@cyberisques @DPO_NEWS Beazley : Les violations de données involontaires représentent un tiers de l’ensemble des incidents traités par Beazley

Communication corporate : Beazley                                               2017

 

Les attaques par ransomware font la une, mais les violations de données accidentelles restent une cause importante de pertes

 

 

 

Les attaques par ransomware considérées comme violation de données présumée ? Beazley, assureur de premier plan spécialisé dans les interventions en cas de violation de données ou d’atteinte aux systèmes d’information, a publié en aout dernier les résultats de son étude Beazley Breach Insights pour le premier semestre 2017.

 

 

Le nombre d’attaques par ransomware a continué sa progression au cours du premier semestre 2017, en hausse de 50 % par rapport aux six premiers mois de l’année 2016.

Les actes de piratage et les logiciels malveillants (dont une part de plus en plus importante d’attaques par ransomware) restent la principale cause de violations de données. Elles représentent 32 % des 1 330 incidents, gérés par l’équipe Beazley Breach Response (BBR) Services, dont ont été victimes les clients de Beazley au cours du premier semestre de l’année.

 

 

Toutefois, les failles accidentelles causées par une erreur d’un collaborateur ou les violations de données contrôlées par un fournisseur tiers continuent de poser un problème majeur. Elles sont à l’origine de 30 % de l’ensemble des violations, une part seulement légèrement inférieure à celle des actes de piratage et des logiciels malveillants. Dans le secteur de la santé, ces violations accidentelles représentent de loin la cause la plus fréquente de perte de données (42 %).

 

 

Ce niveau élevé constant de violations de données accidentelles semble indiquer que les entreprises n’ont pas encore mis en place de mesures fortes nécessaires à la protection des données et de la confidentialité des clients. Depuis 2014, le nombre de violations de données accidentelles géré par l’équipe de Beazley n’a cessé d’augmenter. Alors que les environnements réglementaires plus stricts deviennent la norme, ce manque de mesures expose les entreprises à des risques de sanctions réglementaires et financières plus importants.

 

 

L’équipe BBR Services a travaillé avec les clients assurés de Beazley afin de leur fournir des services juridiques et d’informatique légale face aux attaques par le ransomware NotPetya survenues en juin. La capacité à répondre rapidement à des attaques par ransomware est particulièrement cruciale pour les entreprises du secteur de la santé, car le Bureau des droits civils (OCR - Office for Civil Rights) considère toutes les attaques par ransomware comme une violation de données présumée.

 

 

Violation de données – tendances 2017

Des erreurs involontaires dans le secteur de l’enseignement supérieur Les divulgations involontaires ont été à l’origine de 26 % des violations de données dans l’enseignement supérieur au premier semestre 2017. Bien qu’en légère baisse par rapport aux 28 % enregistrés sur la même période en 2016, cela représente encore un quart de l’ensemble des violations de données et pourrait être réduit grâce à des contrôles et des processus plus efficaces. Les actes de piratage et les logiciels malveillants ont causé près de la moitié des violations de données de l’enseignement supérieur au cours des six premiers mois de l’année 2017 (43 %), un chiffre similaire à celui du premier semestre 2016 pour les actes de piratage (45 %), dont 41 % d’incidents liés à de l’hameçonnage.

 

 

Des erreurs dans le secteur médical Les divulgations involontaires (courriels ou fax adressés à un mauvais destinataire ou documents jetés dans des conditions inadéquates) ont continué d’être la principale cause des pertes du secteur de la santé. Elles ont occasionné 42 % des violations de données dont le secteur a été la cible au cours des six premiers mois de l’année 2017, une part semblable à celle observée sur la même période en 2016. Les actes de piratage et les logiciels malveillants ont été à l’origine de seulement 18 % des violations de données du secteur au premier semestre 2017, contre 17 % sur les six premiers mois de l’année 2016.

 

 

Des divulgations involontaires au sein d’établissements financiers Les divulgations involontaires (envoi de coordonnées bancaires ou d’informations personnelles au mauvais destinataire) ont progressé de 29 % au cours du premier semestre 2017, contre 25 % sur la même période en 2016, un niveau qui est resté constant depuis 2014. La part des actes de piratage et des logiciels malveillants a baissé sur les six premiers mois de l’année 2017. Ceux-ci représentaient 37 % des violations de données, contre 46 % au cours du premier semestre 2016.

 

 

Les sociétés de services professionnels ne sont pas épargnées

Au premier abord, les sociétés et cabinets de services professionnels semblent avoir de meilleurs contrôles internes en place. Les violations de données involontaires ont été à l’origine de seulement 14 % de l’ensemble des incidents, un chiffre bien inférieur à la moyenne de la période considérée. Cependant, cette tendance est trompeuse, car elle en hausse par rapport aux 9 % enregistrés au premier semestre 2016. Les entreprises du secteur n’étaient pas à l’abri des actes de piratage et de logiciels malveillants, ces incidents représentant 44 % des violations de données au cours des six premiers mois de l’année 2017, contre 53 % sur la même période en 2016. Les arnaques par ingénierie sociale, comme les demandes de virement bancaire frauduleuses et les attaques visant les formulaires de déclaration d’impôts, ont été à l’origine d’un nombre important d’incidents depuis le début de l’année 2017.

 

 

Selon Katherine Keefe, Directrice Monde de l’équipe BBR Services : « Les violations de données involontaires représentent un tiers de l’ensemble des incidents traités par Beazley, en matière de violation de données, et ne montrent aucun signe de faiblesse. Elles constituent une menace permanente et exposent les entreprises à des risques de sanctions réglementaires et financières plus importants. Pourtant, elles peuvent être plus facilement contrôlées et atténuées que les menaces extérieures. Nous conseillons vivement aux entreprises de ne pas ignorer ce risque considérable et de mettre en place des systèmes et des procédures plus fiables. »

 

 

BONUS:

Beazley Breach Response (BBR)

Depuis le lancement des services Beazley Breach Response en 2009, Beazley a aidé ses clients à gérer plus de 5 000 violations de données. La société est actuellement le seul assureur à disposer d'une équipe interne exclusivement dédiée à la prise en charge des violations de données dont sont victimes ses clients. L'équipe des service BBR de Beazley coordonne les services juridiques ainsi que les services d'expertise après sinistre, de notification et de suivi de la notoriété dont les clients ont besoin afin de respecter l'ensemble des exigences légales et de préserver la confiance de leur clientèle.

Au-delà de la coordination de la réponse face aux violations de données, les services BBR mettent à jour et développent la suite de services de gestion des risques de Beazley, spécialement conçus pour minimiser les risques de violations de données.

 

 

Cybersécurité: 54% des chefs d'entreprises EU responsables

Communication Corporate: spetembre 2016

 

 

                       Cybersécurité: 54% des chefs d'entreprises EU responsables

 

 

 

La cyber-sécurité est désormais considérée comme une responsabilité relevant des directions, puisque 54 % des chefs d’entreprises européennes en assument la responsabilité, selon une nouvelle étude du Lloyd’s, le marché de l’assurance et de la réassurance spécialisées. Nombre d’entreprises européennes continuent cependant à sous-estimer les répercussions potentielles d’un cyber-évènement, puisque seuls 13 % d’entre elles estiment qu’une cyber-attaque leur ferait subir des pertes commerciales.

Intitulée « Faire face au défi de la cyber-sécurité », l’étude du Lloyd’s, qui visait à décrypter l’attitude des chefs d’entreprises européennes vis-à-vis des cyber-risques a également révélé que, bien que 92 % des entreprises aient subi une cyber-intrusion sous une forme ou une autre au cours des cinq dernières années, seuls 42 % d’entre elles s’inquiètent de la possible récurrence d’un tel incident par la suite.

 

 

 

Selon Inga Beale, directrice générale du Lloyd’s, les résultats de l’étude devraient servir de sonnette d’alarme, car elle indique que les entreprises semblent encore trop négligentes dans leur façon de se préparer à un cyber-incident et sur les conséquences d’un tel évènement sur leur activité.

 

 

Lioyds-Info-1

 

 

Elle explique : « Il est rassurant de constater que la responsabilité associée au cyber-risque échoit aux plus hautes fonctions organisationnelles. Néanmoins, il est évident que les entreprises sont trop nombreuses à ne pas estimer que les dangers liés à une cyber-intrusion puissent impacter leur activité. Je crains que nous vivions dans un monde où il est impossible d’empêcher la survenance de cyber-intrusions. Il faut donc savoir gérer ces cyber-intrusions, et prendre les mesures qui s’imposent pour protéger son entreprise, et par-dessus tout, ses clients. L’actualité récente l’a montré : une réputation durement acquise peut être ruinée du jour au lendemain si les mesures adéquates n’ont pas été mises en place ».

 

 

 

Inga Beale explique que l’assurance peut dans un tel contexte se révéler d’une aide précieuse pour les entreprises, non seulement en leur fournissant une couverture des pertes financières, mais également en les aidant à satisfaire aux obligations règlementaires et à faire face aux éventuelles conséquences en matière d’activité et de réputation.

 

 

 

« Avec les nouveaux règlements européens, les entreprises devront faire preuve d’une meilleure réactivité face aux cyber-incidents que par le passé. Les compagnies d’assurance offrent bien plus qu’une simple couverture des pertes de revenus : elles proposent aux entreprises un service complet pour les aider à respecter la réglementation et à protéger leurs clients et leur réputation ».

Avec le futur règlement général sur la protection des données (RGPD), les entreprises qui gèrent des données sur les citoyens de l’Union européenne seront tenues de signaler les atteintes à la sécurité des données dans un délai de 72 heures à compter de leur survenance, et s’exposeront à des amendes pouvant aller jusqu’à 20 millions d’euros en cas de manquement à leur obligation de sécurisation des données. Par ailleurs, il est inquiétant de constater qu’en dépit des enjeux, 57 % des chefs d’entreprise reconnaissent ne pas comprendre pleinement les éventuelles répercussions du RGPD sur leur entreprise.

 

 

Guy-Antoine de la Rochefoucauld, Directeur Général du Lloyd’s of London en France, a déclaré : « Une grande majorité des dirigeants des entreprises françaises sont bien conscients que le risque cyber peut aussi les toucher et les exemples récents ne manquent pas, y compris en France. Dans ce contexte, la nouvelle directive européenne, qui sera bientôt applicable, renforcera le besoin d’être encore plus réactif en cas d’incidents. Cependant, en France, d’après l’étude publiée par le Lloyd’s, 54% admettent ne pas avoir pris connaissance de ces futures obligations européennes. L’assurance est là pour apporter des réponses à ces questions qui peuvent être critiques pour la pérennité d’une entreprise ».

Les principales conclusions de l’étude sont les suivantes :

 

  • 92 % des entreprises ont fait l’objet d’une cyber-intrusion au cours des cinq dernières années.
  • Cependant, seuls 42 % d’entre elles s’inquiètent de la possible récurrence d’un tel incident.
  • Bien que 97 % des sondés aient entendu parler du RGPD, seuls 7 % indiquent avoir une compréhension « approfondie » de ses tenants et aboutissants. 57 % affirment connaître « un peu » ou « pas du tout » le sujet.
  • Connaissance des répercussions que le RGPD pourrait avoir sur l’entreprise : enquête règlementaire (64 %), pénalités financières (58 %), impact sur le cours de l’action (57 %) et réputation (52 %). Seuls 13 % des entreprises estiment qu’une atteinte à la sécurité des données risquerait de leur faire perdre des clients.
  • Principales menaces internes susceptibles de donner lieu à une atteinte à la sécurité des données : perte de documents papier ou d’appareils non électroniques (42 %), diffusion volontaire de l’information par un initié (42 %), erreur humaine ou divulgation non volontaire (41 %), perte, vol ou mise au rebut de matériel (41 %).
  • Principales menaces externes susceptibles de donner lieu à une atteinte à la sécurité des données : piratage par appât du gain (51 %), piratage pour des motifs politiques (46 %), piratage par un concurrent (41 %), hameçonnage (39 %), rançongiciel (37 %), logiciel malveillant (32 %).

Les principaux points à retenir pour les entreprises françaises sont les suivants :

  • 90 % des entreprises françaises ont subi une atteinte à la sécurité des données au cours des cinq dernières années.
  • Seuls 52 % des entreprises françaises sont inquiètes à l’idée de subir une fuite de données dans le futur.
  • 45 % des chefs d’entreprise français dirigent les décisions concernant la protection contre les atteintes à la sécurité des données, ou la planification de ladite protection.
  • Seuls 24 % des entreprises françaises croient qu’une atteinte à la sécurité des données risquerait de leur faire perdre des clients.
  • 54 % des entreprises françaises reconnaissent ne pas très bien comprendre le futur règlement européen.
  • 55 % des entreprises françaises ne savent pas qu’il existe des produits de cyber-assurance visant à fournir une couverture et des services aux entreprises qui subissent une atteinte à la sécurité des données.
  • Les entreprises françaises estiment que les quatre principales menaces susceptibles de donner lieu à une atteinte à la sécurité des données sont le piratage par appât du gain (68 %), le piratage par un concurrent (61 %), la diffusion volontaire de l’information par un initié (52 %) et les logiciels malveillants (52 %)

* Étude menée auprès de 350 décideurs de haut rang de toute l’Europe, dont 31 de France

 

 

Lire aussi: 

 

http://cyberisques.com/mots-cles-5/571-etude-deloitte-2016-enjeux-cyber-2016-la-face-cachee-de-la-cybersecurite

 

 

BONUS: 

Le Lloyd’s est le seul marché de l’assurance et de la réassurance spécialisées au monde à proposer une combinaison unique d’expertise et de talent, soutenue par de solides notations financières et des agréments internationaux. Il est souvent le premier à couvrir les risques nouveaux, inhabituels ou complexes, et ce, en proposant des solutions d’assurance novatrices pour les risques locaux, transfrontaliers et internationaux. Sa force réside dans la diversité et l’expertise de ses courtiers et agents de gestion, soutenus par des capitaux provenant du monde entier. En 2016, plus de 80 syndicats souscrivent des polices d’assurance et de réassurance au Lloyd’s, dans tous les secteurs d’activité, et dans plus de 200 pays et territoires dans le monde. Le Lloyd’s est règlementé par l’Autorité de Réglementation Prudentielle (PRA) et l’Autorité de Conduite Financière britannique (FCA).

 

 

Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

Entretien expert cyberisques NEWS : 

Olivier de Cian, chargé de clientèle Grand compte chez Verspieren

 

Tendances sur le marché assurance Cyber 2016: Frais de notification et services packagés

 

Cyber-Ass-Cyberisques-NEWS-sept-2015

 

 

 

 

Cyberisques NEWS: La loi EUR sur la protection des datas nommée RGPD va t-elle faciliter de nouveaux contrats pour les polices « cyber » ?

Le RGPD va probablement accélérer la souscription de nouveaux contrats du fait de l'obligation imposée aux entreprises de notifier les atteintes aux données personnelles.

Il est difficile de quantifier le nombre de nouveaux contrats qui seront souscrits.

Nous constatons cependant depuis l'année dernière un prise de conscience plus marquée par les entreprises notamment les ETI et PME même si le passage à l'acte reste difficile du fait de la nécessité d'allouer un budget complémentaire à la couverture de ce nouveau risque en période de ralentissement économique.

 

 

« Frais de notification » Quelles couvertures réelles sont proposées par le marché en Europe ?  

Il s'agit de prendre en charge notamment :

-       des frais permettant d'identifier les personnes concernées par l'atteinte à la donnée personnelle

-       des frais d'impression, d'envoi, de publication et de mise en place de plateforme téléphonique...

Souvenons nous que l'approche cyber varie  selon l'activité de l'assuré (industriel, retail, services...) . Certains volets de garantie sont plus importants que d'autres en fonction de leur activité.

 

 

Les polices CYBER proposées en Europe sont elles réellement distinctes de celles placées aux États-Unis ? Notons qu en 18 mois toutes les polices Européennes en matière de cyber ont été refondues.

C'est exact. Des compagnies comme AIG, BEAZLEY, ACE... ont fait évoluer leurs produits afin de tenir compte des remarques émises par les assurés et les courtiers sur les limites des premières couvertures proposées en 2012 et 2013.  Le grand intérêt des polices cyber réside dans la couverture des frais de notification, de la prise en compte des frais de défense dans le cadre d'une enquête de la CNIL, de l'assistance avec notamment un conseil juridique, l'appui d'expert informatique et de cabinets spécialisés en matière de gestion de crise et la possibilité  également de bénéficier d'extension comme la couverture de la cyber –extorsion.

 

 

Concernant les RC (Responsabilité civile) on dit souvent : si ce n'est pas exclu c'est couvert. Que proposent les acteurs de la « cyber-assurance » sur le marché EUR sachant qu'en matière de RC US et EUR ont des approches tres différentes ?

Cela se justifie par la différence de législation concernant l'atteinte aux données personnelles (obligation de notification aux USA). Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. Aujourd'hui nous sommes sur un dommage immatériel non consécutif. Les entreprises n'étaient pas réellement bénéficiaires de couvertures adaptées aux cyber-risques. Dans les esprits les PME / PMI viennent à la souscription certes sur des petites capacités en premier risque (1 millions en moyenne) mais elles y viennent ». Un effort d'explication doit être réalisé par les courtiers auprès de leurs clients pour justifier l'intérêt des couvertures cyber au regard des couvertures traditionnelles déjà existantes (Dommages aux Biens et responsabilité Civile). Si il est plus clair de justifier l'absence de garantie des Pertes d'Exploitation et des frais de reconstitution des données après une atteinte aux données dans les contrats Dommages traditionnels, il y a encore débat concernant les garanties de responsabilité Civile.

Les actions de groupe aux US constituent également une aggravation de risque par rapport à la législation française. On peut retrouver certaines exclusions dans les polices RC qui sont couvertes par les contrats cyber: exemple divulgations de données personnelles, de secrets professionnels (propriété intellectuelle), les dommages aux tiers suite à virus. De plus la garantie des dommages immatériels non consécutifs dans les contrats RC est souvent accordée avec des montants limités.

 

 

Selon Vous, et l'étude que vous publiez (cf BONUS) il existe un problème lié à l' évaluation des risques : les entreprises connaissent-elles réellement leur niveau de risque ? Apprécient elles réellement la valeur des et données et connaissent elles leur localisation notamment concernant les données sensibles ? 

Conscient de ce problème, Verspieren s'est associée à CGI Business Consulting et propose une aide à la cartographie et à l'identification du risque cyber pour ses clients. Pour un courtier tel que Nous, la cyber assurance doit permettre de renforcer la politique de prévention et protection dans les entreprises en matière de cyber sécurité (audit, assistance en cas de sinistre...) à l'instar de la prévention incendie.

 

 

Les cyber-assureurs peuvent parfois accompagner leurs clients, mais en pratique les premiers partenariats semblent chaotiques ? Est ce un problème de culture ?

Il est important pour les courtiers de faire preuve d'une forme d'humilité dans l'identification et la quantification du risque cyber du fait du caractère évolutif de ce risque. C'est la raison pour laquelle, lorsque les entreprises ne sont pas en mesure d'évaluer leur propre exposition, nous proposons à nos clients une évaluation de leur risque cyber avec l'appui d'un cabinet spécialisé en la matière (CGI Business consulting).

Certaines compagnies telles que Beazley développent une approche services prononcé ACE, AIG embrayent avec aussi sur «le package services ». Pourquoi ces offres de services constituent un tendance majeure du marche des polices cyber en 2016 ?

Les différents assureurs sur le marché français  (Ace Beazley, Zurich, AIG, AXA...) ont mis l'accent sur l'assistance de l'assuré avec la mise en place de services d'accompagnement en cas d'atteinte à la sécurité informatique et d'atteinte aux données personnelles (expert informatique, expert juridique, consultant en gestion de crise, monitoring...) qui viennent compléter les garanties cyber classiques (garantie des pertes financières, frais supplémentaires, frais de défense, couverture RC  et frais de notification)

 

 

En matière de capacités, quelles évolutions constatez-vous ?

Les capacités sur le marché augmentent tous les ans avec l'arrivée de nouveaux acteurs.

Il est difficile d'évaluer les capacités réelles du marché français (capacité variables entre les garanties Dommages immatériels et RC) mais capacité cumulée théorique d' environ 250 à 300 millions €.

 

 

« Responsabilité des mandataires sociaux en cas de violation de données des explications seront données. La gestion de crise avec conséquence d'impact plus grande en terme de mauvaise communication » 

Le risque cyber est un risque émergent, le risque de mise en cause de la RC des dirigeants est juridiquement possible mais semble à ce jour extrêmement hypothétique compte tenu que la très grande majorité des entreprises en France n'a pas encore souscrit ce type de couverture (plutôt une responsabilité de l'entreprise que de son dirigeant).

Propos recueillis par @jpbichard

 

 

 

BONUS: 

ENCORE IMMATURE, LE MARCHE FRANÇAIS DE L’ASSURANCE CONTRE LES CYBER RISQUES VA EXPLOSER CES PROCHAINES ANNÉES

Le marché mondial des primes d’assurance contre les cyber attaques devrait doubler au cours des quatre prochaines années, boosté par un effet de rattrapage massif des entreprises européennes, et notamment françaises. Pour accompagner cette tendance, Verspieren, premier courtier en assurances français à capital familial, aide ses clients et prospects à identifier les risques auxquels ils sont confrontés sans vraiment le savoir et les avoir mesurés. Si les entreprises françaises ont subi en moyenne 21 incidents de cybersécurité par jour en 2015* (+51% sur un an vs +38% en moyenne mondiale), très peu d’entre elles ont initié une démarche d’audit en vue de souscrire un contrat d’assurance. Au niveau mondial, les primes d’assurances contre les cyber-attaques souscrites en 2014 représentent 2,5 milliards de dollars, dont 2,2 milliards pour les seuls Etats-Unis et 165 millions pour l’ensemble de l’Europe.

Conscientes du risque financier que font peser sur elles les cyber attaques, les entreprises européennes devraient largement contribuer au doublement estimé du marché à horizon 2020. La protection des données, au cœur des débats du prochain Forum international de la cybersécurité (Lille, les 25 et 26 janvier 2016), représente l’enjeu de sécurité majeur des entreprises, qui n’en sont paradoxalement pas conscientes. Ainsi en France, le coût moyen d’une fuite était de 122€ par donnée volée en 2013 (coût lié à la réparation des dommages pour l’entreprise et pour son client, aux frais de justice, aux amendes de la CNIL…). « Pour avoir un ordre d’idée, il faut savoir que 550 millions de données personnelles ont été dérobées aux Etats-Unis en 2013. Avec un tel chiffre, un rapide calcul permet d’imaginer facilement l’écrasement financier auquel doit faire face une entreprise victime de vols de données », explique Yves Fournier, Directeur de clientèle Grand compte chez Verspieren.

Selon le rapport Verizon 2015, la compromission de données représente un coût variable entre 2 et 5 millions de dollars dans 95% des cas, certaines allant jusqu’à 200 millions de dollars. Risque de faillite d’entreprises Malgré de tels risques financiers, les entreprises françaises sont encore peu nombreuses à avoir souscrit à une protection assurantielle contre les cyber-risques. « Les PME et les ETI, qui représentent 98% du paysage économique français, restent peu équipées contre de telles menaces souvent parce qu’elles n’estiment pas prioritaire d’allouer un budget à cela. Pourtant ces entreprises sont vulnérables et certaines peuvent ne jamais se relever du coup financier porté par une cyber attaque. Les cyber attaques impliquent donc des conséquences financières qui ne peuvent être ignorées », prévient Yves Fournier.

 

Conscient que la première étape vers une maturité du marché passe par un travail de pédagogie et d’accompagnement à la prise de décision, Verspieren, en partenariat avec CGI Business Consulting, propose à ses clients et prospects un service d’évaluation des cyber risques et des couvertures les plus adaptées. « Si les possibilités de croissance de ce marché sont très fortes, nous devons encore faire un long travail de sensibilisation auprès des dirigeants et responsables informatiques, avant de leur proposer la meilleure couverture assurantielle », conclut Yves Fournier. *Tiré de l’étude « The Global State of Information Security Survey 2016 » réalisée par PwC en collaboration avec CIO et CSO.

Verspieren, premier courtier en assurances français à capital familial, prévoit une explosion du marché mondial des primes d'assurance contre les cyber-attaques au cours des prochaines années. 

 

 

Black Hat 2016 Las Vegas: HTTP/2, la nouvelle version du protocole HTTP déjà vulnérable selon Imperva

Communication corporate:

 

 

HTTP/2 : Le rapport Hacker Intelligence Initiative d’Imperva révèle quatre failles majeures dans la dernière version du protocole sous-jacent d’Internet

 

 

 

HTTP2

 

 

 

 

LAS VEGAS, Nevada, le 10 août 2016 –Imperva, Inc. (NYSE : IMPV), spécialiste de la protection des données et des applications critiques sur site et dans le Cloud, vient de publier son nouveau rapport Hacker Intelligence Initiative (HII), intitulé « HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol », dans le cadre de la conférence Black Hat USA 2016. Les chercheurs du centre de défense d’Imperva y recensent quatre vulnérabilités majeures détectées dans HTTP/2, la nouvelle version du protocole HTTP, l’une des principales composantes d’Internet.

Ces menaces sont particulièrement préoccupantes, étant donné l’adoption rapide du protocole HTTP/2. Selon W3Techs, 8,7 % de tous les sites Web, soit environ 85 millions de sites, utilisent HTTP/2, un chiffre qui a presque quadruplé par rapport aux 2,3 % seulement enregistrés en décembre 2015.

HTTP/2 introduit de nouveaux mécanismes qui augmentent effectivement la surface d’attaque des infrastructures Web critiques ; celles-ci deviennent alors vulnérables à de nouveaux types d’attaques. Les chercheurs du centre de défense d’Imperva ont étudié de manière approfondie les implémentations serveur du protocole HTTP/2 des éditeurs Apache, Microsoft, NGINX, Jetty et nghttp2. L’équipe a découvert des vulnérabilités exploitables dans l’ensemble des principaux mécanismes de HTTP/2 qu’elle a examinés, dont deux similaires à des vulnérabilités bien connues et largement exploitées dans HTTP/1.x. Il est probable que d’autres implémentations du protocole HTTP/2 soient également touchées par ces vulnérabilités.

 

 

« Les améliorations générales apportées aux performances Web et les perfectionnements spécifiques aux applications mobiles introduits dans le protocole HTTP/2 représentent une aubaine potentielle pour les utilisateurs d’Internet », explique Amichai Shulman, co-fondateur et directeur technique d’Imperva. « Toutefois, lorsqu’une grande quantité de nouveaux codes est très rapidement lâchée dans la nature, cela fournit aux attaquants une excellente opportunité. Bien qu’il soit inquiétant de retrouver dans HTTP/2 des menaces connues de HTTP 1.x, ce n’est guère surprenant. Comme pour toute nouvelle technologie, il est important que les entreprises exercent des contrôles préalables et mettent en œuvre des mesures de sauvegarde afin de se prémunir de l’étendue de la surface d’attaque et de protéger les données critiques et les données relatives aux consommateurs contre des cybermenaces en perpétuelle évolution. »

 

 

                Top Countries – Amount of HTTP/2 Requests (Source keycdn)

 HTTP2-2

 

 

Les quatre vecteurs d’attaques majeurs découverts par les chercheurs d’Imperva sont les suivants1 :

- Slow Read – L’attaque fait appel à un client malveillant pour lire les réponses très lentement ; elle est identique à la célèbre attaque par déni de service distribué (DDoS) Slowloris qui toucha les principales sociétés de traitement des cartes de crédit en 2010. Il est intéressant de souligner que, bien que les attaques Slow Read aient été amplement étudiées dans l’écosystème HTTP/1.x, elles se révèlent toujours efficaces, cette fois-ci dans la couche applicative des implémentations de HTTP/2. Le centre de défense d’Imperva a identifié des variantes de cette vulnérabilité sur les serveurs Web les plus populaires, notamment Apache, IIS, Jetty, NGINX, ou encore nghttp2.

- HPACK Bomb – Cette attaque de la couche de compression s’apparente à une bombe de décompression. L’attaquant élabore de petits messages apparemment innocents, qui représentent finalement plusieurs gigaoctets de données sur le serveur. Cela mobilise l’intégralité des ressources mémoire du serveur, le rendant indisponible.

- Dependency Cycle Attack – L’attaque tire parti des mécanismes de contrôle des flux introduits dans HTTP/2 pour l’optimisation du réseau. Le client malveillant forge des requêtes qui induisent un cycle de dépendances ; le serveur, en tentant de traiter ces dernières, est alors entraîné de force dans une boucle infinie.

- Stream Multiplexing Abuse – L’attaquant utilise les failles existant dans l’implémentation par les serveurs de la fonctionnalité de multiplexage des flux, dans le but de faire planter le serveur. Cela finit par générer un déni de service à l’égard des utilisateurs légitimes.

Bien que les nouvelles technologies soient une source de progrès, elles sont également porteuses de nouveaux risques. Lors de l’adoption d’une technologie telle que le protocole HTTP/2, les sociétés doivent impérativement demeurer vigilantes quant à la possibilité de nouvelles zones d’exposition et d’attaque. L’implémentation d’un pare-feu d’applications Web (WAF) doté de capacités d’application de correctifs virtuels peut aider les entreprises à protéger leurs données et leurs applications critiques contre les cyberattaques.

Pour accéder à un exemplaire du rapport HII sur le protocole HTTP/2, consultez la page bit.ly/2auulkd, ou pour découvrir l’infographie, rendez-vous à l’adresse bit.ly/2amIuRH.

1)     Conformément aux pratiques en vigueur dans le secteur, le centre de défense d’Imperva a collaboré avec les éditeurs identifiés afin de garantir que les vulnérabilités soient corrigées avant la publication du rapport.

 

 

 

BONUS: 

 

http://www.imperva.com/docs/Imperva_HII_HTTP2.pdf

https://www.keycdn.com/blog/http2-statistics/

 

 

 

Paul Sterckx, AIG: "Aux US, le niveau de primes au total pour l'ensemble des acteurs de la cyber-assurance est estimé à 2.2 milliards de dollars"

Cyber expert / entretien Cyberisques NEWS Jean Philippe Bichard

 

Paul Sterckx*, AIG en charge des risques financiers: risques cyber, dirgeants, fusion acquisition..

 

Cyberisques-AIG-Scénario-resilience-2015

 

Quel regard portez vous sur l'année écoulée pour le marché des primes attribuées aux sinistres cyber ?

Nous avons constaté cette année passée une forte augmentation de l'intérêt que portent les dirigeants d'entreprises au sujet des cyber-risques. Cela se traduit par un flux d'études très important et un portefeuille français qui a doublé en 2015 malgré des niveaux de primes et de franchises qui restent très faibles par rapport aux marchés anglo-saxons. Il existe d'autres indicateurs intéressants de la croissance de ce marché tels que la hausse des capacités souscrites par les entreprises : jusqu'à 150M€ aujourd'hui contre 25M€ il y a deux ans.

 

Tirez-vous des avantages suite à l'émergence de nouveaux marchés liés aux cyber-risques industriels en environnement ICS Scada, les données privées qui transitent via des objets connectés peu sécurisés ou bien encore des attaques sur des médias comme TV5 ?

Nous constatons en effet une augmentation de maturité au risque cyber des industriels qui se traduit de plus en plus régulièrement par la souscription d'un contrat cyber adapté. De la même manière, les entreprises de médias ont réagi aux attaques contre TV5 Monde et s'intéressent elles aussi de plus en plus aux divers outils de management des cyber-risques dont fait partie l'assurance. Enfin, l'ère des objets connectés constitue une réelle opportunité de croissance ainsi qu'un défi pour les assureurs, que ce soit en termes de cyber-risques (quand on pense au volume de données collectées par ces terminaux) ou de responsabilité civile.

 

Et les IoT ?

Pour les objets connectés, le puzzle se met en place. Nous avons une forte croissance des « devices » mobiles combinée avec des prix des capteurs en baisse, pièces essentielles à la plupart des objets connectés. On en trouve à moins de 1 dollar aujourd'hui comparé avec un prix entre 20 et 25$ pendant les années 1990. Ces objets connectés feront partie de notre vie quotidienne. Avec ces développements technologiques, il y a des problématiques juridiques et éthiques susceptibles de se poser. Les entreprises ne doivent pas méconnaître les risques inhérents à cette technologie. Il est clair que le secteur d*assurances a un rôle essentiel à jouer sur ce sujet car ce sont les assureurs multinationaux qui utilisent depuis longtemps d'énormes quantités de données (Big Data) pour comprendre et atténuer les risques.

 

Prise-de-décision-Contra-Cyber-CYBERISQUES-NEWS

Pour Vous, expert en contrats d'assurance et garanties sur les secteurs IT, les IoT sont ils synonymes de nouveaux risques assurables ?

En fait je distingue trois type de risques dans les évolutions IT : ceux liés à la violation des données propres à la vie privée, les risques de type RC liés aux nouveaux usages comme Google et ses « Google car » et enfin les risques cyber propres à la cybersécurité des SI « traditionnels ». Les préoccupations en matière de respect de la vie privée, de cyber-sécurité, de propriété et de responsabilité quant aux produits gagneront en ampleur aussi rapidement que les opportunités de l'IoT se présenteront. Si les entreprises ont intérêt à commencer de mettre en place la technologie de l'IoT pour espérer survivre à long terme, elles doivent également mettre en œuvre des stratégies tenant compte des nombreux risques associés à l'IoT.

 

Face à cette évolution, quelle(s) stratégie(s) définit AIG avec quelle valeur ajoutée voire quels éléments différenciateurs ?

Le premier point important est l'expérience d'AIG sur ce sujet : c'était AIG qui en 1998 a participé au lancement du débat sur cyber aux Etats-Unis et qui a lancé le premier produit d'assurance afin d'aider les clients.  C'est au cours de ces 17 dernières années que nous avons développé le plus grand portefeuille en cyber au monde et que nous avons acquis une forte expérience en gestion de sinistres qui nous permet d'être un acteur de référence de ce marché. Notre objectif est de fournir une solution complète de gestion des risques au travers de trois piliers : conseil et prévention, solution d'assurance et gestion de crise/sinistre avec un accent sur l'accompagnement des assurés grâce à un panel dédié.  

 

Quelles orientations se dessinent pour 2016 : Les polices de cyber-assurance auxquelles les entreprises souscrivent englobaient en 2015 en priorité la violation de données et les atteintes à la vie privée. En 2016, les grandes entreprises et leurs partenaires vont devoir de plus en plus assure une protection contre le vol de propriété intellectuelle, la cyber-extorsion, le cyber-chantage, la protection des infrastuctures critiques de type ICS / Scada...

Les polices qui existent actuellement sur le marché couvrent déjà la majorité de ces risques. Les types de sinistres que nous voyons actuellement ce sont surtout la fuite de données ainsi que des cas de cyber extorsion. Néanmoins, dans le futur, la typologie des sinistres va évidemment évoluer et par conséquent les garanties vont elles aussi se développer.     

 

Selon plusieurs études, la cybercriminalité à elle seule coûte approximativement 445 milliards de dollars par an à l'économie mondiale. Le volume annuel de ce segment, à l'échelle globale, a atteint 2 milliards de dollars en 2014. En 2025, selon un rapport récent, les coûts générés par les interruptions d'activité pourraient dépasser ceux attribués aux pertes dues spécifiquement aux violations de données. Etes vous d'accord avec cette analyse ? Quelles sont les perspectives et les chiffres avancés par AIG ?

Aujourd'hui nous voyons encore peu de sinistres liés à une interruption d'activité. Malgré tout, il est prévisible que l'augmentation de la dépendance des entreprises à leur système d'information engendre un risque élevé de subir un tel sinistre.

  

Parlons un peu business et estimations. Quels sont les chiffres clés du marché de la cyber-assurance pour 2016 ? Je pense notamment au total des primes, aux contrats signés entre grands comptes et entreprises du « middle market », du total des indemnisations versées ou de celles qui auraient dues être versées selon les assurés ...

Aux US, le niveau de primes au total pour l'ensemble des acteurs de la cyber-assurance est estimé à 2.2 milliards de dollars pour 2015. Sur les mêmes bases de calcul en Europe, nous devons avoisiner un total d'environ 200 millions d'euros, dont environ 30 millions d'euros en France.

 

Côté garanties, nous constatons qu'il y a une différence de perception du risque entre les US et l'Europe: en Europe, le marché se concentre davantage sur le volet Dommage alors qu'aux US c'est le volet RC qui s'impose.

En France, environ 20 entreprises du CAC 40 ont soit acheté une police soit sont en train d'étudier l'achat d'une garantie cyber. Quand en septembre 2012 nous avons lancé notre offre inédite sur le marché, nous étions principalement sollicités par des grandes entreprises. Nous constatons aujourd'hui une forte augmentation de la maturité aux cyber-risques de la part des PME-PMI.

@jpbichard

 *Paul Sterckx, nommé Responsable du Département Risques Financiers d'AIG enFrance

Cette nomination est effective depuis le 11 janvier 2016.

Fort de plus de 20 ans d'expérience, dont 14 années chez AIG, Paul Sterckx, 47 ans, a occupé différents postes au sein du Groupe : AIG Chypre en 2001 en qualité de Management Associate Financial Lines puis Financial Lines Manager pour la Grèce (2002), Regional Underwriting Manager Financial Lines - MEMSA et Financial Lines Manager pour le Moyen-Orient, basé à Dubaï (2005).

En 2007, il rejoint AIG Europe à Paris en tant que Regional Underwriting Manager Commercial Accounts – Financial Lines. En 2009, Paul Sterckx accède au poste de Responsable Segment Grands Comptes et Middle Market pour la France puis, en 2014, il est nommé Responsable Souscription du Département Risques Financiers France et West Zone Leader MLC.

Titulaire d'une Licence de Droit et d'un DEA en Droit International Public, Paul Sterckx a débuté sa carrière au Barreau de Louvain (Belgique) en tant qu'avocat (1994) puis a officié chez Marsh Belgique en qualité d'Account Executive FINPRO & Casualty.

Paul Sterckx reportera directement à Brian Inselberg, Head of Financial Lines, EMEA, et en matrice à Fabrice Domange, Directeur Général d'AIG en France et « Managing Director » de la zone Europe de l'Ouest (France, Belgique, Pays-Bas et Luxembourg).

 

Abonnement individuel par eMail personnalisé

 

Renseignements  This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

BONUS: 

http://www.aig.com/CyberEdge_3171_417963.html

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information