Les cyber risques sont-ils assurables?



Documents pareils
L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Atelier B 06. Les nouveaux risques de la cybercriminalité

LES CARNETS DE BORD DE L ACDA L ASSURANCE CIRCUIT

Gestion des cyber-risques

5 novembre Cloud, Big Data et sécurité Conseils et solutions

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

Stratégie nationale en matière de cyber sécurité

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

La cyberassurance reste aujourd hui un

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

Quelles sont les obligations en matière d assurance pour les structures sportives?

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

M E T T R E E N P L A C E U N E V E I L L E

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Symantec CyberV Assessment Service

Menaces du Cyber Espace

CHARTE INFORMATIQUE LGL

LE DOCUMENT UNIQUE DE DELEGATION

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

le paradoxe de l Opérateur mondial

Législation et droit d'un administrateur réseaux

Risques liés aux systèmes informatiques et de télécommunications

Thèse Professionnelle

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

> Une garantie obligatoire

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

La sécurité des systèmes d information

Sécurité. Tendance technologique

Agenda numérique - Partie V. Juillet 2015

1/ LES CARACTÉRISTIQUES DU CYBER-HARCÈLEMENT

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Quelles assurances proposer? Focus sur le cloud computing

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

«Petites assurances (assurances moyens de paiement/fuites d eau) : grosses dépenses» Questions/Réponses

Les Assurance en République du Congo

Gestion des Incidents SSI

INTERMEDIAIRES EN ASSURANCES

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

Protection pour site web Sucuri d HostPapa

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CONVENTIONS SPECIALES ANNULATION. 2) SINISTRE La réalisation de l événement susceptible de mettre en jeu la garantie de l assureur.

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

RISQUE SPORTIF, RESPONSABILITES ET ASSURANCE. MONTPELLIER 27 mai 2013

Toute utilisation du site doit respecter les présentes conditions d utilisation.

LA RÉFORME SOLVABILITÉ 2 PETITE RECETTE À L ATTENTION DES COURTIERS

AIG, un des leaders mondiaux de l assurance, compte plus de collaborateurs et 88 millions de clients dans le monde. Vous trouverez dans cette

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

Présenté par : Mlle A.DIB

Les Réseaux Sociaux d'entreprise (RSE)

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux

Nettoyage de l E-réputation des entreprises : la suppression de contenus illicites sur internet

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

PROGRAMME RESPONSABILITE CIVILE PROFESSIONNELLE POUR LES MEMBRES DU SNJV. Conseils & Risques Financiers 22 février

Partie 1 - La gestion des risques : identifier, prévenir, éviter, réduire, transférer les risques?

PROTÉGER VOS BASES DE DONNÉES

Assurance des risques cybernétiques

ASSOCIATION DES ACCIDENTÉS DE LA VIE. Quelles procédures après un accident de la route? Informations pour les victimes de dommages corporels

VIEW FROM SWITZERLAND ON FIGHTING CYBER CRIME

VOTRE ASSURANCE PROTECTION JURIDIQUE ROADMASTER

Comité Drôme Ardèche de Badminton Compte-rendu formation Maïf 18 novembre 2014

Les indicateurs du développement durable

Dossier de presse. La non-assurance routière en France en 2013

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Club des Responsables d Infrastructures et de la Production

Conditions tarifaires

Charte de Qualité sur l assurance vie

Charte d'hébergement des sites Web

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Directeur de la publication : André-Michel ventre, Directeur de l INHESJ Rédacteur en chef : Christophe Soullez, chef du département de l ONDRP

HySIO : l infogérance hybride avec le cloud sécurisé

CYCLISTES, ROULEZ BIEN ASSURÉS! Pratique, écologique et économique, le vélo est aujourd hui un mode de déplacement en plein essor.

Prévention LES ENJEUX DE LA PREVENTION. Infos INTRODUCTION : SOMMAIRE :

L escroquerie dite «au faux patron» par la réalisation de virements frauduleux

Intermédiaires en Assurance

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Q U E S T I O N N A I R E

«Marketing /site web et la protection des données à caractère personnel»

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

Les victimes et auteur-e (s) de violences domestiques dans la procédure pénale

BIENVENUE CHEZ CHUBB

Assurances SGP - Questions fréquemment posées - Août Scouts et Guides Pluralistes de Belgique (SGP) a.s.b.l.

LA CONSTITUTION DE PARTIE CIVILE DANS UN PROCES PENAL.

Montrer que la gestion des risques en sécurité de l information est liée au métier

RISQUE SPORTIF, RESPONSABILITES ET ASSURANCE. Montpellier - 13 novembre 2012

La majorité, ses droits et ses devoirs. chapitre 7

Transcription:

Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent se poser les assureurs et les assurés? La prise en compte grandissante des menaces cyber, et du coût associé à de tels risques, incite les entreprises à chercher à transférer ces risques auprès des compagnies d assurances. En 2013, la Lloyds déclarait que les cyber risques étaient en troisième position des risques majeurs des entreprises, et cela montre bien la volonté des compagnies d assurances de se positionner sur un tel marché. Les entreprises ont en effet vu leur capital stratégique majeur, l information, devenir de plus en plus vulnérable en raison de l augmentation de l interconnectivité (et donc de la multiplication des vecteurs d attaque) et de la vitesse de propagation qu ont apporté les nouvelles technologies de l information. Ces risques touchent les entreprises et les particuliers, et parfois les uns à travers les autres. Le champ étatique, qui semble sortir du périmètre de l assurabilité des risques cyber (bien que de plus en plus la frontière publique/privée devient poreuse, en raison de la responsabilité accrue que l on peut observer dans certains domaines, notamment celui des OIVs). Il convient alors d aborder la typologie des menaces subies par les entreprises, les questions qu elles et leur assureur doivent se poser, puis la stratégie des compagnies d assurance dans ce domaine. Enfin, nous aborderons la question spécifique de l assurance des cyber risques pour les particuliers.

I. Menaces cyber : quels risques à couvrir pour les entreprises? 1) Les dommages aux biens La protection contre le vol des données semble être devenue la priorité donnée par les entreprises. Il s agit pour le cybercriminel de récupérer des informations confidentielles afin de les revendre ou tout simplement de nuire à l entreprise ciblée. On pense également aux attaques d un système d information dans le but de le rendre non opérationnel (attaques DDOS), parfois par idéologie (hacktivisme), mais bien souvent à des fins de chantage et d extorsion. Dans ce dernier cas, il est plus courant que l attaque consiste à chiffrer les données et à «offrir» à l entreprise ciblée la remise à disposition du système en échange d une rançon. Il s agit quoiqu il en soit pour les entreprises de parvenir à reconstituer leurs données (à défaut d avoir pu en empêcher le vol), et de limiter leurs pertes d exploitation (par des mesures techniques et par la recherche de couvertures assurantielles). 2) La responsabilité civile Les entreprises ont une responsabilité des atteintes aux droits de la personne, et par là de l exfiltration des données personnelles (parfois confidentielles) de leurs clients comme de leurs employés (article 34 de la loi Informatique et Liberté). Il suffit d une plainte d un client pour que la CNIL ouvre une enquête et soit à l issue de celle-ci en mesure de sanctionner l entreprise (avertissement, amende) et de rendre publique cette sanction. 3) Les dommages à l image et à la réputation Une entreprise victime d une attaque verra son image dégradée, que cela soit par la fuite d une information confidentielle sujette à polémique (cas de l affaire Lu-Danone en 2001), ou par la perte de la confiance accordée par les partenaires et consommateurs (citons le cas très récent d Orange).

II. Quelles questions doivent se poser les entreprises et les assureurs? 1) Les vulnérabilités Il s agit de déterminer quelles sont les vulnérabilités des entreprises à assurer. Une cartographie des risques doit être établie, les sources de fuites et les vecteurs d attaques concernant à la fois l enceinte de l entreprise, mais également les données transitant sur les réseaux ou transportées sur appareil mobile par les employés. 2) Une difficile évaluation du risque Pour atteindre l objectif de l assurabilité du risque, il faut pouvoir le mesurer : c'est-àdire déterminer sa probabilité et son intensité. C est un enjeu majeur de l assurance, dans un domaine où les statistiques ne relèvent que d une relativement courte période (à l échelle des risques traditionnels). Pourtant, et nous allons le voir, il existe bien des offres d assurance en matière de cyber risques. III. La stratégie des entreprises d assurance 1) La question de l expertise juridique et technique La cybersécurité est une matière pluridisciplinaire : elle est au croisement de la gestion du risque, de la sécurité informatique (donc technique) et du droit. Si le service juridique des assurances est particulièrement développé, les évolutions apportées par les NTICs ont amené le droit à s adapter. Force est de reconnaître qu au niveau national, la réponse a été franche et relativement rapide : les cyber infractions sont soit traitées sur la base des infractions traditionnelles (la majorité des cas), soit ont donné lieu à une législation spécifique (à titre d exemple, l article 323-1 du code pénal concerne les atteintes aux systèmes de traitement automatisé de données). Les entreprises n étant généralement pas compétentes pour traiter juridiquement les cyber attaques qu elles subissent, les compagnies d assurances proposent au sein de leurs offres la prise en charge de la gestion juridique du sujet.

En revanche, il est bien connu que le monde de la sécurité informatique fait face à une pénurie d experts en sécurité informatique. Les compagnies d assurances n étant pour l instant pas en mesure de constituer un service spécialisé, elles ont généralement fait le choix du partenariat. 2) Le partenariat des compagnies d assurances avec les entreprises spécialisées en sécurité informatique Fort de ce constat, nous avons vu se développer nombre de partenariats entre grands groupes d assurances et grandes entreprises de sécurité informatique (Cassidian Cyber Security/Axa, Thalès/Allianz, etc.). Il s agit de déterminer dans de tels partenariats conjointement la maturité de la culture d entreprise face au cyber risque, de cartographier l ensemble des risques auxquels elle est exposée, et bien entendu de réaliser des audits réguliers. La particularité de l assurance des risques cyber est le suivi continu du risque par le partenariat. Il s agit en outre d offrir une réponse systémique à ce nouveau type de menace, qui n exclut pas pour autant des thèmes plus traditionnels comme celui de la responsabilité civile appliquée aux cyber risques (cas des vols de données clients par exemple). IV Et les particuliers victimes directes? Il existe des produits d assurances à destination des particuliers concernant l eréputation, dont le périmètre est limité : les contenus liés à l activité professionnelle, associative ou politique du souscripteur ne sont pas couverts. La particularité de ce type de contrat est de proposer une prestation de «nettoyage» des données portant préjudice, à l aide d un prestataire : soit par suppression lorsque c est possible, soit en noyant les informations préjudiciables afin de les faire disparaître des premières pages des moteurs de recherche. Du côté de l utilisation frauduleuse de moyens de paiement sur internet, le secteur bancaire a une longueur d avance sur les compagnies d assurances : les vols d identité bancaires dans le cyberespace sont couverts de la même façon qu un vol de carte bancaire dans la vie réelle, et les systèmes de vérifications lors des paiements en ligne permettent d autant plus facilement de prouver que les transactions frauduleuses ne sont pas du fait de la victime.

Si l offre en matière de cyberassurance est bel et bien présente aujourd hui sur le marché français, les entreprises françaises sont pour l instant plus frileuses que leurs homologues anglo-saxonnes à franchir le pas. Reste à savoir si cela est dû à un manque de sensibilisation ou à un coût jugé rédhibitoire. Au-delà de l efficacité financière d une souscription à une police d assurance cyber, cette dernière a le mérite d enclencher une démarche qualité au sein de l entreprise vis-à-vis de ces nouvelles menaces.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back