CyberRisque Proposition d assurance La Compagnie d'assurance Travelers du Canada AVIS TOUTES LES PARTIES DES GARANTIES D ASSURANCE DE RESPONSABILITÉ VISÉES PAR LA PRÉSENTE PROPOSITION S APPLIQUENT, SOUS RÉSERVE DE LEURS MODALITÉS, UNIQUEMENT AUX «RÉCLAMATIONS» PRÉSENTÉES OU RÉPUTÉES PRÉSENTÉES POUR LA PREMIÈRE FOIS CONTRE DES «ASSURÉS» PENDANT LA PÉRIODE D ASSURANCE OU PENDANT TOUTE PÉRIODE DE DÉCLARATION PROLONGÉE, LE CAS ÉCHÉANT. Le terme proposant signifie toutes les sociétés, organisations ou autres entités, y compris les filiales, pour lesquelles une couverture est demandée en vertu de la présente proposition d assurance. I. RENSEIGNEMENTS GÉNÉRAUX 1. Nom du proposant : Adresse postale : Ville, province, code postal : Date de constitution de l entreprise : Adresse(s) du site Web - page d accueil : L entreprise du proposant est : ouverte fermée sans but lucratif gouvernementale Description des activités du proposant : Autre (veuillez préciser) II. Code CTI (Classification type des industries) du proposant Code CTI, s il est connu (code de 4 chiffres) : RENSEIGNEMENTS SUR L ENTREPRISE OU D ORDRE FINANCIER 1. Renseignements sur la ou les filiales : Nom Description des activités Adresse du site Web Veuillez annexer une feuille additionnelle, au besoin. 2. Au cours des douze (12) prochains mois, des modifications importantes sont-elles prévues relativement à la nature ou à la taille de l entreprise du proposant, ou de telles modifications ont-elles été apportées au cours des douze (12) derniers mois? Oui Non 3. Nombre total d employés du proposant (employés à temps plein, employés à temps partiel, employés saisonniers, employés temporaires, employés dont les services sont loués auprès d un tiers) : 4. Actifs/Produits : Veuillez préciser ce qui suit relativement à la fin d'exercice (FE) du proposant : (au besoin, veuillez indiquer les chiffres négatifs au moyen de «( )» ou du signe «-») Exercice le plus récent se terminant le Exercice précédent se terminant le Prévue pour l exercice se terminant le Total des actifs $ CCYBF-2011 (16-11) 1 de 7
Total des produits $ Total des produits aux États-Unis $ Veuillez préciser ce qui suit relativement à la fin d'exercice (FE) du proposant : (au besoin, veuillez indiquer les chiffres négatifs au moyen de «( )» ou du signe «-») Exercice le plus récent se terminant le Exercice précédent se terminant le Prévisions pour l exercice se terminant le Total des produits provenant de l étranger $ Pourcentage approximatif des produits provenant du site Web ou de l Internet ou liées à ceux-ci III. % % % MODALITÉS DEMANDÉES ET RENSEIGNEMENTS RELATIFS À L ASSURANCE ACTUELLEMENT SOUSCRITE 1. Veuillez remplir le tableau ci-dessous à l égard des garanties, des limites et des franchises demandées : Garantie Limite de garantie Franchise demandée demandée A. Responsabilité liée à la sécurité des réseaux et de l information (exigée) B. Responsabilité liée aux communications et aux médias C. Frais de défense liés à la réglementation D. Frais de gestion de crise E. Frais liés à la correction et à la notification en cas d atteinte à la sécurité F. Frais de restauration des données électroniques et des programmes informatiques G. Fraude informatique H. Fraude relative à un transfert de fonds I. Extorsion liée à une menace visant le commerce électronique J. Pertes d exploitation et frais supplémentaires $ Période d attente (en heures) Date de prise d effet proposée : 2. Si le proposant détient actuellement une assurance de responsabilité visant les erreurs et omissions, les réseaux et la sécurité ou les médias, veuillez fournir les renseignements suivants : Période d assurance Compagnie d assurance Limite de garantie Franchise Date de rétroactivité Prime $ $ Numéro de la ou des polices venant à échéance : 3. Au cours des trois (3) dernières années, ces couvertures ou toutes couvertures semblables ont-elles déjà fait l objet d un refus de couverture, d une résiliation ou d un non-renouvellement? Oui Non IV. SÉCURITÉ DU RÉSEAU SYSTÈMES 1. Le proposant a-t-il un chef de la sécurité désigné en ce qui concerne les systèmes informatiques? Oui Non CCYBF-2011 (16-11) 2 de 7
Dans la négative, veuillez indiquer à quel poste est attribuée la prise en charge de la sécurité informatique : 2. Le proposant dispose-t-il d un programme formel pour tester ou vérifier des contrôles relatifs à la sécurité du réseau? Oui Non a. Quelle est la fréquence des vérifications effectuées à l interne? b. Quelle est la fréquence des vérifications effectuées à l externe/par des tiers? 3. Le proposant utilise-t-il une technologie coupe-feu? Oui Non 4. Le proposant utilise-t-il un logiciel antivirus? Oui Non a. Un logiciel antivirus a-t-il été installé sur tous les systèmes informatiques du proposant, y compris les ordinateurs portatifs, les ordinateurs personnels et les réseaux? Oui Non 5. Le proposant utilise-t-il un logiciel de détection d intrusion pour détecter tout accès non autorisé aux systèmes informatiques et aux réseaux internes? Oui Non 6. Le proposant a-t-il comme politique de mettre à niveau tous les logiciels de protection lorsque des nouvelles versions ou des améliorations deviennent disponibles? Oui Non 7. Le proposant offre-t-il un accès à distance à son réseau? Oui Non a. L accès à distance est-il limité aux réseaux privés virtuels (RPV)? Oui Non 8. Un processus d authentification plurifactoriel (mesures de sécurité multiples utilisées pour authentifier/vérifier de façon fiable l identité d un client ou de tout autre utilisateur autorisé) ou un protocole de sécurité multi-niveaux sont-ils requis pour avoir accès aux zones sécurisées du site Web du proposant? Oui Non Veuillez fournir une description des méthodes d authentification/de vérification utilisées : 9. Le proposant fait-il l envoi d opérations financières ou accepte-t-il ces dernières aux fins de dépôt au moyen de la technologie d encaissement de chèques à distance (p, ex. la saisie de dépôt à distance, «Remote Deposit Capture» ou RDC)? Oui Non 10. En ce qui concerne la fonctionnalité des systèmes informatiques, le proposant a-t-il : a. un plan de redressement en cas de sinistre? Oui Non b. un plan de poursuite des activités? Oui Non b. un plan de réaction aux incidents à l égard des intrusions dans un réseau ou des virus informatiques? Oui Non À quelle fréquence ces plans sont-ils testés? 11. Le proposant dispose-t-il d un système informatique secondaire ou d un site secondaire en cas de défaillance de la ressource principale? Oui Non a. Combien de temps faut-il pour que les ressources secondaires deviennent opérationnelles? b. Quel pourcentage des opérations normales du système peut être traité au moyen des ressources secondaires? 12. Le proposant fait-il une sauvegarde quotidienne de toutes les données importantes ou sensibles? Oui Non Dans la négative, veuillez décrire les exceptions : CCYBF-2011 (16-11) 3 de 7
POLITIQUES ET PRODÉCURES RELATIVES AU PERSONNEL 1. Le proposant offre-t-il une formation relative aux procédures et aux questions liées à la sécurité aux employés qui utilisent les systèmes informatiques? Oui Non 2. Le proposant effectue-t-il la publication et la distribution de politiques et de procédures écrites relatives aux ordinateurs et aux systèmes d information à l intention de ses employés? Oui Non 3. Le proposant met-il fin à tous les accès informatiques et comptes utilisateur pertinents dans le cadre de la procédure habituelle relative à la cessation d emploi d un employé? Oui Non 4. Le proposant a-t-il une procédure formelle documentée en place concernant la création et la mise à jour périodique des mots de passe utilisés par les employés ou les clients? Oui Non V. SÉCURITÉ DE L INFORMATION 1. Le proposant effectue-t-il la cueillette, la réception, le traitement, la transmission ou la conservation de renseignements confidentiels, sensibles ou personnels relatifs à des tiers (p. ex. consommateurs, clients, patients) dans le cadre de ses activités d affaires? Oui Non Données cartes de crédit/débit Renseignements médicaux Comptes et dossiers bancaires Numéros de sécurité/d identification sociale Renseignements sur l employé/rh Renseignements sur le consommateur Propriété intellectuelle de tiers Autre a. Le proposant dispose-t-il de procédures écrites afin de se conformer aux lois régissant la manutention et la divulgation de tels renseignements? Oui Non b. Le proposant échange-t-il avec des tiers des renseignements confidentiels, sensibles ou personnels recueillis auprès de clients (par le proposant ou autrui)? Oui Non 2. À tout moment donné, environ combien de dossiers individuels renfermant un ou plusieurs des renseignements mentionnés ci-dessus sont mis en mémoire auprès du proposant? <1 000 1 000 001 à 3 000 000 1 000 à 10 000 3 000 001 à 5 000 000 10 001 à 100 000 5 000 001 à 7 000 000 100 001 à 500 000 7 000 001 à 10 000 000 500 001 à 1 000 000 >10 000 000 3. Les renseignements propres à l utilisateur, confidentiels, sensibles ou privés sont-ils stockés sur le ou les serveurs du proposant sous forme encodée? Oui Non 4. Des renseignements propres à l utilisateur, confidentiels, sensibles ou privés sont-ils stockés sur du matériel de communication portatif (p. ex. des ordinateurs portatifs, des dispositifs BlackBerry, des assistants électroniques de poche, des clés USB ou autres dispositifs portatifs)? Oui Non a. Dans l affirmative, le proposant dispose-t-il d une politique ou d une procédure à l égard de la gestion, de la manutention et du stockage sécurisés des renseignements confidentiels, sensibles ou privés concernant le matériel de communication portatif? Oui Non b. Dans l affirmative, quel pourcentage de renseignements propres à l utilisateur, confidentiels, sensibles ou confidentiels stockés dans du matériel de communication portatif est encodé? % 5. Le proposant exige-t-il des fournisseurs de services susceptibles d avoir accès aux renseignements personnels ou confidentiels du proposant de faire la preuve d'avoir des politiques et procédures en matière de sécurité suffisantes? Oui Non a. Les fournisseurs de services sont-ils tenus, en vertu d un contrat, d indemniser le proposant à l égard du préjudice découlant d une atteinte à la sécurité du fournisseur? Oui Non CCYBF-2011 (16-11) 4 de 7
VI. RENSEIGNEMENTS RELATIFS AU SITE WEB ET AU CONTENU Site Web (Cochez toute information applicable) Site Web informatif le site Web fournit uniquement des renseignements d ordre général sur les produits et les services du proposant. Site Web accessible le site permet l ouverture d une session donnant accès à un contenu sécurisé ou restreint (p. ex. un compte, un abonnement ou des profils) et/ou permet à l utilisateur de télécharger des données sécurisées. Site Web transactionnel le site permet de faire des achats ou de passer des commandes par carte de crédit, carte de débit ou paiement facturé. Visualiser le solde ou le relevé d un compte Effectuer le transfert de fonds entre divers comptes Payer des factures 1. Est-ce que le site Web du proposant renferme, diffuse, emploie ou permet ce qui suit? Veuillez cocher tous les cas applicables : Actuel Au cours des 12 prochains mois Musique/Bandes sonores Programmes ou partagiciels exécutables Publicité de tiers Loteries promotionnelles ou coupons Contenu visant expressément les mineurs Clavardoirs/Babillards électroniques/blogues Films/Extraits de films Jeux interactifs ou jeux de hasard Matériel sexuellement explicite 2. Le proposant dispose-t-il d une procédure d autorisation écrite visant la propriété intellectuelle pour tout contenu diffusé par son site Web? Oui Non Est-ce que ces procédures comprennent ce qui suit : a. Vérification du contenu par un avocat compétent? Oui Non b. Examen du contenu en vue de déceler ce qui suit : i. Problèmes de dénigrement? Oui Non ii. Violation de droits d auteur? Oui Non iii Contrefaçon de marque de commerce? Oui Non iv. Atteinte à la vie privée? Oui Non c. Conclusion d ententes avec des développeurs ou des consultants externes qui comprennent des dispositions accordant au proposant la propriété des droits de propriété intellectuelle et des pratiques commerciales concernant tout travail exécuté par ou pour le compte du proposant? Oui Non d. Exigence que les employés et les entrepreneurs indépendants signent une attestation stipulant qu ils n utiliseront pas les secrets commerciaux ou toute autre propriété intellectuelle appartenant à leurs employeurs ou clients antérieurs? Oui Non e. Obtention d une autorisation écrite pour tout site Web dont le proposant affiche le lien ou la page? Oui Non 3. Si le proposant n a pas un processus de vérification de tout contenu avant l affichage, veuillez préciser les procédures établies pour éviter l affichage de tout contenu inadéquat ou non autorisé : 4. Le proposant dispose-t-il de procédures établies pour effectuer la modification ou le retrait de matériel controversé, offensant ou non autorisé de tout matériel distribué, diffusé ou publié par le proposant ou pour le compte de celui-ci? Oui Non 5. Le proposant recueille-t-il des données relatives aux enfants qui utilisent votre site Web? Oui Non Dans l affirmative, veuillez décrire la démarche à suivre pour obtenir le consentement parental : 6. Le proposant dispose-t-il d une procédure pour répondre aux allégations à l effet que le contenu créé, CCYBF-2011 (16-11) 5 de 7
diffusé ou publié par le proposant est diffamatoire, non autorisé ou porte atteinte aux droits de la protection des renseignements personnels d un tiers? Oui Non 7. Le proposant a-t-il vérifié toutes ses marques de commerce, avant leur première utilisation, pour s assurer qu il n y a aucune contrefaçon de marques de commerce existantes? Oui Non VII. a. Le proposant a-t-il fait l acquisition de marques de commerce de tiers au cours des trois (3) dernières années? Oui Non Dans l affirmative, les marques de commerce acquises ont-elles été vérifiées pour contrefaçon? Oui Non RENSEIGNEMENTS SUR LES PERTES Au cours des trois (3) dernières années : 1. Le proposant a-t-il reçu des réclamations ou des plaintes, ou a-t-il été visé par une poursuite, une enquête ou une citation à comparaître provenant de tout gouvernement en ce qui concerne des allégations relatives au défaut d empêcher l accès non autorisé à des renseignements confidentiels, au défaut d aviser les personnes pertinentes de cet accès non autorisé ou au défaut de permettre aux utilisateurs autorisés d avoir accès aux systèmes informatiques du proposant? Oui Non 2. Le proposant a-t-il reçu des réclamations ou des plaintes, ou a-t-il été visé par une poursuite, une enquête ou une citation à comparaître provenant de tout gouvernement en ce qui concerne des allégations à l effet que du contenu diffusé dans les sites Web du proposant, ou au moyen de ceux-ci, ou transmis par le courrier électronique d entreprise du proposant, a porté atteinte aux droits de propriété intellectuelle d une autre personne ou à la réputation de celle-ci? Oui Non Si la réponse à la question 1 ou 2 est Oui, veuillez fournir les détails ci-dessous de chaque réclamation, plainte, allégation ou incident, y compris les coûts, pertes ou dommages subis ou payés, toute mesure de redressement pour éviter de telles allégations futures et toute somme acquittée à titre de perte aux termes d une police d assurance. Date de cette réclamation/plainte Objet de la réclamation/plainte Montant acquitté pour la défense Montant visé ou acquitté pour les dommages Couvert par une assurance? Mesures de redressement mises en oeuvre Oui Non Oui Non Oui Non Pour indiquer de plus amples renseignements, veuillez annexer une page additionnelle à la proposition d assurance. État actuel 3. Le proposant a-t-il déjà fait l objet d une tentative ou d une demande d extorsion en ce qui concerne ses systèmes informatiques, ou a-t-il déjà subi une perte d argent, de valeurs ou d autres biens du fait d une fraude commise par le biais d instructions ou de codes informatiques entrés de façon non autorisée ou frauduleuse par une personne autre qu un employé? Oui Non 4. Le proposant a-t-il subi des intrusions (p. ex. accès non autorisé ou atteinte à la sécurité) ou des attaques par déni de service qui ont porté atteinte au fonctionnement de ses systèmes informatiques? Oui Non 5. Le proposant ou toute personne proposée pour la présente assurance ont-ils connaissance de faits, de circonstances, de situations, d événements ou d actes pouvant raisonnablement donner lieu à une réclamation à leur encontre en vertu de la police d assurance pour laquelle le proposant fait une demande? Oui Non CCYBF-2011 (16-11) 6 de 7
En ce qui concerne l information devant être divulguée en réponse aux questions ci-dessus, l assurance proposée ne couvrira aucune réclamation découlant de faits, de circonstances, de situations, d événements ou d actes connus par tout membre de la direction du proposant avant l émission de la police proposée, ni aucune personne physique ou morale qui avait connaissance de tels faits, circonstances, situations, événements ou actes avant l émission de la police proposée. VIII. PIÈCES JOINTES REQUISES Si les revenus annuels sont supérieurs à 10 000 000 $ ou si la limite de garantie demandée pour la Garantie Responsabilité liée à la sécurité des réseaux et de l information est supérieure à 3 000 000 $, veuillez fournir les plus récents états financiers annuels ou vérifiés. Si l espace accordé pour répondre à certaines questions est insuffisant, veuillez annexer, au besoin, des feuilles additionnelles provenant du papier à en-tête du proposant. XI. SECTION RÉSERVÉE À LA SIGNATURE LE REPRÉSENTANT AUTORISÉ SOUSSIGNÉ (PRÉSIDENT, PRÉSIDENT-DIRECTEUR GÉNÉRAL, DIRIGEANT PRINCIPAL DE L INFORMATION, DIRECTEUR DE LA SÉCURITÉ INFORMATIQUE OU AUTRE MEMBRE DE LA DIRECTION JUGÉ ACCEPTABLE PAR TRAVELERS) DU PROPOSANT DÉCLARE QU AU MEILLEUR DE SA CONNAISSANCE, APRÈS ENQUÊTE RAISONNABLE, LES ÉNONCÉS FIGURANT DANS LA NOUVELLE PROPOSITION D ASSURANCE OU DANS LA PROPOSITION DE RENOUVELLEMENT D ASSURANCE DE TRAVELERS CI-JOINTE SONT VÉRIDIQUES ET COMPLETS ET QUE TRAVELERS PEUT S Y FIER. SI L INFORMATION FOURNIE DANS TOUTE PROPOSITION EST MODIFIÉE AVANT LA DATE DE PRISE D EFFET DE LA POLICE, LE PROPOSANT S ENGAGE À AVISER L ASSUREUR DE CES MODIFICATIONS ET L ASSUREUR POURRA MODIFIER OU RETIRER TOUTE COTATION EN COURS. L ASSUREUR EST AUTORISÉ À MENER UNE ENQUÊTE RELATIVEMENT À LA PRÉSENTE PROPOSITION. LA SIGNATURE DE LA PRÉSENTE PROPOSITION N OBLIGE NI L ASSUREUR À OFFRIR L ASSURANCE, NI LE PROPOSANT À SOUSCRIRE CELLE-CI. IL EST CONVENU QUE LA PRÉSENTE PROPOSITION, Y COMPRIS LES DOCUMENTS QUI L ACCOMPAGNENT, CONSTITUENT LE FONDEMENT DE L ASSURANCE ET SONT CONSIDÉRÉS PHYSIQUEMENT JOINTS À LA POLICE ET FAISANT PARTIE DE CELLE-CI, SI LA POLICE EST ÉMISE. SI L ASSUREUR ÉMET LA POLICE, IL SE SERA FIÉ À LA PRÉSENTE PROPOSITION ET AUX DOCUMENTS SOUMIS AVEC CELLE-CI. LES SIGNATURES REPRODUITES SERONT TRAITÉES COMME DES SIGNATURES ORIGINALES. Signature* du représentant autorisé du proposant (président, PDG ou dirigeant principal de l information, directeur de la sécurité informatique) Titre Nom (lettres moulées) Date CCYBF-2011 (16-11) 7 de 7