schadenspiegel Internet, attention danger! Le magazine destiné aux gestionnaires Sinistres Numéro 2/2014

Transcription

1 TOPICS Le magazine destiné aux gestionnaires Sinistres Numéro 2/2014 schadenspiegel Internet, attention danger! Les cyber-risques ne cessent d augmenter. Les dommages divers qui peuvent en découler et affecter les entreprises sont souvent difficiles à estimer. PAGE 6 Responsabilité civile Lésions cérébrales chez les pros du football américain Sinistres causés par la grêle Y a-t-il un risque de changement? Construction de centrales électriques Des normes de qualité élevées pour prévenir les sinistres

2

3 Avant-propos Chères lectrices, chers lecteurs, Ce nouveau numéro du Schadenspiegel fait la part belle aux cyberrisques et aux cyber-dommages, c est-à-dire à la perte et à l utilisation frauduleuse de données, ainsi qu aux questions de responsabilité qui y sont liées. Cette nouvelle tendance en matière de dommages fera bientôt partie du quotidien dans le cadre de l instruction des sinistres, au même titre que les géo-risques, les accidents automobiles et les sinistres dus aux incendies. Le secteur de l assurance se retrouve donc face à de nouveaux défis ; pour pouvoir les affronter, une approche experte et novatrice ainsi que des solutions sur mesure sont indispensables. Parallèlement, les risques traditionnels conservent bien entendu toute leur importance : en 2013, les tempêtes de grêle ont coûté cher aux assureurs. Même dans le cas de sinistres de ce type, en fait tout à fait classiques, on peut être confronté à des problèmes nouveaux, comme avec les installations solaires et l isolation thermique moderne qui ont un impact notable sur la gravité des dommages enregistrés. L application de normes de qualité élevées dans le cadre de la construction est donc une nécessité absolue. Il suffit parfois aussi qu intervienne un changement de mentalité pour que de nouveaux types de dommages voient le jour. Les plaintes récemment déposées par des sportifs professionnels, en raison des séquelles dont ils souffrent à la suite des nombreuses commotions cérébrales qu ils ont subies au cours de leur carrière sportive, en sont un bon exemple. Je vous souhaite une intéressante lecture. Tobias Büttner Directeur de Corporate Claims chez Munich Re NOT IF, BUT HOW Munich Re Topics Schadenspiegel 2/2014 1

4 Au plus près des hackers Lors de rencontres internationales telles que la «Campus Party» à São Paulo en 2012, les hackers appelés «white hats» échangent leurs expériences concernant les dernières tendances. Bien que les dirigeants d entreprises soient de plus en plus sensibles à ce phénomène, la multiplication des sinistres montre à quel point les voleurs de données font preuve d imagination et d énergie criminelle. 6 2 Munich Re Topics Schadenspiegel 2/2014

5 Sommaire En 2013, les assureurs allemands ont déboursé des milliards pour les dommages causés par la grêle. Des études actuelles indiquent que l Europe et l Amérique du Nord vont continuer à être le théâtre de fortes chutes de grêle dans le futur. 34 Victimes de commotions cérébrales fréquentes, les joueurs de football américain sont souvent atteints jeunes de la maladie d Alzheimer ou de démence. Les joueurs de hockey sur glace et de football sous-estiment, eux aussi, ce risque. 26 CYBER-RISQUES «Toute personne voulant nuire à une entreprise a de grandes chances d y parvenir grâce à Internet» 6 Les cibles des attaques et les méthodes des hackers changent constamment. Un concept de sécurité progressif permet aux entreprises de protéger leurs propres valeurs. Cyber-dommages : un risque à prendre au sérieux 12 Pour se défendre contre les cyber-attaques, il faut disposer d une bonne protection et ne pas sous-estimer le facteur humain. La défense des frontières numériques 16 Comment les gouvernements veulent protéger les entreprises contre les cyber-attaques. Des cyber-attaques qui coûtent cher au commerce de détail américain 18 Les grands magasins Target et Neiman Marcus ont été victimes de vols massifs de données se rapportant à leurs clients, avec des conséquences différentes. La bonne protection contre les cyber-dommages 24 Les produits de Hartford Steam Boiler permettent aux assurés de dormir tranquilles. RESPONSABILITÉ CIVILE K.-O. à retardement 26 Un accord entre la Ligue nationale de football américain (NFL) et d anciens joueurs éveille l attention des représentants de la Ligue et des assureurs. RISQUES NATURELS Fortes tempêtes de grêle y a-t-il un risque de changement? 34 De gros grêlons ont causé d importants sinistres en Allemagne, en RISQUES TECHNIQUES Des interfaces critiques 42 L utilisation de normes de qualité élevées lors de la construction des centrales électriques permet de prévenir les sinistres. Avant-propos 1 Actualités 4 Recension 15 Chronique 46 Mentions légales Munich Re Topics Schadenspiegel 2/2014 3

6 ACTUALITES Knowledge in dialogue Client seminar programme 2015 MÉDIAS SOCIAUX Suivez-nous sur les médias sociaux! RESPONSABILITÉ CIVILE DES RISQUES INDUSTRIELS Les entreprises industrielles sont-elles sous-assurées? SÉMINAIRES CLIENTS Knowledge in dialogue 2015 Depuis un certain temps déjà, nos lecteurs peuvent, sur notre site Internet, commenter les articles dans Topics Online. Ils ont également la possibilité de contacter Munich Re sur les diverses plateformes des médias sociaux : nous sommes actifs sur Twitter, Facebook, Google+, YouTube, LinkedIn et Xing. Suivez-nous et suivez avec nous les thèmes relatifs à l assurance : dans des articles intéressants, des vidéos captivantes ou en temps réel via les «live tweets» des événements d entreprise ou de la branche. >> twitter.com/munichre >> facebook.com/munichre >> youtube.com/user/munichrevideo >> linkedin.com/company/munich-re >> xing.com/companies/munichre >> plus.google.com/ Tout autour du globe, la division internationale du travail influence la pratique de la responsabilité. Les accidents industriels et les scandales environnementaux sont perçus avec davantage d acuité et relèvent de différentes législations. Il est difficile d obtenir une vue d ensemble sur les responsabilités locales et globales. À travers sa publication «Employers liability for occupational illness and injury a familiar risk in a changing world» Munich Re répertorie les différentes variantes de la responsabilité civile de l employeur. Une autre publication comportant des études de cas sur la responsabilité environnementale paraîtra sous peu. >> Vous pouvez télécharger l intégralité de notre publication «Employers liability for occupational illness and injury A familiar risk in a changing world» sur connect.munichre.com ou bien la demander auprès de votre manager Clients. Notre nouveau programme de séminaires clients «Knowledge in dialogue 2015» est disponible. Comme par le passé, tout au long de l année à venir nous continuerons à offrir à notre clientèle internationale un vaste programme de séminaires et d ateliers. Les possibilités offertes concernent toutes les principales branches de l assurance ainsi que des thèmes spécifiques tels que la «financial lines insurance» ou l «enterprise risk management». >> Pour de plus amples informations, veuillez vous adresser à votre manager Clients. Brèves 24 septembre 2014 : Dieter Berg, Senior Executive du Business Development pour le Global Marine Partnership, a été élu nouveau Président de l Union internationale d assurance Transport (IUMI) lors de sa conférence annuelle. Dieter Berg est le premier président de l histoire de l IUMI issu de l industrie de la réassurance. L IUMI a été fondée en 1874 dans le but de représenter, protéger et développer les intérêts de tous les assureurs dans la branche de l assurance maritime et dans tous les autres types d assurance Transport. Newsletter Engineering de Munich Re : nos ingénieurs accompagnent des projets de grande envergure partout dans le monde et mettent leur expertise technique à la disposition de nos clients pour les aider à réaliser leurs projets et plus encore. Dans notre nouvelle newsletter Engineering, que nous envoyons gratuitement par courrier électronique, nous évoquons des projets passionnants dans le domaine des risques techniques, en provenance du monde entier. Abonnez-vous à notre newsletter Engineering sous engineering-newsletter/index.html. 4 Munich Re Topics Schadenspiegel 2/2014

7 ACTUALITES Bienvenue dans une toute nouvelle façon de travailler : connect.munichre vous offre un environnement sûr pour la formation continue et le développement des affaires, ainsi que pour l optimisation des processus et l établissement de contacts précieux. Venez juger par vous-même! Nouvelle brochure commerciale consacrée au portail Clients connect.munichre.com La nouvelle brochure commerciale consacrée à connect.munichre montre aux clients comment collaborer au quotidien, échanger des données par le biais d espaces de projet ou accélérer leur processus de souscription grâce à nos instruments d évaluation de tarification et des risques, tels que MIRA et NATHAN. Avec connect.munichre, l accès aux articles de recherche actuels, aux publications et aux polices est très simple ; de plus, FlipViewer rend la lecture plus agréable. À leurs postes de travail, nos clients peuvent ainsi s informer confortablement des dernières nouvelles de l assurance, consulter nos nombreuses offres de formation continue ou participer, en ligne et en direct, à des séminaires interactifs. Par ailleurs, ils disposent à tout moment d une archive d enregistrements de webinaires précédents. La prise de contact avec les experts de Munich Re et l inscription sur le portail Clients se font très simples. Vous trouverez tous les détails nécessaires dans la brochure. >> Pour plus d informations, veuillez contacter votre manager Clients ou vous rendre sur le site connect.munichre. Munich Re Topics Schadenspiegel 2/2014 5

8 CYBER-RISQUES

9 CYBER-RISQUES «Toute personne voulant nuire à une entreprise a de grandes chances d y parvenir grâce à Internet» Les entreprises sont de plus en plus souvent touchées par des cyber-attaques. Florian Seitner de l Office bavarois de protection de la Constitution et Michael Hochenrieder de HvS-Consulting, société spécialisée dans la prestation de services de sécurité informatique, se sont entretenus avec Munich Re au sujet des dommages coûteux et des risques complexes inhérents aux cyber-attaques. Michael Lardschneider (Munich Re) : Dans différents secteurs, nous observons une recrudescence des cyberattaques occasionnant des dommages importants. Les entreprises investissent de plus en plus dans des infrastructures techniques. Cela décourage-t-il les pirates? Florian Seitner : Nous assistons actuellement à une professionnalisation accrue des pirates. On observe également ce phénomène dans la répartition du travail. Les tâches de programmation délicates semblent délocalisées dans les entreprises, divers groupes de pirates travaillent aussi bien pour des services de renseignements que pour des commanditaires criminels. M. Lardschneider : Monsieur Hochenrieder, en tant que prestataire de services de sécurité informatique, vous tentez de déterminer le niveau d efficacité des mesures de protection de vos clients. Dans le cadre d analyses de vulnérabilité et de tests d intru- sion, vous êtes chargé de voler les joyaux de la couronne numériques. Comment une telle attaque simulée se déroule-t-elle? M. Hochenrieder : Nous réalisons l attaque à un endroit précis du réseau et observons la réaction du personnel de sécurité et des systèmes à cette attaque : donnent-ils l alerte? Ou pouvons-nous nous déplacer dans le réseau tranquillement pendant deux à trois semaines et y puiser en permanence des informations provenant de l entreprise? Pour les entreprises, une attaque contre leur propre système s apparente à une véritable déclaration de guerre. Munich Re Topics Schadenspiegel 2/2014 7

10 CYBER-RISQUES M. Lardschneider : Les entreprises comprennent de plus en plus qu elles sont toutes logées à la même enseigne. Mais, pour comprendre les attaques qui se sont produites et les mesures mises en œuvre, il faut une grande confiance mutuelle. Des cercles reposant sur la confiance dans l ensemble de l entreprise ne se développent que lentement. Il en va de même pour la collaboration avec les prestataires de services de sécurité informatique et les fabricants de produits. Par exemple, lorsqu il y a un risque qu un prestataire travaille aussi pour la concurrence, il faut avoir une très grande confiance en lui et bâtir une relation de travail très étroite avec lui. Il est également important de collaborer avec l Office de protection de la Constitution. F. Seitner : Les entreprises peuvent travailler de manière confidentielle avec nous, elles bénéficient du soutien des autorités en cas d attaques électroniques sans que cela n aboutisse nécessairement à une procédure pénale. De nombreuses entreprises ont peur de s adresser à la police qui est tenue de signaler de tels incidents au procureur en vertu du principe de légalité. L Office de protection de la Constitution n est pas soumis à ce principe de légalité. Nous garantissons la confidentialité aux entreprises. Michael Lardschneider est Chief Security Officer de Munich Re. M. Lardschneider : Quels enseignements en avez-vous tirés? Les attaques sont-elles détectées plus rapidement que par le passé? M. Hochenrieder : Non, malheureusement pas, au contraire. La détection prend plus de temps car les outils disponibles, qui sont utilisés pour les vraies attaques, sont désormais ultra sophistiqués. Il est alors très difficile d identifier un pirate ayant les connaissances techniques pour commettre de telles attaques. F. Seitner : L avantage du camp adverse, c est qu il peut apprendre de ses erreurs en comprenant pourquoi une attaque a échoué. La fois d après, le logiciel sera amélioré et utilisé dans un autre réseau. M. Hochenrieder : En fin de compte, nous devons admettre que nous ne terminons généralement que deuxième dans ce jeu du chat et de la souris. Pour apprendre, une attaque doit avoir lieu. Analyser une attaque prend du temps et, pendant ce temps-là, d autres entreprises peuvent être attaquées par une technologie similaire. M. Lardschneider : L année dernière, les autorités américaines chargées de la sécurité ont informé entreprises qu elles pouvaient être la cible d une attaque. À l avenir, cette collaboration va-t-elle encore s intensifier en Europe et dans d autres régions du monde? F. Seitner : Lorsque nous constatons une attaque ou qu une attaque susceptible de toucher plusieurs entreprises (en raison de la méthode utilisée) est signalée, nous émettons des alertes de sécurité. Nous y décrivons l attaque de manière anonyme de sorte que chaque entreprise potentiellement concernée puisse engager une action concrète. Suite à nos messages d alerte, de nombreuses entreprises ont effectué des tests et 8 Munich Re Topics Schadenspiegel 2/2014

11 CYBER-RISQUES Michael Lardschneider s entretient avec Michael Hochenrieder et Florian Seitner. En moyenne, il s écoule 260 jours avant qu une entreprise victime d une attaque ne découvre qu elle est attaquée. quelques-unes ont ainsi mis au jour des attaques. Nous pouvons inclure ces cas dans notre bilan de la situation actuelle. M. Hochenrieder : Dans le cas d attaques ciblées, différentes méthodes sont utilisées simultanément. En moyenne, il s écoule 260 jours avant qu une entreprise victime d une attaque ne découvre qu elle est attaquée. Parfois, les pirates se déplacent dans le réseau de l entreprise pendant des années sans se faire remarquer. M. Lardschneider : Seule l interaction entre la technique et l homme permet d éviter cela. Techniquement, on peut limiter beaucoup de choses, mais cela perturbe parfois la façon de travailler des employés. Ces derniers se montrent compréhensifs quand ils intègrent pourquoi certaines fonctions sont désactivées. De plus, nous mettons en œuvre d importants moyens pour leur transmettre notre savoir-faire et les sensibiliser davantage à ce thème. M. Hochenrieder : Actuellement, les attaques de spear phishing se multiplient. Dans ce genre d attaque ciblée, les personnes sont comme harponnées. Ce n est pas du sang qui s échappe, mais des informations confidentielles. Le spear phishing consiste notamment à envoyer des s faisant référence à des avis de recrutement. Une telle offre d emploi paraît professionnelle, mais la pièce jointe avec le CV ou le site lié sont infectés. En cliquant sur la pièce jointe, l employé du service des ressources humaines ouvre la porte aux pirates. M. Lardschneider : Quels autres scénarios de sinistres pouvez-vous imaginer? M. Hochenrieder : Par exemple, si une entreprise voulait nuire à un concurrent, elle pourrait tout simplement lui empêcher l accès à tous les systèmes. Mais, une telle pratique serait rapidement découverte et le problème résolu. Il serait beaucoup plus difficile de détecter l attaque d un pirate qui falsifierait des données financières ciblées ou qui, dans le cas d un constructeur automobile, ne modifierait que très légèrement les dimensions de la fraise. Il suffirait de déplacer la virgule de quelques nombres ou de modifier quelques dates. Au début, on ne le remarquerait pas, mais cela aurait des conséquences dramatiques pour le produit final. Lorsque l attaque est détectée, Munich Re Topics Schadenspiegel 2/2014 9

12 CYBER-RISQUES on doit se demander quelles sont les données encore intègres, car on ne sait pas combien de temps le pirate est resté sur le réseau et quand il a falsifié telle ou telle donnée. Dans une grande entreprise, il est très difficile et coûteux de vérifier l intégrité de toutes les données. Michael Hochenrieder est le gérant de la société de conseil en sécurité HvS-Consulting. Une protection efficace contre les pirates et de bonnes solutions d assurance deviendront un avantage concurrentiel inestimable pour les entreprises. Cyber-Allianz-Zentrum Bayern Le Cyber-Allianz-Zentrum (CAZ) de l Office bavarois de protection de la Constitution conseille les entreprises et les instituts de recherche ainsi que les exploitants d infrastructures critiques (IC) dans la prévention et l analyse des cyber-attaques ciblées. Dans son rôle d interlocuteur confidentiel, cette unité de gestion et de coordination nationale centrale officie dans les domaines du cyber-espionnage et du cyber-sabotage. Lors de l analyse des attaques, le CAZ travaille en étroite collaboration avec l Office fédéral de protection de la Constitution (BfV), l Office fédéral pour la sécurité en matière de technologies de l information (BSI) et d autres autorités de sécurité fédérales et régionales. Les résultats sont analysés au CAZ et exploités en interne. Outre l entreprise concernée, d autres entreprises susceptibles d être touchées par une attaque similaire obtiennent également des informations de façon anonyme. F. Seitner : Je vais aller un peu plus loin en posant cette question : que se passerait-il si des pirates influençaient les processus d une installation de production de sorte que la composition d un produit, d un médicament par exemple, s en trouverait modifiée sans que le fabricant ne s en aperçoive? Dans l industrie automobile aussi, il en résulterait un préjudice important à cause du rappel massif de véhicules avec des questions de responsabilité complexes. M. Lardschneider : Par ailleurs, les attaques que l on pourrait qualifier de cyber-terroristes sont de plus en plus fréquentes. F. Seitner : Les attaques de ce type visent avant tout les infrastructures d approvisionnement. Par exemple, si une centrale de cogénération isolée conçue pour alimenter un nouveau quartier est attaquée, l entreprise d approvisionnement est peut-être encore en mesure de compenser cette attaque. Mais, si plusieurs centrales de cogénération commandées par le même dispositif sont attaquées et tombent en panne, cela peut déjà avoir une importance systémique. M. Lardschneider : Pour les entreprises, une attaque contre leur propre système s apparente à une véritable déclaration de guerre. Elles considèrent qu il y a bien plus de choses en jeu que leur réputation. Particulièrement dans le secteur financier, les clients seront de plus en plus attentifs à la façon dont les entreprises traitent leurs informations et au fait qu elles ont déjà été attaquées. Cependant, les entreprises qui traitent des informations confidentielles ont une grande chance, avec des mesures ciblées et une couverture d assurance adaptée, d être avantagées par rapport aux autres entreprises sur le marché. 10 Munich Re Topics Schadenspiegel 2/2014

13 CYBER-RISQUES M. Hochenrieder : Les entreprises doivent comprendre qu elles ne peuvent pas tout protéger, d autant plus que les cibles des attaques et les méthodes changent constamment. Elles ont donc besoin d un concept de sécurité progressif pour protéger efficacement les valeurs essentielles. Il faut ici évaluer précisément les coûts, les avantages et les risques. Une assurance sur mesure couvrant les cyber-risques est également nécessaire. M. Lardschneider : Comment le thème des cyber-risques va-t-il évoluer dans les années à venir? F. Seitner : Les conflits militaires vont gagner du terrain dans le cyberespace. Nous devons surveiller cela de très près. Les entreprises et les autorités aussi doivent mieux se préparer et créer une vaste et solide alliance de confiance. Ce n est qu ainsi que l on pourra détecter et repousser plus rapidement les attaques électroniques. M. Hochenrieder : Les entreprises doivent faire preuve de flexibilité face à la nouvelle situation. On peut toujours se protéger, mais pour cela une approche nouvelle est nécessaire. Jusqu à présent, on a toujours essayé de construire de hauts murs. Comme on sait que cette approche ne suffit plus aujourd hui, notre nouvelle stratégie consiste en un modèle de protection reposant sur le principe de l oignon. La sensibilisation des employés et des administrateurs dans le domaine de la sécurité de l information et des cyber-risques ainsi que la mise en œuvre de systèmes d alerte précoce peuvent se faire assez rapidement. Des mesures comme une segmentation plus précise des réseaux, la protection des comptes privilégiés ainsi que l identification, la classification et l assurance des joyaux de la couronne demandent du temps, quelquefois plusieurs années. C est justement pour cette raison que les entreprises devraient commencer à agir dès maintenant, tout en investissant dans des assurances couvrant les cyber-risques afin d être bien armées pour l avenir. Florian Seitner du Cyber-Allianz- Zentrum (CAZ) de l Office bavarois de protection de la Constitution. Munich Re Topics Schadenspiegel 2/

14 CYBER-RISQUES Cyber-dommages : un risque à prendre au sérieux L interconnexion numérique a profondément modifié notre mode de vie. Mais elle a également engendré le développement de la cybercriminalité et de nouveaux types de délits. Pour la branche de l assurance, cette nouvelle donne est l occasion ou jamais de développer des solutions innovantes et de participer à l instauration d une société plus sûre. Helga Munger Les infractions commises sur Internet par appât du gain, pour des raisons politiques ou à des fins d espionnage constituent un risque à prendre au sérieux. D une part, les technologies numériques se développent à une vitesse fulgurante, d autre part, il est souvent plus facile d attaquer un système que de le protéger. C est ce qui explique pourquoi les violations de données ou les attaques de hackers sont, dans une certaine mesure, inévitables. À bien des égards, ces menaces sont d un genre nouveau, mais il existe un facteur de risque décisif et pourtant bien connu : l Homme. Le secteur de l assurance Pour l année 2014, le produit des cotisations liées à l assurance contre les cyber-risques est estimé à environ 2 milliards de $US à l échelle mondiale. C est peu comparé aux coûts induits par la cybercriminalité, qui sont, eux, évalués à 445 milliards de $US. Ces chiffres permettent de comprendre l intérêt grandissant que les cyber-dommages suscitent chez les assureurs. Les entreprises étant de plus en plus nombreuses à prendre conscience des risques et à chercher des solutions pour contrôler et minimiser les coûts entraînés par une éventuelle attaque, le marché présente un énorme potentiel de croissance. Bien sûr, il ne s agit pas de créer des formes de couvertures ex nihilo. Au cours de la dernière décennie, certains assureurs ont ainsi acquis une expérience et un savoir-faire considérables. Après avoir remanié leurs prestations, certains ont pu s établir comme fournisseurs flexibles : ils proposent désormais des assurances sur mesure, élaborées en fonction des besoins spécifiques de leurs clients. De nouveaux venus sur le marché orientent, quant à eux, leur offre sur les produits de niche. Ils assurent les cyberrisques dans des secteurs qu ils connaissent à travers leur maîtrise d autres segments d assurance. Il existe plusieurs types de pertes de données. Les attaques de hackers, l intrusion de logiciels malveillants ou la manipulation de sites Internet ou d s font partie des violations de données les plus fréquentes. Quel que soit le modèle choisi, un impératif demeure : la communication doit être optimale entre le service des dommages et la souscription. Pour les assureurs et les réassureurs, la priorité est de réagir rapidement aux problèmes et d ajuster les concepts en conséquence. Cyber-dommages La sinistralité des années passées montre que les dommages les plus connus, les plus spectaculaires et les plus coûteux surviennent, comme par le passé, mais pas exclusivement, aux États-Unis. Certains dommages, comme les dernières attaques de hackers frappant le détaillant Target ou le site de vente aux enchères ebay, ont été abondamment commentés dans les médias et placés ainsi au centre de l opinion publique. Les entreprises sont toujours plus nombreuses à se demander si elles sont en mesure de réagir de façon optimale à une attaque. 12 Munich Re Topics Schadenspiegel 2/2014

15 CYBER-RISQUES L ampleur et la complexité des incidents peuvent couvrir un large spectre : de la perte d un ordinateur portable à une fuite de données majeures, comme celles auxquelles ont récemment été confrontées les entreprises Sony, TJX, Target et ebay. Souvent, ce n est pas la victime elle-même qui découvre la fuite. Il arrive fréquemment que les entreprises soient informées par les autorités qu elles ont fait l objet d une cyberattaque. Les entreprises peuvent également s apercevoir de l intrusion en observant des mouvements inhabituels sur les comptes de leurs clients. Parmi les violations de données les plus spectaculaires, nombreuses ont été celles à faire le tour des blogs avant d être rendues publiques par l entreprise concernée. Les attaques de logiciels malveillants, exploités à des fins lucratives par les cyber-pirates, constituent un problème aussi bien pour les grandes entreprises de commerce de détail que pour les petites et moyennes entreprises. C est ce qu a mis en évidence un incident survenu chez l assureur britannique Staysure Insurance. Staysure est courtier spécialisé dans le segment de l assurance Voyage des plus de 50 ans. Après une attaque, l assureur a dû contacter clients. Pour Staysure, le risque était que les hackers avaient pu dérober des données sensibles, comme les numéros de code figurant sur les cartes des assurés. Heureusement, l entreprise a pu déclarer publiquement que le dommage était couvert par une assurance. Cela a permis un traitement efficace de la perte des données et une communication rapide avec toutes les autorités compétentes. Pour ebay, les choses se sont déroulées autrement. La plupart des victimes ont eu connaissance de l attaque à travers les médias. L entreprise a informé ses utilisateurs ultérieurement sur son site Internet, en priant 233 millions de clients de modifier leur mot de passe. ebay a bien insisté sur le fait qu aucune donnée financière n avait été volée. Cependant, il existe des risques pour les clients qui utilisent le même mot de passe pour plusieurs services Internet. Les don- nées dérobées présentaient une grande valeur car elles contenaient les adresses (postale et ), les numéros de téléphone et les dates de naissance des clients. Or, de nombreuses banques proposent des services bancaires par téléphone et utilisent l adresse et la date de naissance des utilisateurs pour vérifier leur identité. Cela montre bien que les risques induits par les fuites de données dépassent largement les frontières du Web. L univers analogique n est pas davantage protégé contre les fuites de données. L autorité de protection des données britanniques (Information Commissioner s Office, ICO) a, elle aussi, été victime d une fuite de données : une armoire de classement contenant des documents gouvernementaux sensibles a été mis en vente lors d une vente aux enchères de meubles d occasion. Autre incident récent : une autorité policière a été condamnée à payer une amende car des protocoles d interrogatoire et des informations confidentielles avaient été oubliés dans les anciens bureaux après le déménagement des services dans un autre bâtiment. Bien que les dommages entraînés par les pertes de données de ce type soient gérables, ils peuvent tout à fait servir de base pour le développement d une stratégie de traitement des fuites de données numériques. En cas d attaque par déni de service, paralysant un site Internet ou un serveur, les problèmes peuvent être extrêmement difficiles à résoudre pour une petite entreprise. Après un incident de ce type, la remise en fonctionnement d un site et des éventuels canaux de vente en ligne peut s avérer coûteuse et laborieuse. De l aide peut être apportée par des entreprises spécialisées dans la protection des données, qui proposent des solutions haut de gamme. Leurs prestations englobent le nettoyage des données et leur rapatriement sur le site Internet approprié. Pour les clients, ces opérations sont certes synonymes de ralentissement temporaire, mais elles garantissent le maintien du service et limitent les pertes sur le chiffre d affaires et les coûts d interruption d exploitation. Les différents types de pertes de données Attaque professionnelle Maladresse ou négligence Hacking ou malware Phishing ou pharming Divulgation intentionnelle d informations (employés, prestataires) Fraude par carte de paiement Supports de sauvegarde perdus Transfert d installations informatiques Élimination incorrecte (papier, déchets électroniques) Insuffisance des contrôles de sécurité et d accès Malchance Données de cartes non cryptées (cryptogramme visuel) Utilisation concomitante de données d accès identiques Mises à jour système incomplètes Divulgation involontaire d informations Perte/vol d appareils mobiles Vol d appareils stationnaires Transfert de données sur les appareils d employés Munich Re Topics Schadenspiegel 2/

16 CYBER-RISQUES Conditions juridiques Le cadre juridique actuel est aussi complexe qu ambigu. En Europe, les efforts faits pour harmoniser les règlements contractuels pour tous les États membres sont loin d être concluants (voir l article de Patrick Hill, à partir de la page 16). Aux États-Unis, où les cyber-attaques spectaculaires sont légion, la situation juridique diffère également d un État à l autre. La définition des données personnelles est sujette à bien des variations, ce qui conduit à une multiplicité de décisions judiciaires. Au final, les avis s accordent sur un point : la perte de données ne constitue pas une infraction en soi, sauf si des garanties spécifiques ont été fixées au préalable. Il est probable que la partie plaignante poursuivra ses tentatives d attaque à l encontre de ce consensus. Dans la plupart des États fédéraux américains, les fuites de données doivent faire l objet d un signalement. Mais comment déterminer avec certitude la date exacte d une fuite? Dans 29 États, les données personnelles cryptées ne relèvent donc pas de cette obligation de signalement. La fuite de données de santé est considérée comme extrêmement problématique. C est pourquoi leur diffusion et leur publication illégales sont punies par des sanctions particulièrement dures, liées à des coûts élevés. Cela montre bien que les entreprises doivent travailler avec des fournisseurs de services expérimentés et compétents, capables de les aider à résoudre des problèmes complexes. Sensibilité aux cyber-risques : la direction doit montrer l exemple La sensibilité aux cyber-risques est nécessaire. Mais est-elle suffisante? Dans un sondage mené il y a peu auprès des 350 entreprises les mieux cotées à la Bourse de Londres, 64 % des comités de direction et des comités de vérification interrogés ont déclaré prendre très au sérieux les cyber-risques. C est une bonne nouvelle. Pourtant, moins de la moitié des présidents des comités de direction interrogés ont déclaré estimer leur comité suffisamment conscient des risques induits par une fuite de données. De nombreux facteurs liés aux cyber-risques sont directement influencés par les décisions prises au niveau de la direction, par exemple le type de management ou le choix des partenaires commerciaux et des fournisseurs. Les risques augmentent dès que les tâches sensibles sont déléguées à des tiers. Des plaintes ont déjà été formulées à l encontre de directeurs dont le comportement aurait pu entraîner ou aggraver une violation de données. Les décisions de justice liées à ces procédures rendues publiques ne sont pas encore disponibles, mais il convient de suivre ces affaires avec attention. Défi et opportunité Naturellement, les assureurs et les réassureurs sont informés des dommages entraînés par des actes de cybercriminalité uniquement par les clients qui ont reconnu les risques et se sont assurés en conséquence. Il est clair que ce groupe de clients présente une sensibilité aux risques supérieure à la moyenne. Néanmoins, on peut légitimement supposer que la sensibilité aux cyber-risques tendra à se généraliser. En proposant des concepts de couverture adaptés et une aide professionnelle, le secteur de l assurance peut apporter une contribution à cette prise de conscience. Une bonne préparation à un incident sévère, une vigilance accrue vis-à-vis des attaques potentielles et le recours à une équipe de gestion de crise professionnelle peuvent se révéler extrêmement profitables. L équipe en question doit être composée d expert en sécurité de traitement des données et elle doit être en mesure d agir immédiatement après une attaque. Ce qu a montré avec certitude notre expérience en matière de sinistres, c est qu après une cyber-attaque, la limitation des coûts et des atteintes à la réputation dépend essentiellement de la rapidité et de l efficacité dont fait preuve l équipe de gestion de crise. En tant qu experts en gestion des risques, les assureurs peuvent jouer un rôle de premier plan dans la protection contre les cyber-risques Ils peuvent soutenir leurs clients tout en profitant d un marché en pleine croissance. NOTRE EXPERTE : Helga Munger est Senior Legal Counsel dans le secteur Global Clients/North America où elle s occupe de la gestion des sinistres Casualty. hmunger@munichre.com 14 Munich Re Topics Schadenspiegel 2/2014

17 RECENSION Employers Liability and Workers Compensation Ina Ebert L étude «Employers Liability and Workers Compensation» menée par l Ectil (European Centre of Tort and Insurance Law) à Vienne, traite de la question de l indemnisation des salariés pour les sinistres liés à leur activité professionnelle. Cette étude a été réalisée par des experts des différents marchés dans 12 États : l Allemagne, la France, l Angleterre, l Italie, le Danemark, les Pays-Bas, l Autriche, la Pologne, la Roumanie, l Australie, le Japon et les États-Unis. L étude présente en détail les différents modèles nationaux et relève les avantages et les inconvénients de chacun : responsabilité de l employeur uniquement, combinaison de l assurance Accident du travail et de la responsabilité de l employeur, transfert (presque) total de l indemnisation depuis le droit de la responsabilité civile vers des systèmes compensatoires alternatifs. Cette présentation permet de montrer clairement l évolution des fonctions de chacun de ces modèles d indemnisation des salariés : au départ, l indemnisation d employés ayant été blessés lors d un accident était prédominante. Par la suite, l indemnisation des salariés souffrant de maladies liées à leur activité professionnelle ont gagné en importance, posant toute une série de nouveaux problèmes, depuis les questions concernant la causalité et les délais de prescription pour les dommages à long terme (le meilleur exemple étant les dommages liés à l amiante), jusqu à la séparation entre les troubles psychiques liés à l activité professionnelle et les autres troubles psychiques, en passant par les conséquences d une insolvabilité de l employeur. Ces derniers temps, la responsabilité de l employeur est également mise en cause pour discrimination, harcèlement moral et harcèlement sexuel, particulièrement aux États-Unis mais aussi de plus en plus fréquemment en Europe. Ce livre pourra aider et intéresser tous ceux qui s occupent de l assurance des risques, au niveau national ou international, dans ce domaine situé entre droit du travail, assurances sociales et droit de la responsabilité civile. Ken Oliphant, Gerhard Wagner (Éds.) : «Employers Liability and Workers Compensation». Éditions De Gruyter, Berlin/Boston Munich Re Topics Schadenspiegel 2/

18 CYBER-RISQUES Défense des frontières numériques Les préoccupations concernant les cyber-attaques incitent les gouvernements et les entreprises à agir. À l échelle mondiale, ils ont lancé des initiatives et soumis des projets de loi afin de mieux protéger les données et la vie privée. Patrick Hill La sécurisation du cyber-espace se révèle difficile. L architecture d Internet vise en premier lieu à faciliter les connexions entre ordinateurs et non à se couper du monde. Le Premier ministre britannique David Cameron a mis l accent sur les conséquences qui en découlent : «Nous ne pouvons pas défendre le Royaume-Uni depuis les falaises de craie de Douvres». C est la raison pour laquelle il souhaite mettre à disposition 1,1 milliard de pour lutter contre les «ennemis invisibles» dans le secteur de la cyber-criminalité et du cyber-terrorisme. Il s agit là de la dernière mesure prise par le gouvernement britannique qui s efforce d améliorer la cyber-sécurité et de protéger les infrastructures nationales vitales des cyberattaques. Au préalable, le gouvernement avait déjà lancé son initiative «Cyber Essentials Scheme». Elle a pour but d inciter les entreprises à examiner attentivement les dangers auxquels les cyber-risques les exposent et à les minimiser. En novembre 2014, une rencontre au sommet s est tenue avec les P.D.G. des compagnies d assurance britanniques. Francis Maude, ministre responsable de la cyber-sécurité (UK Cyber Security Strategy ou stratégie du Royaume-Uni en matière de cybersécurité) y était convié. Grâce à l étroite collaboration entre le gouvernement britannique et le secteur de l assurance, le marché de la cyber-assurance est appelé à se développer dans le but d atténuer les cyber-risques. Le secteur de l assurance est très bien placé pour faire avancer la gestion des cyber-risques et sensibiliser les clients, notamment en leur posant des questions ciblées concernant leurs lignes directrices et les processus pour faire face aux risques opérationnels et aux attaques de données. En outre, après un vol de données, les assurés reçoivent les conseils et l assistance d experts. Les banques sont favorables au conseil de cyberguerre Aux États-Unis, le secteur financier redoute que les systèmes ne puissent pas être à la hauteur d une cyber-attaque de grande ampleur contre les infrastructures. Ainsi, une attaque contre les réseaux électriques, par exemple, pourrait bloquer les échanges sur les marchés financiers, ce qui serait susceptible de provoquer un mouvement de panique de masse et un retrait massif des dépôts bancaires. Afin de se protéger de ce danger, les grandes banques américaines ont proposé la création d un conseil de cyberguerre. La rhétorique de cyberguerre permet de reconnaître que les menaces provenant d Internet, tout comme les menaces physiques, peuvent avoir des conséquences désastreuses. L avenir dira si un conseil de cyberguerre est réellement à même d améliorer la sécurité de manière décisive. L initiative des établissements bancaires attire au moins l attention de l opinion publique sur les risques liés au cyberespace, ainsi que sur l importance de la mise en œuvre de stratégies appropriées pour y faire face. Nouvelle directive sur la protection des données au sein de l UE L Union européenne (UE) prend également très au sérieux le thème de la cyber-sécurité. La Commission prévoit ainsi d uniformiser la protection des données au sein de l UE dans un texte législatif unique : le règlement général sur la protection des données. La directive actuelle n est plus d actualité. Des aspects importants comme la mondialisation et les innovations technologiques dans les secteurs des réseaux sociaux et du «cloud computing» (ou informatique dématérialisée) ne sont pas suffisamment pris en considération. Une proposition de règlement a été présentée le 25 janvier Munich Re Topics Schadenspiegel 2/2014

19 CYBER-RISQUES En octobre 2013, le Parlement européen a entériné un projet proposé par la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) et prévoyant de nouvelles lignes directrices en matière de protection des données. Ce projet constitue un compromis entre les propositions de la Commission et les amendements que le Parlement européen et le Conseil des ministres avaient demandés. Désormais, le Conseil européen, dans lequel les 28 États membres de l UE sont tous représentés, doit adopter le règlement. Comme le Conseil n a pas encore fixé de position commune concernant la réforme de la législation sur la protection des données, une adoption du règlement avant début 2015 est peu probable. Le règlement doit entrer en vigueur à l issue d une période de transition de 2 ans. En vertu des nouvelles réglementations, la législation européenne sur la protection des données s appliquera à toutes les entreprises, y compris internationales, qui traitent les données de ressortissants de l UE. Il est prévu d harmoniser les prescriptions relatives à la protection des données dans toute l UE et, ainsi, de permettre aux entreprises non européennes de respecter plus facilement ces prescriptions. Des réglementations strictes en matière de conformité et la menace de fortes amendes pouvant atteindre 2 % du chiffre d affaires annuel mondial ou 1 million d sont le prix à payer. Le Parlement européen a même réclamé des amendes pouvant atteindre 10 millions d ou 5 % du chiffre d affaires annuel mondial. Les amendements proposés posent quelques difficultés d ordre pratique. Afin de faire appliquer et de contrôler les réglementations, la Commission européenne et les autorités locales de protection des données ont besoin de ressources et d habilitations suffisantes. Mais, compte tenu du manque d experts en protection des données et de savoir-faire, l entrée en vigueur de nouvelles réglementations pourrait aggraver la situation. De plus, il faut s attendre à ce que les autorités de protection des données soient confrontées à des problèmes à cause de la barrière de la langue. Le succès du règlement général sur la protection des données dépendra donc des offres de formation continue proposées dans le domaine de la protection des données et de la vie privée. Il y a toujours un risque que les réglementations relatives à la protection des données soient interprétées différemment dans chacun des 28 États, ce qui pourrait donner lieu à des divergences au sein de l UE. Par ailleurs, au vu de la multitude des normes existantes en matière de sécurité et de protection des données au sein de l UE, il faut s attendre à ce que la législation de certains États membres soit considérablement modifiée. Même si le règlement général sur la protection des données part incontestablement d une bonne intention, il reste encore beaucoup à faire avant qu il ne puisse entrer en vigueur à l échelle de l UE. NOTRE EXPERT : Patrick Hill travaille en partenariat avec le cabinet londonien de la société d avocats internationale DAC Beachcroft LLP phill@dacbeachcroft.com Munich Re Topics Schadenspiegel 2/

20