Accueil
Envoyer
Imprimer
Partager
Certains produits d’assurance innovants, peuvent utilement compléter les dispositifs de maîtrise des risques mis en place par l’entreprise
La valeur des données gérées par le système d'information, le patrimoine informationnel, croît chaque jour un peu plus car tous les domaines de l’entreprise (achats, production, gestion commerciale et financière, etc.) dépendent aujourd’hui du système d’information. Ceci est d’autant plus vrai si on met en perspective les grandes mutations impactant les systèmes d’information ces dernières années : dématérialisation, fusions-acquisitions, externalisation, contraintes réglementaires croissantes…
« La "continuité de service" de l’entreprise dépend de plus en plus de sa capacité à garantir la sécurisation de son système d'information » déclare Olivier Lenel, associé responsable de la ligne de métier Management du Contrôle Interne de Mazars. « La sécurisation du système d’information est pour nos clients une préoccupation majeure. Ils ont de réelles attentes concernant la mise en place de vraies solutions organisationnelles, au-delà de la seule implémentation de solutions logicielles et matérielles. C’est pourquoi nous avons souhaité organiser un petit-déjeuner destiné à sensibiliser les entreprises sur ces problématiques, et à leur donner les clés d’une gestion optimale du risque informatique : de la cartographie à la mesure et à la prévention des risques ».
Mazars accompagne en effet ses clients dans l’audit de leur système d’information. Notre démarche d’analyse des risques de sécurité basée sur la norme ISO 27001 permet d’identifier les menaces et vulnérabilités du système d’information et de bâtir une cartographie des risques, ainsi qu’un plan d’action parfaitement adapté à l’entreprise, d’un point de vue organisationnel et technique.
« Nous nous sommes associés avec Théséo dans le cadre de ce petit-déjeuner, car leur démarche est particulièrement intéressante, et complémentaire à notre expertise » explique Christophe Tallot, Fondé de pouvoir chez Mazars. « En effet, nous intervenons au niveau organisationnel, logiciel et matériel pour réduire au maximum les risques liés au système d’information. Cependant, les entreprises doivent parfois accepter que certains risques se réalisent, parce que le risque zéro n’existe pas, et que l’investissement nécessaire à l’élimination d’un risque est parfois trop largement supérieur au coût du risque. Nous conseillons alors aux entreprises de transférer le risque grâce à des contrats d’assurance – et c’est là qu’intervient Théséo »
« La vocation de Theseo est née d'un constat : le « risque technique zéro » en matière de protection de l'information n’existe pas. Sous le regard croisé d'un consultant en management et d'un assureur, l'analyse de ce constat nous a convaincu qu'il existait une véritable alternative : intégrer la mise en place de solutions d'assurances en complément des solutions préventives habituelles » déclare Jean Titaut, Directeur Général de Théséo.
L’approche conseil en management de Théséo permet de définir les priorités de protection du patrimoine informationnel en fonction des enjeux économiques associés, et de vérifier l’adéquation de la politique de sécurité informatique de l’entreprise. De quoi sont faits ses investissements en sécurité informatique ? Quel est son « sinistre maximum possible » ? Quelle perte de marge brute peut-on craindre si le risque se réalise ?
Par ailleurs, la maîtrise des solutions d'assurances de Théséo permet aux entreprises, avec un investissement raisonnable, de mutualiser les risques pour garantir leur continuité de service en toute circonstance, grâce à l’intégration de solutions innovantes de couverture des risques, complétant les contrats traditionnels. Ces solutions, combinées dans un programme d’assurance personnalisé et évolutif, couvrent de manière exhaustive l'ensemble des risques immatériels, qu'ils aient pour origine une erreur humaine, une malveillance ou un virus informatique et offrent de nouvelles garanties de remboursement.
Les entreprises communiquent très peu sur le nombre et le type d'incidents ayant des origines « immatérielles ». Elles ne souhaitent pas donner une mauvaise image auprès de leurs clients, leurs fournisseurs ou leurs actionnaires. Pourtant, les exemples d'incidents à fort impact ne manquent pas :
« Il pressentait son licenciement ... il a anticipé sa vengeance ... 150.000 € de frais de reconstitution de fichier clients après son départ »
Un informaticien d'une grande entreprise française a le sentiment qu'il pourrait être prochainement licencié. Il écrit alors dans le système un programme destiné à éliminer tout le fichier clients de sa division le jour même où son nom sera retiré informatiquement du fichier des membres du personnel. Cette personne est effectivement renvoyée comme elle le pressentait et quelques semaines plus tard un fichier clients disparaît victime d'une "bombe logique". Dans l'urgence, l'entreprise fait appel à un prestataire spécialisé pour reconstituer les données à partir de fichiers papier et pour sécuriser l'ensemble des données stratégiques au cas où une seconde bombe aurait été installée. La prestation a été facturée 150.000€.
« Le fichier des numéros de Cartes Bleues des clients était super protégé, mais pas le fichier des emails ... 210.000 € de perte de C.A. passé directement à la concurrence, et quelle image ! »
Un site de e-commerce britannique qui vend en ligne des ordinateurs a été soudainement submergé d'appels de clients mécontents. Après investigation, il est apparu que des séries d'emails avaient été envoyés à certains clients pour les informer de retards insurmontables pris dans leur commande et les orienter vers un autre distributeur. En une semaine, un certain nombre de commandes a effectivement été annulé du fait de cet email malveillant. La Direction Générale a toutefois précisé qu'il n'y a pas eu de piratage des numéros de cartes bancaires, stockés eux sur un autre serveur présentant un meilleur niveau de sécurité. Cette intrusion dans le système a conduit à une perte d'exploitation de plusieurs jours (manque à gagner 210.000€) ainsi qu'à une sévère atteinte à l'image de l'entreprise dont le coût du plan de communication de crise a dépassé les 30.000€.
« Une grande Mutuelle refond son système d'information de gestion mais une erreur de procédure se traduit par une non-émission de chèques à des adhérents ... 140.000 € de frais postaux de réémission et une mobilisation considérable en interne pour minimiser le préjudice client »
Une Mutuelle de Santé commence à implémenter dans ses systèmes une nouvelle application de gestion des remboursements des actes médicaux. Dix jours après la mise en service de cette application, les premiers adhérents ont commencé à se plaindre de ne plus recevoir leur chèque. Une remise à plat des procédures fait alors apparaître une série d'erreurs dans les procédures de copie de fichiers et une perte irréversible de données sur les douze derniers jours. Dans l'urgence, et dans le souci de préserver la relation avec les adhérents, décision est prise d'émettre manuellement un bordereau pour chacun des actes médicaux. En définitive, la mobilisation de ressources internes a été considérable tandis que la Mutuelle a dû s'acquitter d'une facture de frais postaux de 140.000€ pour l'envoi des nouveaux décomptes.
Un établissement financier constate des pertes de données alors que son prestataire ne détecte aucun dysfonctionnement matériel ... 45.000 € de frais de réinstallation sans recours possible à la Tous Risques Informatiques »
Suite à un dysfonctionnement d'un serveur de production, un établissement financier enregistre une perte de données dans une application de reporting mensuel destiné à la Banque de France. Un prestataire extérieur intervient mais ne détecte aucun dysfonctionnement physique sur les disques informatiques en place. Par sécurité, l'ensemble de l'application est réinstallé sur un serveur de back-up. Globalement, la banque a supporté 45.000€ de frais sans pouvoir recourir à son assurance Tous Risques Informatiques puisque il n'y a eu aucun dommage matériel.
Source : Théséo
A propos de Mazars
Mazars est une organisation internationale spécialisée dans l’audit, l'expertise comptable, la fiscalité et le conseil aux entreprises. Son partnership intégré rassemble plus de 8 000 professionnels dans 46 pays. De plus, via l'Alliance internationale Praxity dont il est membre fondateur, le groupe a accès aux compétences de 15 000 professionnels supplémentaires, dans 27 autres pays, tous unis par la même exigence de qualité et une détermination commune à aller au-delà des standards techniques et éthiques en vigueur. Mazars s’impose ainsi comme un véritable challenger international capable de proposer, grâce à son organisation multiculturelle et sa gamme complète de services, des solutions souples et sur mesure aux grandes sociétés internationales et aux PME qu’il accompagne dans leur développement, ainsi qu’aux particuliers à patrimoine élevé.
www.mazars.com et www.mazars.fr
La valeur des données gérées par le système d'information, le patrimoine informationnel, croît chaque jour un peu plus car tous les domaines de l’entreprise (achats, production, gestion commerciale et financière, etc.) dépendent aujourd’hui du système d’information. Ceci est d’autant plus vrai si on met en perspective les grandes mutations impactant les systèmes d’information ces dernières années : dématérialisation, fusions-acquisitions, externalisation, contraintes réglementaires croissantes…
« La "continuité de service" de l’entreprise dépend de plus en plus de sa capacité à garantir la sécurisation de son système d'information » déclare Olivier Lenel, associé responsable de la ligne de métier Management du Contrôle Interne de Mazars. « La sécurisation du système d’information est pour nos clients une préoccupation majeure. Ils ont de réelles attentes concernant la mise en place de vraies solutions organisationnelles, au-delà de la seule implémentation de solutions logicielles et matérielles. C’est pourquoi nous avons souhaité organiser un petit-déjeuner destiné à sensibiliser les entreprises sur ces problématiques, et à leur donner les clés d’une gestion optimale du risque informatique : de la cartographie à la mesure et à la prévention des risques ».
Mazars accompagne en effet ses clients dans l’audit de leur système d’information. Notre démarche d’analyse des risques de sécurité basée sur la norme ISO 27001 permet d’identifier les menaces et vulnérabilités du système d’information et de bâtir une cartographie des risques, ainsi qu’un plan d’action parfaitement adapté à l’entreprise, d’un point de vue organisationnel et technique.
« Nous nous sommes associés avec Théséo dans le cadre de ce petit-déjeuner, car leur démarche est particulièrement intéressante, et complémentaire à notre expertise » explique Christophe Tallot, Fondé de pouvoir chez Mazars. « En effet, nous intervenons au niveau organisationnel, logiciel et matériel pour réduire au maximum les risques liés au système d’information. Cependant, les entreprises doivent parfois accepter que certains risques se réalisent, parce que le risque zéro n’existe pas, et que l’investissement nécessaire à l’élimination d’un risque est parfois trop largement supérieur au coût du risque. Nous conseillons alors aux entreprises de transférer le risque grâce à des contrats d’assurance – et c’est là qu’intervient Théséo »
« La vocation de Theseo est née d'un constat : le « risque technique zéro » en matière de protection de l'information n’existe pas. Sous le regard croisé d'un consultant en management et d'un assureur, l'analyse de ce constat nous a convaincu qu'il existait une véritable alternative : intégrer la mise en place de solutions d'assurances en complément des solutions préventives habituelles » déclare Jean Titaut, Directeur Général de Théséo.
L’approche conseil en management de Théséo permet de définir les priorités de protection du patrimoine informationnel en fonction des enjeux économiques associés, et de vérifier l’adéquation de la politique de sécurité informatique de l’entreprise. De quoi sont faits ses investissements en sécurité informatique ? Quel est son « sinistre maximum possible » ? Quelle perte de marge brute peut-on craindre si le risque se réalise ?
Par ailleurs, la maîtrise des solutions d'assurances de Théséo permet aux entreprises, avec un investissement raisonnable, de mutualiser les risques pour garantir leur continuité de service en toute circonstance, grâce à l’intégration de solutions innovantes de couverture des risques, complétant les contrats traditionnels. Ces solutions, combinées dans un programme d’assurance personnalisé et évolutif, couvrent de manière exhaustive l'ensemble des risques immatériels, qu'ils aient pour origine une erreur humaine, une malveillance ou un virus informatique et offrent de nouvelles garanties de remboursement.
Les entreprises communiquent très peu sur le nombre et le type d'incidents ayant des origines « immatérielles ». Elles ne souhaitent pas donner une mauvaise image auprès de leurs clients, leurs fournisseurs ou leurs actionnaires. Pourtant, les exemples d'incidents à fort impact ne manquent pas :
« Il pressentait son licenciement ... il a anticipé sa vengeance ... 150.000 € de frais de reconstitution de fichier clients après son départ »
Un informaticien d'une grande entreprise française a le sentiment qu'il pourrait être prochainement licencié. Il écrit alors dans le système un programme destiné à éliminer tout le fichier clients de sa division le jour même où son nom sera retiré informatiquement du fichier des membres du personnel. Cette personne est effectivement renvoyée comme elle le pressentait et quelques semaines plus tard un fichier clients disparaît victime d'une "bombe logique". Dans l'urgence, l'entreprise fait appel à un prestataire spécialisé pour reconstituer les données à partir de fichiers papier et pour sécuriser l'ensemble des données stratégiques au cas où une seconde bombe aurait été installée. La prestation a été facturée 150.000€.
« Le fichier des numéros de Cartes Bleues des clients était super protégé, mais pas le fichier des emails ... 210.000 € de perte de C.A. passé directement à la concurrence, et quelle image ! »
Un site de e-commerce britannique qui vend en ligne des ordinateurs a été soudainement submergé d'appels de clients mécontents. Après investigation, il est apparu que des séries d'emails avaient été envoyés à certains clients pour les informer de retards insurmontables pris dans leur commande et les orienter vers un autre distributeur. En une semaine, un certain nombre de commandes a effectivement été annulé du fait de cet email malveillant. La Direction Générale a toutefois précisé qu'il n'y a pas eu de piratage des numéros de cartes bancaires, stockés eux sur un autre serveur présentant un meilleur niveau de sécurité. Cette intrusion dans le système a conduit à une perte d'exploitation de plusieurs jours (manque à gagner 210.000€) ainsi qu'à une sévère atteinte à l'image de l'entreprise dont le coût du plan de communication de crise a dépassé les 30.000€.
« Une grande Mutuelle refond son système d'information de gestion mais une erreur de procédure se traduit par une non-émission de chèques à des adhérents ... 140.000 € de frais postaux de réémission et une mobilisation considérable en interne pour minimiser le préjudice client »
Une Mutuelle de Santé commence à implémenter dans ses systèmes une nouvelle application de gestion des remboursements des actes médicaux. Dix jours après la mise en service de cette application, les premiers adhérents ont commencé à se plaindre de ne plus recevoir leur chèque. Une remise à plat des procédures fait alors apparaître une série d'erreurs dans les procédures de copie de fichiers et une perte irréversible de données sur les douze derniers jours. Dans l'urgence, et dans le souci de préserver la relation avec les adhérents, décision est prise d'émettre manuellement un bordereau pour chacun des actes médicaux. En définitive, la mobilisation de ressources internes a été considérable tandis que la Mutuelle a dû s'acquitter d'une facture de frais postaux de 140.000€ pour l'envoi des nouveaux décomptes.
Un établissement financier constate des pertes de données alors que son prestataire ne détecte aucun dysfonctionnement matériel ... 45.000 € de frais de réinstallation sans recours possible à la Tous Risques Informatiques »
Suite à un dysfonctionnement d'un serveur de production, un établissement financier enregistre une perte de données dans une application de reporting mensuel destiné à la Banque de France. Un prestataire extérieur intervient mais ne détecte aucun dysfonctionnement physique sur les disques informatiques en place. Par sécurité, l'ensemble de l'application est réinstallé sur un serveur de back-up. Globalement, la banque a supporté 45.000€ de frais sans pouvoir recourir à son assurance Tous Risques Informatiques puisque il n'y a eu aucun dommage matériel.
Source : Théséo
A propos de Mazars
Mazars est une organisation internationale spécialisée dans l’audit, l'expertise comptable, la fiscalité et le conseil aux entreprises. Son partnership intégré rassemble plus de 8 000 professionnels dans 46 pays. De plus, via l'Alliance internationale Praxity dont il est membre fondateur, le groupe a accès aux compétences de 15 000 professionnels supplémentaires, dans 27 autres pays, tous unis par la même exigence de qualité et une détermination commune à aller au-delà des standards techniques et éthiques en vigueur. Mazars s’impose ainsi comme un véritable challenger international capable de proposer, grâce à son organisation multiculturelle et sa gamme complète de services, des solutions souples et sur mesure aux grandes sociétés internationales et aux PME qu’il accompagne dans leur développement, ainsi qu’aux particuliers à patrimoine élevé.
www.mazars.com et www.mazars.fr
Autres articles
-
L’utilisation de la paye en ligne d’e-Paye : Un bilan positif pour le concessionnaire automobile SADELL
-
PRESSERI va optimiser le back office de son ERP ALICE grâce à ReadSoft
-
Barclays Global Investors (BGI) lance 5 nouveaux ETF iShares
-
L’éditeur de progiciels financiers CASSIOPÆ acquiert ING Conseil
-
L'Inserm choisit Antidot pour améliorer l'accès à ses fonds documentaires
