L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1
En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont copiées, transmises, consultées, volées ou utilisées par une personne qui n'y est pas autorisée.» Les violations de données peuvent impliquer : des données personnelles (l état civil, etc.) des données bancaires (cartes de crédit, etc.) des données financières, des données médicales des secrets commerciaux d'entreprises la propriété intellectuelle 4
Un défi technique pour l assureur «La protection des données reste un défi pour les entreprises, notamment avec la multiplication des terminaux utilisés et la convergence de leurs utilisations personnelles et professionnelles.» Laurent Heslault, Directeur des Stratégies de Sécurité de Symantec France De multiples points d entrée pour les violations de données... 39% des violations relèvent de la responsabilité d un tiers / prestataire* 35% des violations impliquent un smartphone/tablette/ordinateur volé ou perdu*...qui prennent de l ampleur à cause de détections tardives 173,5 jours entre le début et la détection d un piratage informatique** Source : * Etude Symantec Mars 2012 Données françaises **TrustWave 2012 (18 pays étudiés dont la France) 3
Violations de données - cyberattaques ENJEUX & RISQUES MAJEURS 4
Protection des éléments clés des assurés Cybercriminalité : les plus grandes craintes des entreprises Vol de propriété intellectuelle Perte ou vol d informations personnelles Dommages à la réputation Source : PwC 2012 5
Des coûts élévés en cas de sinistre qui justifient une mutualité Coûts moyens* 2010 2011 Évolution Par violation de données 2,20 M 2,55 M + 16 % Par donnée piratée 98 122 + 13 % 20% + 14% des entreprises piratées ont subi des pertes financières (CA ou réputation)* pertes financières liées à une violation de données en 2011* Exemple de violation de données de 4 Millions Une entreprise de taille moyenne spécialisée dans la vente en ligne a subi un piratage pendant plusieurs mois au niveau de leur système de paiement en ligne hautement sécurisé. Plus de 2 millions de données clients sensibles ont été volées, ce qui a engendré les coûts suivant : - Perte de revenus à la suite de la fermeture momentanée du site web : 1,5 M - Demande d indemnisation de la part des banques des clients touchés : 1 M - Coût d expertises, de notification et de frais de veille : 1,25 M - Coûts liés à la réputation (média & relations publiques) : 250 000 Source : *Etude Symantec Mars 2012 (données françaises) 6
UNE OFFRE GLOBALE DE SERVICES D ASSURANCE 7
La solution d assurance est pluridisciplinaire Entreprises responsables du traitement de données à caractère personnel (coordonnées bancaires, numéros de CB, données d identité) et/ou en possession de données sensibles (données médicales, secrets commerciaux, etc.) Serveurs internes ou externes OFFRE GLOBALE DE SERVICES avec une solution préventive et corrective Mise à disposition d un réseau d experts informatiques, d avocats, de gestion de crise, d image et de réputation Garanties Responsabilité Civile DOMMAGES Modules Vie privée, données personnelles et confidentialité Cyber responsabi -lité Failles de sécurité informatique Cyber piratage Cyber perte de revenus Cyber extorsion Enjeux majeurs Données personnelles Confidentialité Réputation Base de données Réseaux & SI Chiffre d affaires Négociation Sinistres potentiels Mise en cause par la CNIL suite à vol de fichiers Réclamation d un client suite à un vol de ses données confidentielles Mise en cause du contenu diffamatoire sur un site web piraté Vol d une base de données contenant des informations confidentielles ou sensibles Atteinte au fonctionnement du site et des programmes Perte de CA du site marchand suite à un hacking (impossibilité de payer en ligne) Vol ou menace avec chantage à la diffusion des données Les garanties Prise en charge des frais de défense et des dommages & intérêts Remboursement du préjudice subi Prise en charge des frais de défense sans sous-limite et des dommages & intérêts Prise en charge des frais de notification, expertise informatique, frais de veille et de communication Prise en charge d un audit et amélioration des systèmes de sécurité Remboursement du montant de pertes subies par l assuré Gestion de la négociation avec les hackers 8
L industrie et le risque «data» Enjeux & risques majeurs : Perte de chiffres d affaire Impact négatif sur la réputation de la marque à la suite de vols de données Assurance et solidité financière sur les projets Les franchisés sont les nouvelles cibles des pirates informatiques: plus d un tiers des interventions*. Pourquoi ce secteur est-il sensible à la perte de données? Concentration de nombreuses données sensibles (état civil, données bancaires, données de tiers, données stratégiques, secrets commerciaux) 30% des violations de données sont dues à la négligence des employés* Ce secteur est cible pour les organisations d intelligence économique Exemple de sinistre: L exemple du sinistre Stuxnet est symptomatique du sinistre industriel. Au delà de l aspect politique, il demontre les capacités de piratage d un process industriel dans la durée et avec efficacité. * Source: * Trustwave 2012 (18 pays étudiés dont la France) 9
Un exemple de gestion en cas de violation de données QUE FAIRE EN CAS DE SINISTRE? 10
Déroulement classique de sinistre Prévention/ Protection Une attaque de hacker, avec violation de données ou soupçon Tentative d extorsion possible Restauration du business et de la réputation Notification et/ou information juridique Relations Publiques Pertes Financières et dommages et intérêts Actions judiciaires de tiers ou du régulateur
En 48h, la reponse d un assureur Un réseau d experts à votre disposition Mise en place d une solution corrective INCIDENT Une violation de données a lieu NOTIFIER Prévenez immédiatement les contacts définis dans la police d assurance ALERTER Mise en place de l équipe de réponse à incident par l assureur ENQUETER Identification de l origine de la perte de données MESURER Évaluation de l efficacité de la réponse EXECUTER Mise en œuvre le plan de réponse EVALUER Estimation des conséquences éventuelles ARRETER Empêcher toute amplification du sinistre X Assureur X Avocats X Experts IT X E-réputation 12
Avez-vous des questions?
ANNEXE : LES GARANTIES EN DETAILS 14
Volet Responsabilité civile - en détail Vie privée, données personnelles et confidentialité Nous couvrons toute réclamation contre l assuré suite à une violation de données : - Atteinte à la vie privée et à la confidentialité des données personnelles, - Divulgation d informations confidentielles, - Actions d autorités administratives ou gouvernementales, - Virus / attaque par déni de service Données personnelles Confidentialité Dossier papier Norme de sécurité PCS DSS Mise en cause par la CNIL suite à vol de fichiers Réclamation d un client suite à un vol de ses données confidentielles Réclamation d un client suite à une perte de ses données confidentielles Réclamation de Visa Mastercard pour les sinistres supportés à travers les banques Prise en charge des frais de défense et des dommages & intérêts Remboursement du préjudice subi sans sous-limite Prise en charge du manquement contractuel (en option)
Volet RC Professionnelle - en détail Cyber responsabilité Grâce au module Cyber-responsabilité, nous sommes à vos côtés pour répondre aux réclamations liées aux contenus que vous diffusez en ligne. En effet, le contenu d un site internet ou un email envoyé à un client peuvent être mal interprétés ou violer le droit d auteur d un tiers par erreur (notamment, droits de propriété intellectuelle, diffamation, etc.) Réputation Contrefaçon des droits d auteur Mise en cause du contenu diffamatoire sur un site web piraté Mise en cause de la contrefaçon graphique de page web ou vol de logo Prise en charge des frais de défense sans sous-limite Prise en charge des dommages & intérêts
Volet dommages - en détail Failles de sécurité informatique Le module Failles de sécurité informatique est le cœur de la protection de votre entreprise afin de protéger vos données sensibles et/ou confidentielles, essentielles au bon déroulement de votre activité. Il vous met en disposition nos réseaux d experts informatiques, d avocats, de gestion de crise, d image et de réputation. Base de données Notification légale Réputation Vol d une base de données contenant des informations confidentielles ou sensibles Mise en place des processus de notification à la CNIL et à vos clients Gestion de la crise en externe avec des spécialistes coûteux Prise en charge des frais d expertise informatique (100 000 / sinistre) Prise en charge des frais de notification identification des données volées, frais juridiques, centre d appels (500 000 / sinistre) Prise en charge des frais de veille contre l utilisation frauduleuse des données personnelles par un prestataire spécialisé (durant 1 an) Prise en charge des honoraires d une agence spécialisée en gestion de crise et relations publiques
Volet dommages - en détail Cyber piratage Un pirate peut endommager vos sites internet, intranet, programmes et données électroniques, ou dérober des données qui vous appartiennent. Le module Cyber-piratage indemnise vos coûts de réparation, de restauration et de remplacement où des consultants spécialisés interviennent tout au long de ce processus. Réseau & SI Contenu & SI Architecture système Atteinte au fonctionnement du site et des programmes Atteinte aux données du site et/ou du réseau Défaillance des systèmes de sécurité Prise d un audit complet des systèmes d informations Identification du pirate Prise en charge des frais de restauration Amélioration des systèmes de sécurité
Volet dommages - en détail Cyber-perte de revenus A quel point votre société serait affectée si un pirate, un concurrent ou tout autre tiers ciblait votre système informatique pour bloquer vos ventes en ligne? Notre module Cyber-perte de revenus permet de combler les pertes de revenus qui résultent de l interruption de l activité. Chiffres d affaires du site internet Chiffres d affaires de l entreprise Perte de CA du site marchand suite à un piratage (impossibilité de payer en ligne) Perte de CA suite à un piratage des réseaux de l entreprise Remboursement du montant de pertes subies par l assuré Remboursement des pertes d exploitation (en option)
Volet dommages - en détail Cyber extorsion Plutôt que de s en prendre à vos données personnelles ou à vos sites internet, un pirate peut réclamer le versement d une rançon sous peine d anéantir votre système informatique ou de diffuser des informations confidentielles. Ce module prend en charge la gestion de la négociation avec les hackers. Négociation Impact financier Vol ou menace avec chantage à la diffusion des données Impacts financiers négatifs suite à la diffusion d informations confidentielles Accès à l assistance d un prestataire spécialisé dans la gestion des risques liés à la sécurité Remboursement éventuel des rançons versées au pirate afin de minimiser l impact sur votre activité