Le monde de l’éducation n’est pas épargné par le fléau des cyber attaques.

60% des écoles et universités ont été l’objet de campagnes de phishing en 2020.

Source: Netwrix (Avril 2021)

Ce sont les nombreuses données détenues sur les élèves et anciens élèves qui attirent les pirates du web.
Le vol de ces données peut engendrer des recours mettant en cause l’établissement attaqué et ses dirigeants.
Par ailleurs les experts mobilisés en cas de sinistre coutent très cher (informaticiens, juristes, communicants…).

La cyber assurance permet d’organiser et d’indemniser l’action des experts mobilisés en cas de cyber attaque, de restaurer le système d’information, de réparer le préjudice subi par les élèves etc.

Le cout d’une cyber attaque peut être très élevé et peut difficilement être budgété.
Notre approche innovante mobilise différentes expertises au service de la cyber sécurité des écoles et universités. La priorité est donnée à la prévention et à la protection des systèmes d’information, le risque résiduel pouvant ensuite être transféré à l’assureur choisi.

L’objectif partagé par OAKland et Assurwest est d’offrir aux Directeurs concernés un conseil à forte valeur ajoutée en cyber prévention et cyber assurance.
Nous cherchons à simplifier l’approche, pour le dirigeant, en regroupant au sein d’une même démarche différentes expertises, pour offrir une vue à 360 degrés .

Nous avons bâti avec nos partenaires toutes les briques qui permettent de sécuriser le SI des établissements rencontrés (solutions techniques, formation, assurance…).

Nous visons un accompagnement sur le long terme car une cyber défense efficace se construit sur le temps long.

Nos points forts : une seule équipe d’intervention mobilisant différentes expertises, capable de parler avec les interlocuteurs internes et/ou externes de l’Ecole ou de l’Université (Direction informatique, Direction juridique, société d’info gérance etc.). Ceci permets de restituer de façon claire et pédagogique les enjeux principaux au Directeur d’établissement.

Rencontrons-nous pour un premier échange qui nous permettra de vous présenter notre méthode de travail et nos outils.

Tél. : 02 51 77 10 07
E-mail : contact@assurwest.fr

> En lire plus sur le site OAKland

Cet article Une cyber assurance spécifique pour grandes écoles et universités ? est apparu en premier sur .

Qui mieux que les responsables sécurité des systèmes d’information du CESIN (Club des experts de la sécurité de l’information et du numérique), qui réunit en grande partie les groupes du CAC 40, peuvent évoquer de façon aussi réaliste la menace cyber, une menace quotidienne… C’est bien pour cela que le nouveau baromètre du CESIN publié mardi à l’occasion de l’inauguration à Lille du Forum international de la cybersécurité (FIC), offre un panorama très intéressant sur la façon dont les entreprises tentent de se protéger contre cette menace très prégnante.

Au final, le tableau reste assez sombre. Car seuls 52% des responsables sécurité des systèmes d’information (RSSI) se disent confiant dans la capacité de leur entreprise à faire face aux cyber risques (en hausse de cinq points par rapport à 2015). Pour assurer leur cyber sécurité, 84% d’entre eux vont acquérir de nouvelles solutions techniques, 55% augmenter leur budget et 44% accroître leur effectif.

Hausse des attaques

Les résultats de ce deuxième baromètre (141 répondants) ne sont guère rassurants. Car – et ce n’est pas une surprise – les attaques ont augmenté en 2016 par rapport à 2015 pour 46% des RSSI tandis que 53% d’entre eux estiment qu’elles sont stables. Près de 80% des entreprises ont constaté au moins une cyber attaque avérée, qui a réussi à entrer dans un ou des serveurs de l’entreprise. En moyenne, elles mettent entre une et six heures pour s’apercevoir des attaques et entre trois jours et trois semaines pour nettoyer le système.

Parmi les entreprises interrogées, 21% ont été touchées par 15 attaques ou plus, 9% entre 10 et 14 attaques, 15% entre quatre et neuf, et, enfin, 34% entre une et trois. « Les attaques touchent toutes les entreprises, explique le président du CESIN, Alain Bouillé, RSSI à la Caisse des Dépôts. Plus personne ne peut se réfugier sur l’argument ‘cela n’arrive qu’aux autres’. Ce temps est terminé ».

La demande de rançon (ransomware) reste l’attaque la plus subie par les entreprises (80%, en hausse de 19 points). Suivent les attaques par déni de service (40%), les attaques virales générale (36%), la fraude externe (29%)… tandis que le cyber-espionnage économique et industriel est relativement peu fréquent (9%), tout comme la fraude au président (4%). En moyenne, les entreprises subissent trois types d’attaque, explique le CESIN.

Des solutions jugées inefficaces

Face aux menaces grandissantes, 40% des entreprises estiment que les solutions techniques proposées par le marché ne sont pas adaptées aux types et à la fréquence des menaces. 31% d’entre elles jugent que ces solutions ne sont pas non plus adaptées aux besoins de leur entreprise. Par exemple, les sondes de sécurité conseillées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont jugées peu efficace (54%) tout comme le chiffrement de base de données (60%). A l’inverse, les pare-feux (91%), le VPN (89%) et le filtrage web (78%) sont jugées efficaces. « Il existe un gap entre ce qu’on nous propose et ce dont nous avons besoin », regrette le vice-président du CESIN, Olivier Ligneul, RSSI du groupe EDF.

Et pourtant les entreprises s’équipent de plus en plus pour repousser les cyber attaques. En moyenne, les RSSI mettent en place simultanément onze solutions et disposent d’un budget représentant entre 3% et 10% de leur budget informatique. Pour faire face à la menace, ils plébiscitent le VPN (87%), le filtrage web (84%), les antispam (79%), les proxy URL (64%)… De plus en plus d’entreprises souscrivent à une cyber-assurance. Ainsi 26% ont déjà souscrit à une assurance tandis que 17% envisagent de le faire d’ici un an… même si les assureurs, à l’exception du leader de cette niche de marché Marsh, ne comprennent pas toujours les risques liés aux cyberattaques, estime-t-on au CESIN.

La cyber-menace, un frein à la transformation numérique?

Considérée à 95% par les membres du CESIN comme un enjeu stratégique, « la transformation numérique génère de nouveaux risques », estime Alain Bouillé. Ainsi, 95% considèrent qu’elle a un impact sur la sécurité des systèmes d’information et des données, et 89% jugent qu’elle a un impact sur la gestion des données sensibles de l’entreprise. La transformation numérique vient perturber la cyber sécurité installée dans les entreprises, à l’image du cloud qui est utilisé à 82% par les entreprises interrogées, des objets connectés… Résultat, plus d’une entreprise deux (58%) considère que les solutions disponibles sur le marché ne sont pas adaptées.

Selon le CESIN, le cloud expose par exemple les entreprises à de nombreux risques, notamment en raison du moindre contrôle des données. Les RSSI évaluent un risque fort sur le contrôle des accès et des audits (57%), sur le stockage des données dans des datacenters à l’étranger, hors du droit français (55%), sur le non effacement des données (55%), sur la confidentialité des donnée vis-à-vis de l’hébergeur (50%). Du coup, sécuriser le cloud nécessite pour 91% d’entre eux de mettre en oeuvre des outils spécifiques.

En outre, la transformation numérique introduit de nouveaux risques liés aux nouvelles pratiques des salariés. L’utilisation de matériel informatique personnel au bureau (BYOD) représente un risque pour 54% des RSSI interrogés. Les objets connectés représentent un risque pour 96% des RSSI, tout comme le « machine to machine » (74%), le big data (69%), le e-commerce (59%) et la blockchain (37%). Bref, le métier des RSSI va devenir de plus en plus stressant. Pas sûr que leur sommeil soit paisible…

Source: La Tribune – Michel Cabirol – 24/01/2017
http://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/une-entreprise-francaise-sur-deux-vulnerable-face-aux-cyberattaques-632635.html

Cet article Une entreprise française sur deux vulnérable aux cyber attaques est apparu en premier sur .

Les contrats d’assurance traditionnels n’ont pas étés conçus pour répondre à ces besoins nouveaux. Ils excluent meme parfois ce type de risque !

Gérant associé d’Assurwest, Jacques Izart réponds aux questions de la Revue des anciens élèves de l’Ecole polytechnique (X).

En cas de divulgation, proposez-vous de réparer le dommage et comment l’évaluez-vous?

Si les données ont été volées, il est possible d’obtenir réparation, qu’elles soient divulguées ou utilisées à des fins commerciales sans aucune publicité (ex : vol de fichiers clients). La difficulté sera de prouver le vol des données, car la flagrance n’est pas évidente. Le vol peut se produire pendant des mois entiers et n’être découvert que très tardivement alors que le dispositif de captation des données a cessé de fonctionner depuis longtemps.

Comment prouver le vol alors que les données sont toujours dans mon système ?

Cela pose trois questions : comment mon dispositif de sécurité informatique peut me prévenir rapidement lorsqu’un flux anormal se produit (monitoring) ? Comment tracer mes données afin de prouver que celles utilisées par mon concurrent proviennent de mes bases ? Comment estimer mon préjudice ?
Nous conseillons nos clients pour les aider à apporter la preuve d’un vol de données. Les contrats d’assurance peuvent alors jouer pleinement leur rôle. Ils vont rembourser la perte d’exploitation, les frais d’investigation, les frais éventuels de reconstitution et de notification. Des actions sont également engagées afin d’agir sur l’e-réputation des clients sinistrés. Le tout, dans les conditions prévues au contrat. D’où la nécessité de bien analyser le contrat avant de souscrire. Pour les grands comptes, en travaillant avec le risk manager et le RSSI, nous définissons des scénarios de crise et rédigeons ensuite avec l’assureur un contrat « sur mesure».

Est-il possible d’envisager des contrats d’assurance en cas de divulgation des données et de cyber-attaques?

Au sens large, les cyber-risques sont les conséquences d’une atteinte au système d’information ou les effets d’une compromission des données (sans blocage du système d’information). Les contrats d’assurance traditionnels n’ont pas été conçus pour répondre à ces besoins nouveaux. Ils excluent même parfois ce type de risque ! Depuis quelques années, des polices d’assurances « cyber » sont donc apparues afin de combler ces lacunes, mais le risque n’est pas mûr et les contrats distribués en France offrent des périmètres de couverture encore hétérogènes. Ces polices « cyber » peuvent se substituer aux contrats mis en place dans l’entreprise ou venir simplement les compléter.

Mais une bonne assurance des risques cyber de l’entreprise se limite-t-elle seulement à couvrir les cyber-attaques?

Non, car l’erreur humaine (erreurs de programmation, de manipulation…) tout comme certains événements accidentels (dégâts des eaux, incendie, catastrophes naturelles…) peuvent provoquer des sinistres cyber. C’est pourquoi un bon contrat cyber protège l’entreprise au-delà des cyber-attaques.

Des experts peuvent-ils intervenir comme dans les sinistres habituels ?

Certains contrats proposent en effet une offre de services très utile : des experts juridiques qui gèrent les aspects légaux liés à la crise, des experts techniques qui investiguent sur l’incident et tentent d’en limiter les effets ainsi que des experts en communication qui gèrent les stratégies de communication interne et externe. Tous ces prestataires externes peuvent être pris en charge par le contrat d’assurance en cas de sinistre. Une bonne couverture des risques cyber passe très souvent par la souscription d’un contrat sur mesure de type « police d’assurance cyber ».

Comment voyez-vous l’avenir de l’assurance des datas?

Le marché de l’assurance des données des entreprises est encore embryonnaire en France et beaucoup d’acteurs tâtonnent encore sur le sujet. Tous les clients ne sont pas bien assurés en Responsabilité civile pour les dommages qu’ils peuvent causer aux entreprises avec lesquelles ils sont en relation (transmission de virus).

Comment incitez-vous les groupes à se protéger ?

Les efforts de communication de l’État, la progression des sinistres et les évolutions réglementaires (amendes en cas d’absence de mesures de protection suffisantes) devraient conduire les grandes entreprises françaises à optimiser leur prévention, leur protection et leur programme d’assurances. Enfin, la valorisation des Data grâce aux offres proposées par Altares (DSure) pourrait amener les assureurs à proposer des polices d’assurance cyber sur une base forfaitaire et non plus indemnitaire. Une évolution très intéressante pour ce marché à fort potentiel pour les assureurs.

La Jaune et la Rouge – Janvier 2017
Revue mensuelle de l’Association des anciens élèves et diplômés de l’École polytechnique

Cet article Contre le vol de données : vers des polices d’assurance cyber est apparu en premier sur .

Du cloud au BYOD en passant par le travail en mobilité, les évolutions récentes, tant au niveau des usages que des avancées technologiques, ont fait fortement évoluer la question de la cyber sécurité. Si les spams et autres phishing existent encore, de nouvelles menaces ont fait leur apparition. L’enjeu est devenu clé pour les DSI et, plus largement, pour l’entreprise entière, peu importe sa taille ou son secteur d’activité. Pour mieux cerner les grandes tendances de la cyber sécurité, Microsoft Ideas fait le point à travers cinq chiffres-clés.

81% des entreprises françaises ont été visées par une cyberattaque en 2015

Plus de 8 entreprises sur dix victimes d’une cyberattaque en 2015. Ce chiffre, avancé par un sondage OpinionWay pour le Club des experts de la sécurité de l’information et du numérique, en dit long sur la menace.

En moyenne, les entreprises ont recensé 13 attaques sur les 6 derniers mois. Des attaques qui prennent des formes très diverses, du ransomware (61%) au déni de service (38%) en passant par la défiguration de site web (23%) ou encore le vol de données personnelles (18%).

5 à 10 % du budget d’une entreprise devrait être consacrée à la cyber sécurité

5 à 10% du budget global : c’est l’estimation, formulée par Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), du montant à allouer par l’entreprise à la cyber sécurité. « Oui, la sécurité a un coût, mais ce n’est pas grand-chose comparé au prix à payer lorsqu’on est victime d’une attaque informatique. », précise-t-il.

Si toutes les entreprises sont des cibles potentielles, les secteurs des nouvelles technologies, des systèmes d’informations, des médias et tout ce qui touche aux transports, à la logistique et à la grande distribution sont les plus exposés à des pertes financières lourdes.

Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#akXM2UvEKE2bjOZO.99

Cet article Cyber sécurité : 5 chiffres-clés à connaître est apparu en premier sur .

Par définition les TPE n’ont pas de service informatique dédié à résoudre leurs problèmes informatiques. Tous leurs salariés, quand il y en a, ne sont là que pour une chose : développer le business et se concentrer sur le coeur de l’activité. Ce n’est pas une raison pour négliger sa sécurité informatique et faire n’importe quoi avec son réseau. Dans un livre blanc de 10 pages publié en mai dernier, le Clusif rappelle les mesures essentielles à prendre pour se mettre à l’abri des mauvaises surprises.

1. Sécuriser les échanges

Le premier point important consiste à sécuriser les échanges en chiffrant les informations essentielles avec un logiciel de messagerie adéquat, et donc pas uniquement un webmail accessible en ligne. S’il n’est pas possible de chiffrer et de signer complètement ses messages, le Clusif recommande de chiffrer au moins localement les pièces jointes et des informations sensibles pour que les tiers ne puissent les ouvrir à l’improviste.

Et rappelle des mesures de bons sens, telles que le changement des mots de passe régulièrement et a minima lors que des collaborateurs quittent la société (ne serait-ce que pour éviter que le commercial ne parte avec la liste de prospect dans son ordinateur). De même, pensez à utiliser des systèmes de VPN (Virtual private network – réseau privé network) pour travailler à distance sur le réseau de votre société.

2. Structurer son réseau

Le deuxième point consiste à structurer son réseau : ne pas multiplier les technologies différentes (pour faciliter les mises à jour), bien configurer ses pare-feu, antivirus et accès à Internet (en sachant qui accède à quoi et qui peut émettre quoi) tout en maintenant le tout à jour pour se prémunir d’éventuelles failles, et surtout proscrire l’accès à la fois à Internet et aux données sensibles sur l’entreprise à partir d’un même poste.

Le Clusif recommande également d’avoir un double abonnement à Internet en cas de panne du prestataire principal, même si cela semble a priori délicat pour des TPE.

3. Vérifier les mises à jour

Pour le cas où la TPE est un entrepreneur indépendant avec un seul ordinateur connecté à Internet, le Clusif lui recommande de vérifier « au minimum une fois par an » (sic) que les logiciels installés sont bien à jour. En pratique, si c’est votre outil de travail, faites-le une fois par semaine ou activez les mises à jour automatiques dans votre système d’exploitation. Vous devriez aussi désactiver les fonctions du système d’exploitation que vous n’utilisez pas (si cela est possible) ainsi que le compte invité, n’utilisez que des logiciels provenant de sources sures, protégez votre session avec un mot de passe robuste et sécurisé.

Et comme pour un ordinateur personnel, protégez-le par un pare-feu, antivirus (si vous êtes sous Windows), et faites des sauvegardes régulières de votre travail dans le Cloud et sur des supports externes physiques, en pensant à la possibilité de faire des restaurations en cas de souci.

4. S’assurer de la présence d’un pare-feu

Le Clusif insiste fortement sur la nécessité d’installer un pare-feu. Ce type de logiciel qui va filtrer la façon dont les données circulent entre votre ordinateur et votre réseau, voire Internet est déjà souvent installé dans la plupart des systèmes d’exploitation (Windows Defender par exemple) ainsi que dans les box des fournisseurs Internet.

Si les recommandations du Clusif vous semblent un peu trop complexe à mettre en place ou trop coûteuses puisqu’elles impliquent de passer par un prestataire commerciale, utilisez a minima ces solutions déjà disponibles et configurez soigneusement en utilisant comme principe de base « tout ce qui n’est pas explicitement autorisé est interdit ».

5. Protéger néanmoins la vie privée des salariés

Enfin concernant l’usage de la messagerie et du Web, le Clusif rappelle que la sécurité de l’entreprise ne doit pas se faire aux dépens du respect de la vie privée des salariés. S’il est donc nécessaire d’établir certaines méthodes de protection, celles-ci doivent respecter les recommandations de la CNIL.

ZDNet.fr – Par Stéphanie Chaptal | Mardi 23 Août 2016

Cet article 5 recommandations clés du Clusif pour la sécurité informatique des TPE est apparu en premier sur .

On sait que les entreprises sont rarement irréprochables d’un point de vue cyber sécurité, mais ce constat est également partagé par de nombreux acteurs industriels, de l’énergie ou de la santé. C’était l’un des objets de la loi de programmation militaire de 2013, qui a notamment instauré la définition d’une liste « d’Opérateurs d’Importance Vitale » (OIV) tenus de se soumettre certaines régulations spécifiques. Ces OIV, aujourd’hui estimés au nombre de 200 et dont la liste exacte est tenue secrète, attendaient encore de la part du gouvernement la publication d’arrêtés venant encadrer précisément les entreprises par secteur.

La rédaction de ces différents arrêtés a été faite « en collaboration avec les acteurs concernés de chaque filière » expliquait ainsi Guillaume Poupard lord du FIC 2016. Les trois premiers arrêtés sectoriels mis en œuvre depuis le 1er juillet concernent pour l’instant les secteurs d’activités « produits de santé », « gestion de l’eau » et « alimentation. »

D’autres arrêtés sont encore à venir, l’Anssi promet que ceux-ci arriveront avant la fin de l’année 2016, mais certains laissent entendre que la négociation entre les acteurs et l’agence gouvernementale retardent l’élaboration de ces textes pourtant cruciaux. Au total, le gouvernement envisage la publication d’arrêtés portant sur douze secteurs.

Les négociations sont donc toujours en cours et de nombreuses considérations restent secrètes, mais la publication de ces trois premiers arrêtés permet de donner une idée de la façon dont les OIV doivent appréhender les directives de sécurité. Il sera ainsi à leur charge de définir quelle partie de leur système d’information présente un caractère critique, désigné sous le nom de SIIV (Système d’Information d’Importance Vitale). Une fois celui-ci défini, l’OIV devra se charger de le faire homologuer par l’Anssi et devra organiser un audit de sécurité de celui-ci par un prestataire externe approuvé par l’agence. Cette dernière disposera des dossiers concernant ces SIIV et des informations permettant de « cartographier » précisément le système d’information.

Outre ces directives, les OIV devront également se mettre en règle à l’égard de plusieurs règles encadrant la remontée de données liées aux incidents de sécurité. Les OIV devront également mettre en place des sondes d’analyse de fichier homologuées par l’Anssi afin de disposer de capacité de détection capable d’analyser l’ensemble des flux entre les SIIV et les systèmes d’information tiers.

Mieux vaut tard que jamais

L’homologation de ces SIIV sera valable pour une période de trois ans. Les arrêtés prévoient également des dispositions visant à s’assurer du maintien en règle des SIIV, bien que des exceptions permettent de passer outre certaines mises à jour, mais l’opérateur devra néanmoins déployer des méthodes de contournement visant à limiter les risques.

Les secteurs industriels sont les premiers visés par ces nouveaux arrêtés. Mais la question de la cyber sécurité dans ces différents domaines inquiète depuis quelque temps déjà. Kaspersky publie ainsi cette semaine une étude sur la sécurité des équipements industriels : l’éditeur s’est ainsi appuyé sur des données rassemblées grâce au moteur de recherche Shodan et estime que près de 10 578 systèmes de contrôle industriels en France sont accessibles via Internet.

Tous ne sont pas forcément des équipements appartenant à des entreprises considérées comme des opérateurs d’importance vitale, mais les conclusions de Kaspersky laissent entrevoir les difficultés du secteur industriel face aux problématiques de cyber sécurité. Un chiffre non négligeable, alors que le nombre de vulnérabilités découvertes sur ces équipements a connu une croissance importante ces trois dernières années.

La situation n’est pas nouvelle, mais les contraintes liées à la sûreté des personnels et au maintien du rythme de production empêchent souvent les opérateurs de ces équipements de corriger les vulnérabilités découvertes. Les arrêtés de la LPM sont destinés à corriger le tir en donnant à l’ensemble des secteurs des cadres légaux afin de pousser ces opérateurs à uniformiser et à renforcer leur cyber sécurité.

ZDNet.fr – Louis Adam, Mardi 12 Juillet 2016

Cet article Opérateurs vitaux : l’Etat veut uniformiser leur cyber sécurité est apparu en premier sur .

Selon une étude intitulée Global Economic Crime Survey 2016, réalisée auprès de 6337 entreprises dans 115 pays, entre juillet et septembre 2015, et publiée par le bureau d’études Price Water House Coopers, la fraude en entreprise a fortement augmenté en France, à cause notamment de la cybercriminalité, alors qu’elle est à peu près stable dans le monde.

Le nombre d’entreprises françaises touchées a doublé en 7 ans

Dans l’Hexagone, le nombre d’entreprises touchées a quasiment doublé en sept ans. Deux tiers d’entre elles avouent avoir été victimes d’une fraude ou d’une tentative de fraude au cours des 24 derniers mois, selon cette étude. A titre de comparaison, elles étaient une grosse moitié en 2014, et un quart seulement en 2009.

Cette explosion de la fraude est surtout due à l’envol récent de la cybercriminalité. Son coût a été estimé l’an dernier à plus de 3,3 milliards d’euros pour les entreprises françaises. Le vol de données bancaires ou de brevets représente aujourd’hui la moitié des fraudes, contre un quart en 2014.

Vol de brevets et de plans stratégiques

Selon Jean-Louis Di Giovanni, coordinateur de l’;étude en France, cette cybercriminalité a changé de forme : « Elle s’oriente de plus en plus vers le vol de savoir-faire, et plus particulièrement de propriété intellectuelle. De plus en plus, on vole des brevets, des plans stratégiques, alors qu’historiquement, on se concentrait essentiellement sur le vol de coordonnées bancaires ».

Les entreprises sont conscientes du risque, mais elles se trouvent démunies : toujours selon cette études, plus de la moitié d’entre elles ne se sont pas dotées d’un plan d’action opérationnel contre les cyberattaques, faute d’;implication des dirigeants ou de compétences sur le sujet.

par Guillaume Gaven dimanche 6 mars 2016 21:51, mis à jour le lundi 7 mars 2016 à 06h30

Cet article La cybercriminalité explose dans les entreprises françaises est apparu en premier sur .