Questionnaire CyberRisk Professionnelle Ce questionnaire d assurance doit être dûment complété, daté et signé par une personne habilitée pour engager la société proposante afin que l assureur puisse faire une offre. La remise de ce questionnaire n engage ni la société proposante, ni l assureur à conclure un contrat d assurance. Si une ou plusieurs informations du questionnaire ne correspondent pas à la situation d une ou plusieurs des personnes morales à assurer, merci d apporter les précisions utiles sur un document séparé. Société proposante Nom de la société :... Adresse :... Code postal :... Ville :... Email :... Site internet :... Numéro SIREN :... Numéro ORIAS :.. Date de création de l entreprise :... Nombre d employés :... N de tél. de l'interlocuteur :... Email de l'interlocuteur :... Description des activités de la société proposante Mango Assurances Formulaire de souscription Page 1 sur 8
Informations financières Année Chiffre d affaires ( ) (Honoraires et commissions) France Ventilation du chiffre d affaires (%) Monde entier hors USA / Canada USA / Canada Nature et volumes des données de tiers utilisées et/ou stockées (en nombre d'enregistrements) Nature des données / volumétrie Compte clients / Identité simple (informations nomiatives sur les clients) Moyens de paiement ou transactions financières (numéros de cartes, RIB, autres coordonnées bancaires etc.) < 100 < 1000 < 10 000 < 100 000 > 100 000 Informations de santé et médicales Informations salariés Informations financières (bilans, comptes de résultat, plans stratégiques etc.) Secrets commerciaux (secrets de fabrique, brevets etc.) Actifs de propriété intellectuelle Autres, préciser :... Mango Assurances Formulaire de souscription Page 2 sur 8
Conformité et réglementation La société proposante dispose-t-elle d un correspondant informatique et liberté et/ou un responsable du traitement des données? La société proposante pense-t-elle être en conformité avec la réglementation relative au traitement des données personnelles? Existe-t-il une politique de conformité sur la sécurité des données personnelles? La société proposante impose-t-elle à ses salariés des formations de sensibilisation à la protection des données personnelles et aux procédures de sécurité informatique? Si, veuillez décrire le format et la fréquence de ces formations....... La société proposante a-t-elle identifié tous les cadres de réglementation et de conformité relatifs à son activité? La société proposante est-elle en conformité avec les règles de PCI (Payment Card Industry)? Si oui, un rapport de conformité a-t-il été rédigé par une société extérieure certifiée? Si «oui», à quel niveau? 1 2 3 4 Mango Assurances Formulaire de souscription Page 3 sur 8
Sécurité Réseaux et Données Budget annuel consacré par la société proposante pour la protection de ses systèmes informatiques et de ses données La politique de sécurité est-elle applicable et appliquée par l ensemble des filiales du groupe? La société proposante dispose-t-elle de logiciels antivirus mis à jour en continu, et ce sur l ensemble des dispositifs informatiques, serveurs et réseaux? L ensemble des patchs de sécurité sont-ils appliqués? La société proposante a-t-elle mis en place des pares-feu sur tous les systèmes informatiques et une surveillance et détection des intrusions? L accès aux systèmes de la société proposante est-il systématiquement soumis à mot de passe? A quelle fréquence se fait le changement des mots de passe? L accès aux données sensibles et confidentielles est-il restreint aux seuls utilisateurs autorisés? Des tests d intrusion ont-ils été effectués sur les systèmes informatiques de la société proposante par une société extérieure? La société proposante dispose-t-elle d une veille permanente (24h/24h) permettant de bloquer les systèmes en cas d attaque ou de défaillance de la sécurité? Toutes les informations sensibles et confidentielles stockées dans les bases de données, serveurs, fichiers et tous les matériels informatiques (y compris sur supports mobiles) de la société proposante sont-elles cryptées? Les accès aux systèmes sont-ils systématiquement coupés aux collaborateurs ayant quitté l entreprise? La société proposante procède-t-elle à une sauvegarde quotidienne de ses données? Les données sont-elles systématiquement effacées lorsque les matériels informatiques sont mis au rebus ou confiés à un tiers? La société proposante a-t-elle mis en place une politique de conservation et de destruction de documents? Les centres de données dans lesquels la société proposante stocke ses données disposent-ils : - d un contrôle d accès? - d une alarme anti-intrusion? - d un système de protection incendie? Mango Assurances Formulaire de souscription Page 4 sur 8
Sous-traitance La société proposante externalise-t-elle la gestion de son réseau, de son système informatique ou des fonctions de sécurité informatique suivantes (cochez les cases qui correspondent à votre situation) : Nom des fournisseurs de services Hébergement de données Gestion de la sécurité Traitement des données Fourniture d'applications hébergées Surveillance des systèmes d'alerte Sauvegarde et stockage hors site Autres (préciser)...... La société proposante vérifie-t-elle que les systèmes informatiques des prestataires auprès desquels elle externalise ces fonctions, ont des niveaux de sécurité et de performance suffisants? Si «oui», veuillez indiquer la méthode de vérification :... Les données sensibles et confidentielles stockées chez des tiers sont-elles cryptées? La société proposante vérifie-t-elle si ses sous-traitants sont assurés au titre de leur responsabilité civile personnelle, la qualité de leur assureur et les montants de garantie? La société proposante renonce-t-elle à recours à l égard de ses sous-traitants? Mango Assurances Formulaire de souscription Page 5 sur 8
Réponse aux incidents / Gestion de crise La société proposante a-t-elle mis en place un plan de réponse aux incidents de sécurité en cas de violation de la sécurité? Ce plan comporte-il des options de rechange en cas de défaillance de prestataires d'externalisation tiers dont dépend la société proposante? La société proposante a-t-elle élaboré un Plan de Continuité d Activité (PCA) et un plan de reprise d activité régulièrement testés? Si, brève description de ces plans :...... Délai estimé pour reprendre les activités après une attaque informatique ou autre perte/corruption de données : 12h ou moins 13-24h Plus de 24h Délai estimé après lequel l'incapacité du personnel à accéder aux systèmes informatique aurait un impact significatif sur la société proposante : Immédiatement Après 6h Après 12h Après 24h Après 48h Délai estimé après lequel l'incapacité des clients à accéder au site Web de la société proposante aurait un impact significatif sur son activité : Immédiatement Après 24h Après 6h Après 48h Après 12h La société proposante a-t-elle mis en place une procédure de notification des incidents de sécurité auprès de ses clients? Mango Assurances Formulaire de souscription Page 6 sur 8
Antécédents La société proposante a-t-elle déjà souscrit une police d assurance contre les risques d atteintes aux données et/ou de cybercriminalité? Est-il déjà arrivé qu'un assureur résilie ou ne renouvelle pas une police qui fournissait une couverture d assurance identique ou similaire aux garanties recherchées? La société proposante a-t-elle eu connaissance, après enquête, de faits ou d événements pouvant mettre en jeu une ou plusieurs garanties demandées? Si, veuillez expliquer :...... La société proposante a-t-elle connaissance de circonstances ou incidents ayant déclenché une ou plusieurs des couvertures d assurance identiques et similaires aux garanties recherchées? La société proposante, ou l un de ses ancien ou actuel mandant, partenaire, administrateur ou employé, ont-ils fait l'objet d une enquête administrative fondée sur la réglementation relative aux données personnelles? Au cours des cinq dernières années, la société proposante a-t-elle subi une panne, interruption ou suspension de son système informatique pour tout motif (hors maintenance planifiée) d une durée supérieure à 4 heures? La société proposante a-t-elle déjà subi : Une intrusion sur son réseau Une falsification système significative ou importante Une violation intentionnelle de la sécurité informatique Des dégradations de réseau Une attaque virale ou par codes malveillants Une corruption de système et/ou de données Une perte ou vol de données Au cours des cinq dernières années, un client ou toute autre personne ou entité a-t-il allégué que ses données personnelles avaient été compromises? Au cours des cinq dernières années, la société proposante a-t-elle informé des clients que leurs informations étaient ou pouvaient avoir été compromises? Au cours des 5 dernières années, la société proposante a-t-elle notifié tout événement, déclaration de sinistre ou pertes à tout Assureur qui fournissait une assurance identique ou similaire à l'assurance demandée? Mango Assurances Formulaire de souscription Page 7 sur 8
Déclaration du signataire Le signataire déclare : - Que les renseignements communiqués dans ce questionnaire sont exacts et qu il n a altéré, omis ou supprimé aucun fait ; - Avoir été informé que toute réticence, omission ou fausse déclaration intentionnelle peut entraîner la nullité du contrat, si cette réticence ou fausse déclaration change l objet du risque ou en diminue l opinion pour l assureur (article l. 113-8 du code des assurances) ; - S engager à déclarer toutes circonstances nouvelles modifiant les déclarations faites dans le présent questionnaire et qui pourraient survenir : - entre ce jour et la date de prise d effet du contrat d assurance, ou - postérieurement à la date de cette prise d effet. Fait à :... Le :... Représentant légal ou toute autre personne dûment habilitée à représenter la société proposante Cachet de la société proposante : Nom :... Fonction :... Signature : Mango Assurances est une marque déposée de MUST - Marine Underwriters for Specialities by Technology Centre de gestion : Centre d Affaires Grand Var Bat A 83130 - LA GARDE France Société par actions simplifiée enregistrée au capital de 2 000 000 sous le N 803 935 519 Enregistrée au registre des intermédiaires en assurance sous le N ORIAS 14006180 - www.orias.fr Responsabilité Professionnelle et Garantie Financière conformément au Code des Assurances Soumise au contrôle de l ACP (Autorité de Contrôle Prudentiel) 61 rue Taitbout, 75009 Paris - www.acpr.banque-france.fr Mango Assurances Formulaire de souscription Page 8 sur 8