Nous sommes tous concernés  :


Aujourd’hui, quelle que soit la taille ou le secteur d’activité des entreprises, aucunes d’elles n’est à l’abri d’un piratage informatique. Pour rappel, 31% des attaques visent des PME. A tel point que les incidents de cyber sécurité arrivent sur le podium des risques qui préoccupent le plus les entreprises.

La campagne Hack Academy illustre bien les faits avec les vidéos: vous savez les arrêtez ?

 

Les risques, l’évolution législative :


Au fils des années, les cyber-attaques ne cessent d’augmenter ; aussi bien en terme de fréquence, de gravité que d’impact. A l’heure du tout numérique, la France a relevé en 2015, une progression de 51% du nombre d’attaques, soit plus de 21 incidents par jour. Une cyber-attaque ou une perte de données peut causer des conséquences financières importantes pour une entreprise.

De plus, un projet de règlement général sur la protection des données (RGPD) est en cours, et devrait voir le jour courant 2016.
Ce règlement imposera plusieurs nouvelles règles, notamment :

  • L’obligation de notification des failles en rapport avec des données personnelles (numéro de carte bancaire, code d’accès, adresses, données médicales…) à la CNIL et aux individus concernés.
  • Des mesures techniques de protection et des procédures administratives spécifiques devront être mises en place.
  • De lourdes sanctions, telles qu’une amende pouvant aller jusqu’à 5% du chiffre d’affaires total annuel de l’entreprise ou jusqu’à 100 millions d’euros.

Quelques chiffres :

260 Md€ : montant minimum des pertes entrainées par les attaques cyber.

130€ : coût d’une donnée compromise pour les entreprises françaises.

3 millions d’euros : préjudice moyen engendré par une cyber-attaque en France

Quelques exemples :

Vol de coordonnées bancaires sur le web :
Le site web d’une chaîne d’hôtellerie a été piraté en raison d’une faille dans son système de sécurité. Les cybercriminels ont pu alors accéder et dérober les numéros de cartes bancaires de plusieurs centaines de clients de ces hôtels.

La chaîne ne s’est rendu compte de cette cyberattaque qu’au bout de trois mois. Parmi les clients victimes du piratage informatique, se trouvaient des américains qui ont agi contre la société de gestion du site internet. Visa et Mastercard, sociétés de cartes bancaires, ont également agi devant les tribunaux pour non-respect des normes.

> Montant du sinistre : supérieur à 1 million d’euros (frais de notification, dommages et intérêts).

Site web mis hors service :
Une entreprise commercialisant en ligne des produits de soin pour le corps a vu son site internet bloqué pendant 7 jours en raison d’une cyberattaque. Ce piratage a ainsi stoppé l’activité de l’entreprise, l’empêchant de générer du chiffre.

L’entreprise a dû faire appel à un prestataire spécialisé pour identifier la faille du système informatique qui a permis le piratage et pour réparer la panne.

> Montant du sinistre : près de 700 000€ (perte de chiffre d’affaires + coût des prestations)

Arrêt d’activité :
Une entreprise de fabrication de luminaires voit sa chaîne de production automatisée bloquée suite à une intrusion informatique sans que son matériel ne soit détruit. Le temps de trouver l’origine, de réinstaller logiciels et données, la production est arrêtée plus d’une semaine.

>Montant du sinistre : près de 300 000€ (perte d’exploitation+ coût des prestations).

Qu’est-ce que la Cyber-Assurance ?


C’est pourquoi, une entreprise cherche à transférer à un assureur ces risques, qui couvrira les pertes d’exploitation subies, les frais supplémentaires engagés en cas d’interruption de réseau,  à la suite d’un acte de malveillance, ou d’une erreur humaine.

Les entreprises en général n’ont pas encore cherché à transférer à un assureur les conséquences financières de ces Cyber-attaques et pourtant des solutions existent.
La Cyber Assurance est un contrat permettant aux entreprises d’être accompagnées dans la gestion des conséquences d’une attaque, tout en préservant la continuité de leur activité.
Il s’agit plus exactement de couvrir :

  • L’ensemble des événements dont les conséquences immatérielles peuvent affecter un système d’information (SI).
  • Les conséquences d’une atteinte aux données, sans atteinte au SI et/ou les conséquences d’une atteinte au SI.
  • Les attaques volontaires : virus, cyber-extorsion (ransomware), vol de données, atteinte numérique à la réputation, vengeance d’anciens employés…
  • Mais aussi des atteintes involontaires : imprudence, négligence des salariés (34% des incidents).

Quelles sont les principales garanties ?

  • Les pertes d’exploitation ou frais supplémentaires en cas d’arrêt d’activité.
  • La restauration des données électroniques.
  • L’interruption du réseau.
  • La gestion de crise et l’assistance.
  • Les frais d’honoraires du prestataire qui identifie a faille informatique qui a permis le piratage.
  • La cyber-extorsion.
  • Les frais d’enquête administrative et ou de notification.
  • Les dommages et frais de défense engagés suite à une violation des droits de propriété intellectuelle de tiers ou négligence des contenus électroniques.
  • La responsabilité civile: conséquences pécuniaires en cas de mise en cause de l’entreprise ou de son prestataire en raison de dommages causés aux tiers suite à une atteinte aux données.