ASSURANCE CYBER-RISQUES
Par ailleurs, en dehors de toute attaque, les données détenues dans le système informatique des entreprises peuvent être atteintes (perte, altération, destruction, diffusion sans autorisation) suite à une erreur, du fait d’un préposé ou d’un sous-traitant, ou en raison d’un incident technique.
De tels incidents peuvent avoir des conséquences très lourdes pour l’entreprise (impact sur la continuité de l’activité, atteinte à la réputation, pertes financières, mise en cause de la responsabilité civile, déclenchement d’une enquête d’une autorité de contrôle…).
L’assurance « Cyber-Risques » protège l’entreprise en cas d’atteinte aux systèmes d’information et aux données résultant d’un évènement garanti tel qu’une cyber-attaque, une erreur humaine, un incident technique ou une cyber-extorsion. Elle permet de préserver les fonds propres de l’entreprise et de lui fournir un accompagnement par des professionnels (consultants en gestion de crise, experts informatiques, experts en cyber-sécurité, consultants en communication, avocats) pour faire face à l’incident.
Quels sont les principaux risques ?
Risques financiers
Les conséquences financières d’un incident cyber pour une entreprise peuvent être très lourdes, qu’il s’agisse des pertes directes et indirectes (pertes d’exploitation, frais supplémentaires d’exploitation) ou des frais exposés pour gérer l’incident (frais de gestion de crise, frais d’experts informatiques, frais de restauration et de reconstitution des données, frais de notification…).
Risque de réputation
En cas d’atteinte au système informatique ou aux données, l’image de l’entreprise peut être très fortement impactée et il sera nécessaire de mettre en place une stratégie de communication pour protéger sa réputation.
Responsabilité civile
Les entreprises peuvent voir leur responsabilité civile engagée notamment:
– en cas d’atteinte aux données personnelles (données concernant les préposés, clients, partenaires…) ou aux données confidentielles de tiers (secrets d’affaires, secrets de fabrique, savoir-faire, informations couvertes par le secret professionnel ou une obligation de confidentialité…) dont elles sont responsables.
– en cas d’atteinte à la sécurité du système informatique (transmission d’un virus à un tiers depuis le système informatique de l’entreprise, utilisation du système informatique par un cyber-pirate à des fins d’attaque par déni de service dirigée contre un tiers…)
Risque « réglementaire »
Les entreprises peuvent faire l’objet d’enquêtes et de poursuites et se voir infliger des sanctions, notamment une sanction pécuniaire, par une autorité administrative (CNIL ou toute autre autorité équivalente à l’étranger) en cas de manquement à leurs obligations imposées par la réglementation relative à la protection des données.
Qui est couvert ?
Le souscripteur et ses filiales
Les dirigeants, les préposés
Quelles sont les garanties principales ?
Garanties Gestion de crise
La garantie « Gestion de crise » couvre certains frais exposés par l’entreprise auprès de professionnels extérieurs pour l’accompagner dans la gestion d’un incident cyber et la mise en œuvre des mesures d’urgence :
-
- Frais d’un consultant référent pour la gestion de l’incident cyber (coordination des intervenants, préconisations des mesures d’urgence…)
- Frais d’expert informatique (détermination de la cause et de l’étendue de l’incident, mesures d’urgence pour limiter et mettre fin à l’incident)
- Frais et honoraires d’un conseil juridique (recommandations relatives à l’obligation de notifier l’incident à la CNIL et/ou aux personnes concernées, analyse des questions juridiques en lien avec l’incident cyber, notamment quant aux éventuels recours contre des tiers, assistance dans le cadre d’un éventuel dépôt de plainte…)
- Frais de notification à la CNIL (ou toute autorité équivalente à l’étranger) en cas de violation des données personnelles
- Frais de notification aux personnes concernées en cas de violation des données personnelles
- Frais de consultant en communication
- Frais de restauration du système d’information et de reconstitution des données
- Frais de monitoring et surveillance
Garanties Dommages
- Frais de défense exposés dans le cadre d’une enquête menée par la CNIL (ou toute autorité équivalente à l’étranger)
- Sanctions pécuniaires assurables prononcées par la CNIL (ou toute autorité équivalente à l’étranger)
- Montant de la rançon versée pour mettre fin à une cyber-extorsion
- Pertes d’exploitation et frais supplémentaires d’exploitation
Garanties Responsabilité civile
La garantie « Responsabilité civile » couvre les conséquences pécuniaires de la responsabilité civile de l’entreprise en raison d’une atteinte aux données ou à la sécurité du système informatique.
- Frais de défense
- Dommages-intérêts
- Indemnités transactionnelles préalablement validées par l’assureur
EXEMPLES DE SINISTRE
Malware
Faits :
Le système informatique d’une institution financière a été affecté par un virus dans le cadre d’une cyber-attaque d’ampleur internationale. En quelques minutes, le virus a provoqué la destruction de toutes les données stockées sur le disque dur des ordinateurs connectés au réseau au moment de l’attaque, le cryptage des disques durs et du système d’exploitation et empêché l’accès par les employés à leurs boîtes mails.
Postes couverts :
- Frais de gestion de crise
- Coûts liés à la mise en place d’une cellule de crise avec un prestataire externe pré-agréé par l’assureur
- Frais liés à la restauration du système informatique et des données
- Pertes d’exploitation
- Dommages-intérêts versés aux tiers
- Frais d’expert pour chiffrer le préjudice
Introduction dans le système informatique d’une société de conseil après une campagne de phishing
Faits :
Suite à une campagne de phishing utilisant une copie malveillante de la page d’authentification d’un logiciel de signature électronique, un pirate a dérobé les identifiants de connexion d’un collaborateur d’une société de conseil. Ces identifiants lui ont permis de se connecter sur le serveur de messagerie professionnelle du collaborateur et d’envoyer des e-mails de phishing à l’ensemble des contacts enregistrés (collègues, clients, partenaires, ..), contenant un lien renvoyant vers un faux partage de fichiers en ligne, permettant de récupérer l’identifiant et le mot de passe du destinataire du mail.
Postes couverts :
- Honoraires du consultant en gestion de crise pour analyser l’incident, coordonner les mesures de réponse à incident, émettre des recommandations pour sécuriser le système informatique de la société et l’assister dans le cadre de la déclaration de l’incident à la CNIL
- Honoraires d’un expert informatique pour vérifier si le système d’information de la société a été compromis, identifier les potentielles fuites de données et l’éventuel dépôt de logiciels malveillants, déterminer l’origine et l’étendue de l’attaque
- Frais supplémentaires de la société d’infogérance du système informatique de la société pour faire face à la crise et mener les premières actions pour analyser l’incident, isoler les terminaux concernés et changer les mots de passe des collaborateurs
Le présent document est fourni à titre informatif uniquement et ne peut en aucun cas servir de justificatif d’assurance. Les informations communiquées sont données à titre indicatif et n’ont aucun caractère exhaustif.
Dans tous les cas, les garanties demeurent soumises aux termes et conditions prévues par les dispositions du contrat d’assurance auxquelles il convient toujours de se référer.