Les enjeux de la cyber-assurance

Les enjeux de la cyber-assurance : assurer les risques immatériels et faire face aux menaces liées au renforcement de la législation en matière de violation de données


Assurer les risques immatériels

Pour être qualifié comme « sinistre » par l’assureur, le fait générateur doit être connu et inscrit au contrat d’assurance comme par exemple un virus, une attaque, une erreur… Or, dans la plupart des contrats, la notion du « tous risques informatiques » ne couvre pas un certain nombre de risques et/ou de dommages.

Les contrats classiques ne garantissent pas les conséquences financières dues à un acte de malveillance, une fraude, une erreur humaine, un virus,… alors même qu’ils peuvent immobiliser et/ou détériorer le système d’information et compromettre l’activité de l’entreprise.

« Tous risques informatiques » & Cyber-risques


Une couverture incomplète des risques d’exploitation informatique

schema risques couverts

Une approche globale de financement des risques matériels et immatériels informatiques

schema risques couverts cyber

Assurances classiques & Cyber-assurance


Une assurance des dommages matériels dont informatique
(Faits générateurs : incendie, vol, dégâts des eaux)

schema assurances couverts

Une assurance des dommages matériels et immatériels
(Faits générateurs : accidents, erreurs, malveillance, sabotage, vandalisme, fraude)

schema assurances couverts cyber

Faire face aux menaces liées au renforcement de la législation en matière de violation de données

Le renforcement de la législation européenne en matière de protection des données va imposer aux entreprises de repenser la politique de sécurité de leur système d’information.

Avec l’obligation pour les entreprises de déclarer toute cyber-attaque et de respecter un certain nombre de normes d’ici 2015, ces évolutions règlementaires représentent pour les entreprises une véritable menace.

Depuis l’ordonnance du 24 août 2011, les Fournisseurs d’Accès à l’Internet (FAI) ont l’obligation d’informer sans délai la Commission Nationale de l’Informatique et des Libertés (CNIL) ainsi que les abonnés et autres personnes en cas de violation de données.

L’extension de cette ordonnance imposera donc une obligation de notification à toutes les entreprises qui détiennent, traitent et exploitent des données personnelles et/ou bancaires en cas de cyber-attaque ce qui se pourra se traduire par des coûts financiers extrêmement lourds (le coût d’une notification est estimé aujourd’hui autour de 130 € par donnée).

Les contraintes de l’ordonnance du 24 août 2011 :

  • Mettre en place de procédures de chiffrement (clés USB, disques durs, portables,…),
  • Répertorier les violations de données dans un registre,
  • Mettre en place une procédure d’alerte qui détermine les mesures à court et moyen terme à mettre en place pour éviter les atteintes aux données personnelles ou en tout cas en minimiser les impacts,
  • Évaluer les besoins d’informer les abonnés et autres personnes en cas de violation de leurs données,
  • Notifier à la CNIL la nature de la violation de données ainsi que les mesures prises pour y remédier,
  • Mettre en place une procédure de notification aux abonnées et autres personnes concernées (préparation des courriers, plateforme téléphonique ou autre pour répondre aux questions complémentaires des personnes,…).
  • La certification PCI DSS (Payment Card Industry Data Security Standard) est devenue un standard de sécurité mondial pour les entreprises réalisant des transactions par carte bancaire.

  • Il s’agit en fait d’un guide de 12 règlements qui aident les entreprises émettrices de cartes de paiement à protéger leurs données et à prévenir les fraudes. Ce standard de sécurité des données, non obligatoire à ce jour, est en passe de devenir mondial. Il permet de garantir que les entreprises suivent des normes de sécurité et de protection de leurs données.

La cyber-assurance : se protéger et faire face aux conséquences d’une cyber-attaque !