La cyber attaque mondiale dont ont été victimes 150 pays et à travers eux 200 000 entreprises illustre de manière brutale la réalité de la question de la cybercriminalité.
De plus l’Agence nationale de la sécurité des systèmes d’information (Anssi) a averti que selon lui il faut « s’attendre dans les jours ou les semaines à venir à avoir des répliques régulières ».
Eric Belmont, directeur du cabinet MAUBLANC revient pour nous sur ces questions assurantielles liées à la protection de vos activités et par extension de votre entreprise.
Le temps est fini ou le chef d’entreprise pouvait dire « je suis trop petit pour que l’on s’intéresse à moi ! », » j’ai une sécurité informatique très efficace »… il doit intégrer cette question dans la stratégie globale de l’entreprise.
Quelle que soit sa taille, toute entreprise est aujourd’hui exposée aux cyber-risques. En 2015 près de 500 millions de données personnelles ont été volées ou perdu. La part des entreprises de moins 250 salariés ciblés par les attaques est passée de 18% en 2011 à 43% en 2015. Le coût moyen en 2015 d’une Cyber attaque est évalué à 773.000 € avec une moyenne de 9 semaine pour rétablir la situation (source : Symantec, Pwc, NTT Com Security, Fire Eye)
En réalité les cyber-risques sont nouveaux dans leurs formes et leur origine mais pas dans leurs conséquences qui demeurent très traditionnelles:
Risques de dommages :
Le plus important reste celui de l’arrêt d’activité, partiel ou total, qui se traduit en Pertes d’Exploitation ou Frais Supplémentaires d’exploitation. Ce sont aussi les frais de décontamination du matériel, les frais de reconstitution des médias, le vol de fichiers…autant de garanties « classiques » mais qui ne fonctionnent pas dans les cas de sinistres découlant de la cybercriminalité.
Risques de Responsabilité Civile :
La transmission de virus, vol de données confiées (ou hébergées) par des tiers : clients, fournisseurs, sous-traitants, salariés…, prise de contrôle à distance du réseau informatique de l’entreprise …
Risques d’atteinte à l’image, risques d’extorsion… :
Même sans additionner les conséquences financières qui découlent de ces évènements, on réalise l’impact dramatique qu’ils peuvent avoir sur l’entreprise et sa survie.
Pourtant les cyber-risques ne sont pas une fatalité. On peut désormais les gérer au même titre que les autres en appliquant les mêmes méthodes.
- Prise de conscience, évaluation du risque
- Prévention, réduction du risque
- Traitement du risque résiduel, transfert, achat de garanties financières
Les comportements à risque: ils sont à l’origine de plus de 50% des sinistres et souvent sans qu’il y ait d’intention malveillante. Il faut informer, sensibiliser, former les utilisateurs. La prévention des utilisateurs permet de réduire le cyber-risque et de transférer le risque résiduel.
L’assurance pourra prendre en charge les conséquences financières concernant :
-
La responsabilité liée aux données : les conséquences financières suite à la perte ou au détournement de données confidentielles ou personnelles d’un client.
-
La restauration des données électroniques : les coûts de récupération et de reconstitution des données après une fuite ou une atteinte à la sécurité des données.
-
Les enquêtes administratives : les frais liés à une enquête administrative (notamment de la CNIL) ainsi que les sanctions pécuniaires prononcées suite à une violation de la réglementation relative à la protection des données personnelles.
-
La gestion de crise : les frais d’expert informatique pour sécuriser le réseau du professionnel, les coûts de notification et de surveillance associés à une atteinte à la protection des données et les frais de consultant en relations publiques suite à une atteinte à la réputation du professionnel.
-
L’interruption du réseau : la perte de résultat net consécutive à une interruption matérielle du réseau du professionnel après une attaque par déni de service ou une atteinte à la sécurité de ce réseau.
-
La cyber-extorsion Le remboursement de la rançon versée à des tiers qui menacent de divulguer des informations confidentielles piratées via le réseau utilisé par le professionnel.
Le contrat d’assurance permettra à l’entreprise d’assurer la continuité de son activité avec les experts nommés par l’assureur. Le coût de cette assurance commence à moins de 2.000 € de prime annuelle TTC….. à comparer aux ennuis de la cyber attaque.
Pour contacter Eric Belmont, un site internet le www.point-a.fr