moins fréquent en France. En effet, jusqu’à présent, les polices d’assurance françaises étaient plus généralistes que les polices étrangères, et couvraient donc par défaut les cyber-risques. Toutefois, la prise de conscience du coût croissant des cyber-risques incite les assureurs à mettre en place des franchises et des exclusions. C’est pourquoi, progressivement, nous assistons à un transfert des polices généralistes vers des polices cyber. Toutefois, les entreprises demeurent encore sceptiques vis-à-vis de ces polices spécialisées, notamment en raison de leur coût.
1.Les risques liés à la sécurité du réseau internet 

Les risques liés à la sécurité du réseau internet sont multiples.

Pertes ou dommages des biens numériques

La restauration d’une donnée perdue coûte de 20 à 200 euros.

Violation de la confidentialité des données

Une directive européenne a été transposée en droit français par un décret du 30 mars 2012. Elle met en place une procédure de notification relativement coûteuse pour les entreprises. Celles-ci doivent informer la CNIL de l’étendue de la violation et des personnes concernées par celle-ci. Elles doivent également faire savoir à ces personnes que leurs données ont été piratées.

Indisponibilité du réseau informatique

Les hackers peuvent lancer une « attaque par déni de service » afin de rendre un réseau indisponible.

Prise de contrôle du processus informatique

Les pirates peuvent pratiquer la cyber-extorsion, c'est-à-dire exiger une rançon en échange de la remise en état du service.

Anne DE GUIGNÉ

En avril 2011, le groupe de lobbyistes hackers Anonymous a mené une double attaque sur le réseau de jeu en ligne et le service de musique et de vidéo à la demande de Sony. Il s’agissait de punir la compagnie, car celle-ci avait déclenché une armada judiciaire contre un jeune homme qui avait « craqué » la PlayStation. Or, Sony n’était pas du tout préparé à ces attaques. Ses serveurs, notamment, n’auraient apparemment pas été protégés par un pare-feu. Les sites visés ont été bloqués pendant plus d’un mois. 2,2 millions de données personnelles, dont des données bancaires, ont été volées par les hackers. Plus d’un million d’utilisateurs ont poursuivi Sony en justice, et la société, gravement décrédibilisée, a essuyé des pertes estimées à plus de 100 millions d'euros.
2.Les risques liés aux contenus présents sur le réseau internet : l’e-réputation

Bertrand DE BATTISTA

Les contenus figurant sur internet peuvent présenter des risques médiatiques pour les entreprises : rumeurs, avis négatifs de consommateurs, détournement de logo, phishing, etc. Ils exposent également les individus à des risques nombreux. C’est pourquoi les pouvoirs publics envisagent de créer une législation visant à donner aux personnes le « droit à l’oubli ». Un projet de règlement européen pourrait également être prochainement validé.

Anne DE GUIGNÉ

S'agissant de l’e-réputation, l’affaire Findus témoigne d’une multiplication d’erreurs. En février 2013, Findus a révélé que ses lasagnes surgelées contenaient de la viande de cheval. L’entreprise, victime d’une fraude, pensait que les consommateurs lui sauraient gré de cette révélation. Elle n’imaginait pas l’ampleur que sa déclaration prendrait sur les réseaux sociaux. Après une période de relative inertie marquée par une présence minime sur les réseaux sociaux, Findus a fait appel à une agence d’e-réputation. Cette dernière a répondu violemment aux attaques des consommateurs, sans dialoguer, ce qui a aggravé la situation. Une nouvelle agence a apporté un certain apaisement, mais l’e-réputation de Findus a été abîmée pour plusieurs années.
  1. Les réponses actuelles pour les cyber managers
3.Les cyber-risques : quelles solutions internes ?

Nicolas GOMART

Les cyber-risques revêtent un caractère systémique qui rapproche ceux-ci des risques financiers. En effet, les acteurs sont extrêmement dépendants les uns des autres. Une entreprise peut certes se protéger efficacement, mais elle demeurera vulnérable si ses partenaires n’agissent pas de même. La cyber-sécurité doit donc être envisagée au niveau macro et à un double niveau : législatif et interne.

                1. Le renforcement législatif

Depuis plusieurs années, l’arsenal législatif visant à contraindre les entreprises à se protéger contre les cyber-risques s’est renforcé. Le Livre blanc sur la défense et la sécurité nationale paru en avril 2013 propose un projet de loi qui obligerait les 250 entreprises françaises les plus sensibles à se doter de mesures protectrices et à se soumettre à des obligations déclaratives, ainsi qu’à des contrôles de l’Agence nationale de sécurité des systèmes d’information.

                1. Les mesures de protection des entreprises

Prise de conscience

Selon le mot du directeur du FBI, Robert Mueller, « il n’existe que deux types d’entreprises : celles qui ont été piratées et celles qui le seront ». Le risque est donc devenu une quasi-certitude, ce qui pose le problème de l’assurabilité.

La prise de conscience passe, dans les entreprises, par l’identification des personnes à risque (cadres dirigeants, cadres itinérants, et membres des services informatiques), la cartographie des risques, l’analyse des contrôles (sont-ils pertinents, suffisants, complets ?). Il faut également arbitrer entre la fluidité du fonctionnement de l’entreprise et le contrôle. En effet, plus le niveau de ce dernier est élevé, plus le confort des utilisateurs se réduit. Néanmoins, le renforcement des mesures réglementaires tend à restreindre les possibilités d’arbitrage.

Mesures de protection

Les mesures de protection sont d’ordre physique (contrôler l’accès aux locaux, ramasser les papiers qui traînent près des imprimantes) et informatiques (antivirus, antispam, etc.). Les entreprises doivent également adopter des règles afin de limiter l’utilisation des applications peer-to-peer, et veiller à ce que leurs anciens collaborateurs n’aient plus accès à leurs systèmes. S'agissant des vols ou des fuites de données, les risques principaux résident dans les smartphones des collaborateurs. Les outils de Data Loss Prevention permettent de codifier très précisément les données qui sortent d’une entreprise, notamment via les messageries. Enfin, il faut sensibiliser les utilisateurs aux risques, grâce à des chartes d’usage et de bonnes pratiques.

Mesures de contrôle

Des sociétés spécialisées peuvent simuler des attaques contre les systèmes d’information des entreprises (effical hacking), afin de vérifier le degré de protection et de résistance de ceux-ci. Les entreprises doivent également élaborer des plans de continuité d’activité, ainsi que des plans de secours informatiques.

Transfert des risques résiduels

Les entreprises peuvent enfin choisir de transférer une partie des risques à l’extérieur, c'est-à-dire vers les assureurs. Cette solution assurantielle ne concerne cependant que les sociétés qui peuvent facilement mesurer la perte d’exploitation que représenterait une attaque cybercriminelle, c'est-à-dire essentiellement les entreprises de e-commerce et celles qui manipulent des données confidentielles ou privées couvertes par la loi.
4.Les alternatives d’assureurs

a. Un marché assurantiel encore peu développé en matière de cyber-risques

Christophe GUIRTEN

Historiquement, le marché de l’assurance connaît le risque informatique sous l’angle des risques matériels. Cependant, les cyber-risques dépassent la classification classique des risques car ils peuvent concerner les biens de l’entreprise, atteindre des tiers, etc. C’est pourquoi les assureurs ont du mal à les appréhender.

L’inertie du marché assurantiel français face aux cyber-risques peut s’expliquer par plusieurs raisons :

la difficulté à analyser le risque (problème d’assurabilité) ;

le manque de recul pour les actuaires ;

le niveau de technicité ;

la peur de l’anti-sélection  (en ouvrant une nouvelle branche, les assureurs peuvent craindre d’y recevoir toutes les entreprises qui n’ont pas su se protéger par ailleurs) ;

la complexité en matière de vente des produits, car les assureurs doivent s’adapter aux nouveaux interlocuteurs que sont les DSI ;

les coûts ;

le nécessaire ajout de prestations annexes (gestion de crise, audits spécifiques sur la capacité des entreprises à gérer les risques, etc.).

Il y a une dizaine d’années, Ace avait innové en lançant, en complément d’une garantie liée aux dommages informatiques matériels, une garantie relative aux préjudices immatériels subis par une entreprise et aux préjudices occasionnés aux tiers. Très récemment, cet assureur a été rejoint par d’autres compagnies, pour la plupart anglo-saxonnes. J’ai détaillé dans ma présentation les principales caractéristiques des offres de Hiscox, Ace et AIG, dont les efforts pour distribuer leurs produits par le réseau traditionnel de courtage sont pour le moment assez peu couronnés de succès. Quelques courtiers tels que Gras Savoye ou Aon apportent néanmoins une réelle plus-value aux produits, car ils développent une approche spécifique et une technicité propre.

Il existe malgré tout une réelle opportunité de développement pour les assurances. Cependant, nous pouvons nous interroger sur la manière dont le marché traditionnel réagira à ces nouvelles couvertures : les intégrera-t-il dans des produits classiques en étendant le spectre des garanties, ou bien développera-t-il une branche spécifique cyber-risques ? Il est certain, du moins, que les entreprises devront disposer d’une capacité d’analyse en interne, que les courtiers devront être suffisamment au fait de la question, et que les assureurs devront être impliqués et spécialisés, car il est difficile d’imaginer qu’un souscripteur en dommages ou RC généralistes apportera une solution spécifique.

b. L’e-réputation : risques et solutions assurantielles

Frédéric COPPIN

Sur internet, la diffusion de messages à caractère négatif a un impact très fort et très rapide sur l’image d’une société. Or, trois quarts des entreprises n’ont pas conscience du fait qu’une mauvaise e-réputation peut leur nuire. Lorsqu’elles le réalisent, elles initient une démarche de risk management classique.

Par ailleurs, toutes les entreprises ne sont pas égales face au risque d’e-réputation. Sur internet, certaines marques sont aimées (par exemple, Apple et Nutella donnent lieu à un buzz positif.) et d’autres ne le sont pas, notamment celles du secteur bancaire et assurantiel. La plupart des entreprises ne font l’objet d’aucun buzz car elles commercent principalement en B to B, sans client final. Elles ont donc tout intérêt à travailler le buzz positif elles-mêmes.

Les anciens leaders d’opinion (journaux, télévision, radio) sont aujourd'hui dépassés par les blogs et réseaux sociaux qui diffusent largement l’information, et sur lesquels les militants et les salariés peuvent critiquer les entreprises. Celles-ci sont donc confrontées à de multiples risques numériques.

Risque stratégique

La stratégie d’entreprise peut être mise à mal par la divulgation d’informations de nature à desservir les intérêts des clients, des actionnaires et/ou des distributeurs. Face à ce risque, les entreprises ont plusieurs possibilités :

mettre en place une veille interne et utiliser des outils tels que la console d’engagement Digimind (lieu unique permettant d’engager la discussion avec les internautes via les différents comptes sociaux d’une entreprise, et de suivre le buzz dont cette dernière fait l’objet) ;

constituer une équipe de Community management (collaborateurs habilités à s’exprimer au nom de l’entreprise) ;

construire une stratégie de communication collective (e-réputation et top réputation).

Risque juridique 

Il s’agit de déterminer la réponse la plus adaptée aux diffamations : absence de réponse, réponse individuelle à un internaute, action en justice, etc.

Risques de vol de données en interne

La solution réside dans la sécurisation des systèmes d’information et la sensibilisation des collaborateurs des entreprises.

Risque lié aux ressources humaines 

Lorsqu’une entreprise est confrontée à la divulgation d’informations négatives par l’un de des collaborateurs, son attractivité sur le marché de l’emploi est susceptible d’en pâtir. La solution réside à terme dans la sensibilisation des salariés.

Risque marketing 

La dégradation de l’image de marque d’une entreprise par des consommateurs déçus est le risque le plus commun. Dans ce cas, il faut travailler sur la stratégie de communication collective et individuelle de la société, de manière à contrecarrer les avis négatifs des internautes.

Les solutions assurantielles pour les particuliers

Les solutions pour les particuliers consistent essentiellement en des contrats de protection juridique comprenant des volets assistance. Plusieurs modèles coexistent dans un marché encore peu développé : contrat dédié optionnel (Swiss Life) ; inclusion dans un contrat de protection familiale de type GAV (AXA) ; option dans un contrat de protection juridique (Finaref). Il est difficile de juger de la pertinence de ces modèles. Peut-être la solution résiderait-elle dans une assurance affinitaire liée à des produits nomades.
Quant aux garanties d’assistance des contrats, elles prévoient l’intervention d’un prestataire spécialisé en e-réputation tel que Reputation Squad. Celui-ci identifie la source de la mauvaise réputation, la supprime lorsque c’est possible ou bien, à défaut, la noie.

Les solutions assurantielles pour les entreprises

Les quelques contrats du marché combinent souvent deux volets (« Care and Cure ») reposant sur le recours à des prestataires spécialisés : prévention des risques au moyen d’un audit sur l’e-réputation et, en cas de survenance du risque, des garanties de type gestion des crises combinant assistance et assurance. Mais les souscriptions restent confidentielles et leur caractère optionnel les rend chères avec des risques d'antisélection.
  1. Témoignage d’Eric LEMAIRE, Directeur de la Communication et de la responsabilité d’Entreprise d’AXA France

Je suis directeur de la communication d’AXA France depuis dix ans, et j’ai constaté deux changements majeurs au cours de ma carrière : d’une part, le développement d’internet et des réseaux sociaux (85 % des internautes sont au moins inscrits sur un réseau social) ; d’autre part, la transparence quasi-absolue que permettent les nouveaux médias. Chacun peut diffuser, à tout moment, n’importe quel contenu.

Toutefois, il convient de prendre conscience de ce phénomène de société sans « sur réagir ». En effet, certains risques - droit à l’image, diffamation, divulgation d’informations confidentielles - ne sont pas nouveaux. Le modèle économique d’internet est également connu car, loin d’être gratuit, il repose sur la publicité. La seule véritable nouveauté réside dans le fait que les réseaux sociaux véhiculent des informations plus rapidement et plus intensément, et dans le fait que les données ne s’effacent pas. Le produit proposé par AXA permet de noyer ces dernières.

La question essentielle est la suivante : comment les assureurs peuvent-ils interagir avec le public et créer une valeur pour leurs marques sur les réseaux sociaux, sachant qu’ils ne sont pas naturellement  aimés ?

Je pense qu’il convient premièrement de mettre en place une veille permanente. AXA dispose d’une organisation qui lui permet d’exercer une veille sur 500 000 forums et blogs. L’entreprise fait l’objet de 2 000 mentions sur internet par mois : 15 % d’entre elles sont négatives, 15 % sont positives, et les autres sont neutres.

Deuxièmement, l’immédiateté est fondamentale : les entreprises doivent se montrer réactives et apporter des réponses instantanées aux internautes en employant le ton adéquat et en gardant toujours à l’esprit que ces derniers mettent leur vie en scène sur les réseaux sociaux. Ils ont donc besoin d’écoute et de reconnaissance.

Il faut enfin se préparer aux crises potentielles, car la connexion entre les réseaux sociaux et les medias traditionnels est très rapide. Je vais détailler un exemple. Les déclarations racistes de l’ancien dirigeant de Guerlain ont été relayées par les réseaux sociaux, et plusieurs boutiques ont été vandalisées. En tant qu’assureur de LVMH, AXA a indemnisé Guerlain, ce qui a été traduit sur les réseaux sociaux par le raccourci suivant : « AXA indemnise le racisme ». Nous avons dû apporter des réponses rapides à ces attaques.

AXA a un compte Twitter qui rassemble 5 000 followers. J’ai créé un blog expérimental qui permet notamment, en situation de crise, de répondre aux internautes en utilisant les mêmes armes qu’eux. Il est également important de penser au personal branding des dirigeants. Enfin, nous avons choisi de prévenir le risque numérique par l’éducation à celui-ci. C’est pourquoi nous avons rédigé, avec nos collaborateurs, un Guide du Bon Sens Numérique. Il vient de paraître et s’adresse à tous les usagers.

Je vous remercie.
II.Echanges avec la salle

Olivier COPPERMAN 

La sensibilisation des dirigeants et du Comex des entreprises est la première étape du processus de protection contre les cyber-risques. Il faut les informer qu’ils sont responsables des données sur le plan juridique et, partant, assignables en justice. Lorsqu’ils en sont dûment prévenus, ils vérifient les dispositifs de protection de leur société, ce qui implique la réalisation de cartographies des risques et le recours à des mesures assurantielles telles que des contrats de responsabilité civile destinés aux mandataires sociaux. Il convient également d’identifier les potentiels « trous » dans la couverture assurantielle, et d’examiner, avec les courtiers et les assureurs, s’il existe des redondances dans les dispositions des différents contrats. L’année prochaine, la CNIL transposera une directive européenne imposant à tout détenteur de capital informationnel, et non plus aux seuls fournisseurs de services de communications électroniques, de notifier les violations de données aux personnes concernées. Les dirigeants, notamment les patrons de PME, doivent s’y préparer.

Je partage par ailleurs l’opinion d’Eric Lemaire quant au fait que les risques ne sont pas inédits. Les entreprises savent élaborer des plans de gestion de crise et de continuité d’activité. Il leur reste à identifier les nouveaux intervenants du marché et à juger de la pertinence des contrats d’assurance.

Anne DE GUIGNÉ

Nous vous remercions et vous souhaitons une bonne soirée.

Document rédigé par la société Ubiqus – Tél : 01.44.14.15.16 – www.ubiqus.fr – infofrance@ubiqus.com

similaire:

Les cyber risques, l’e-réputation et leur évolution iconFormation aux Premiers Secours afgsu
«l‘éducabilité professionnelle», ainsi les stagiaires ressentiront la formation comme un moyen efficace au cœur de leur évolution...

Les cyber risques, l’e-réputation et leur évolution iconAdresse : 2 Avenue François Mitterrand 93200 Saint-Denis, France
«Inova». Je voudrais saluer leur disponibilité, leur amabilité et leur patience pour toutes les explications et les documents qu’ils...

Les cyber risques, l’e-réputation et leur évolution iconIngénieurs, Cadres et Techniciens
«la responsabilité sociale des cadres» afin d’opposer une résistance aux risques que les directions d’entreprises font courir aux...

Les cyber risques, l’e-réputation et leur évolution iconAu cours de son évolution, l’interface ata parallèle a connu plusieurs...
«les données s’étendent de telle sorte qu’elle occupe in fine l’espace mis à disposition pour leur stockage». Cela signifie que,...

Les cyber risques, l’e-réputation et leur évolution iconCompte-rendu de la journée d'études : cas pratiques juridiques dans le cyber-espace
«Islam4earth» qui impulse une grande partie de la radicalisation. Quand Baptiste décide de partir en Syrie rejoindre le Califat,...

Les cyber risques, l’e-réputation et leur évolution iconRecherche + 33 03 20 62 15 59 philippe herbaux@univ-lill fr
«L’agir instrumental et l’agir communicationnel» d’Habermas trouve ici une illustration dans leur complémentarité. Cette évolution...

Les cyber risques, l’e-réputation et leur évolution iconC h arte pour l'utilisation publique d’internet
«usager internaute». Cette inscription leur permettra de retirer leur identifiant et leur mot de passe

Les cyber risques, l’e-réputation et leur évolution iconLe mouvement Freinet au quotidien
«livre de vies» ou plutôt de «signes de vies», signes parce qu'à la fois significatifs et signifiants par leur fond, leur forme,...

Les cyber risques, l’e-réputation et leur évolution iconLa proximité des côtes languedociennes et provençales, l'importance...
«premier collège» sans modification de leur statut personnel, promesse étant faite aux autres d'une évolution identique dans un délai...

Les cyber risques, l’e-réputation et leur évolution iconLutter contre le harcelement a l’ecole
«virtualisation» des relations numériques déréalise la violence du cyber-harcèlement






Tous droits réservés. Copyright © 2016
contacts
d.20-bal.com