Entreprises et professionnels exploitent des données électroniques à caractère confidentiel et utilisent des réseaux et supports informatiques pour échanger et conserver ces données. Ce qui les rends de fait vulnérables aux cyber attaques, et ce quelle que soit leur taille et activité. Explications pour le moins convaincantes d’un expert en assurance RCP en la personne d’Eric Belmont, directeur du cabinet MAUBLANC.
Quelle que soit sa taille, toute entreprise est aujourd’hui exposée aux cyber-risques. En 2015 près de 500 millions de données personnelles ont été volées ou perdu. La part des entreprises de moins 250 salariés ciblés par les attaques est passée de 18% en 2011 à 43% en 2015. Le coût moyen en 2015 d’une Cyber attaque est évalué à 773.000 € avec une moyenne de 9 semaine pour rétablir la situation (source : Symantec, Pwc, NTT Com Security, Fire Eye)
En réalité les cyber-risques sont nouveaux dans leurs formes et leur origine mais pas dans leurs conséquences qui demeurent très traditionnelles:
Risques de dommages :
Le plus important reste celui de l’arrêt d’activité, partiel ou total, qui se traduit en Pertes d’Exploitation ou Frais Supplémentaires d’exploitation. Ce sont aussi les frais de décontamination du matériel, les frais de reconstitution des médias, le vol de fichiers…autant de garanties « classiques » mais qui ne fonctionnent pas dans les cas de sinistres découlant de la cybercriminalité.
Risques de Responsabilité Civile :
La transmission de virus, vol de données confiées (ou hébergées) par des tiers : clients, fournisseurs, sous-traitants, salariés…, prise de contrôle à distance du réseau informatique de l’entreprise …
Risques d’atteinte à l’image, risques d’extorsion… :
Même sans additionner les conséquences financières qui découlent de ces évènements, on réalise l’impact dramatique qu’ils peuvent avoir sur l’entreprise et sa survie.
Pourtant les cyber-risques ne sont pas une fatalité. On peut désormais les gérer au même titre que les autres en appliquant les mêmes méthodes.
- Prise de conscience, évaluation du risque
- Prévention, réduction du risque
- Traitement du risque résiduel, transfert, achat de garanties financières
Le temps est fini ou le chef d’entreprise pouvait dire « je suis trop petit pour que l’on s’intéresse à moi ! », » j’ai une sécurité informatique très efficace »… il doit intégrer cette question dans la stratégie globale de l’entreprise.
Les comportements à risque: ils sont à l’origine de plus de 50% des sinistres et souvent sans qu’il y ait d’intention malveillante. Il faut informer, sensibiliser, former les utilisateurs. La prévention des utilisateurs permet de réduire le cyber-risque et de transférer le risque résiduel.
L’assurance pourra prendre en charge les conséquences financières concernant :
-
La responsabilité liée aux données : les conséquences financières suite à la perte ou au détournement de données confidentielles ou personnelles d’un client.
-
La restauration des données électroniques : les coûts de récupération et de reconstitution des données après une fuite ou une atteinte à la sécurité des données.
-
Les enquêtes administratives : les frais liés à une enquête administrative (notamment de la CNIL) ainsi que les sanctions pécuniaires prononcées suite à une violation de la réglementation relative à la protection des données personnelles.
-
La gestion de crise : les frais d’expert informatique pour sécuriser le réseau du professionnel, les coûts de notification et de surveillance associés à une atteinte à la protection des données et les frais de consultant en relations publiques suite à une atteinte à la réputation du professionnel.
-
L’interruption du réseau : la perte de résultat net consécutive à une interruption matérielle du réseau du professionnel après une attaque par déni de service ou une atteinte à la sécurité de ce réseau.
-
La cyber-extorsion Le remboursement de la rançon versée à des tiers qui menacent de divulguer des informations confidentielles piratées via le réseau utilisé par le professionnel.
Le contrat d’assurance permettra à l’entreprise d’assurer la continuité de son activité avec les experts nommés par l’assureur. Le coût de cette assurance commence à moins de 2.000 € de prime annuelle TTC….. à comparer aux ennuis de la cyber attaque.
Pour contacter Eric Belmont, un site internet le www.point-a.fr