L'assurance Cyber couvre les actions malveillantes telles que le piratage informatique, le vol ou les menaces de divulgation de données (cyber-extorsion, chantage), la fraude et le détournement de fonds ou de valeurs.
De plus, de tels "désordres" peuvent engendrer des frais exceptionnels, des pertes d’exploitation, exposer la responsabilité civile de l'entreprise, voire altérer son image...
Face à ces menaces, l'assurance Cyber offre une solution adaptée qui couvre des risques non pris en compte par les assurances classiques Dommages aux Biens, Tous Risques Informatiques, Responsabilité Civile Générale...
Alerte actu RGPD
A compter du 25/05/2018, le nouveau Règlement Européen sur la Protection des Données imposera, à toutes les entreprises, de notifier à l’ensemble de ses clients et prestataires toute perte ou violation de données personnelles.
Le GROUPE ROUGE propose la souscription d’une police d’assurance CYBER-RISQUES garantissant les conséquences des évènements ci-après, non pris en charge par les assurances classiques (Multirisques Locaux / Dommages aux Biens / Tous Risques Informatique / Responsabilité Civile Générale).
Les évènements couverts
Interruption de votre système informatique ou du service de Cloud
- Attaque par déni de service [en anglais, Denial of Service Attack (DoS) ou Distributed Denial of Service Attack (DDoS)]
Attaque menée sur un réseau ou sur Internet visant à rendre indisponible pendant un temps indéterminé les services ou les ressources de l’entreprise. Le mode opératoire consiste à envoyer un très grand nombre de requêtes au serveur de l'entreprise ou à son site Internet afin de les mettre en surcharge, ce qui rend son système informatique inutilisable.
- Accès non autorisé
Accès à votre réseau ou aux informations stockées dans votre réseau effectué de façon non autorisée ou par une personne non autorisée (ancien salarié par exemple).
- Infection par virus informatique
Virus (programme informatique) conçu aux fins de propager et infecter le système informatique de votre entreprise et le rendre défaillant.
- Erreur opérationnelle
Interruption ou suspension du service fourni par votre système informatique en cas de négligence, erreur, omission, acte non intentionnel commis par un employé ou un prestataire de service dans l'exploitation de votre système informatique.
Cyber-extorsion (chantage)
Après avoir crypté les données de votre entreprise par introduction d'un programme malveillant (ransomware), le hacker vous contraint à lui verser une rançon en échange de la restauration de vos données. Il peut également vous menacer de divulguer des informations confidentielles via le réseau de votre entreprise.
Hameçonnage (phishing)
Communication électronique prétendant provenir d'une source légitime qui contient un lien vers des sites web se faisant apparaître comme une entité digne de confiance.
Piratage téléphonique
Utilisation non autorisée de vos équipements de télécommunication (ou de leur bande passante). Les conséquences : une surfacturation téléphonique à votre charge !
Fraude informatique
Détournement de fonds et de services par intrusion dans votre système informatique.
Quels sont les postes indemnisés ?
Les frais d'experts informatique
Il s'agit du coût des experts et des investigations pour confirmer l'atteinte aux données, identifier leur cause, évaluer les possibilités de récupération, faire des recommandations, remettre en marche, restaurer les pare- feux, faciliter le retour à la normale suite à une violation de la sécurité.
Les frais de gestion de crise (Atteinte à la réputation)
Frais de consultants en Relations Publiques suite à une atteinte à la réputation de l'entreprise.
Frais de conseil et de représentation dans le cadre d'une enquête sur la protection des données personnelles.
La restauration des données informatiques
Les coûts de récupération et de reconstitution des données.
Les frais supplémentaires
Frais engagés pour pallier les conséquences de l'indisponibilité du SI (Système d'Information) et /ou du réseau (frais de services ponctuels, location de nouvelles ressources…).
Les frais pour enquête et sanction d'une autorité administrative
Les frais liés à une enquête administrative (notamment la CNIL) ainsi que les amendes et pénalités assurables prononcées par les autorités de protection des données personnelles.
Les frais de notification
En cas de perte ou de violation de données personnelles des clients de l'entreprise (data breach), celle-ci est dans l'obligation de notifier cet événement aux autorités compétentes ainsi qu'à l'ensemble de ses clients. Ce poste de frais, peu connu des entreprises, peut constituer un montant particulièrement élevé en cas de sinistre Cyber.
De plus, cette obligation d'information, qui jusqu'à présent ne pesait que sur les fournisseurs d'accès à internet et les opérateurs de téléphonie, va être étendue à compter du 24 mai 2018 à toutes les entreprises qui traitent des données à caractère personnel (références bancaires notamment).
En cas de non-respect de cette obligation, des sanctions financières peuvent être réclamées par la CNIL.
(1) Règlement européen 2016/679 sur la protection des données – Journal officiel de l’Union Européenne L119 du 4 mai 2016.
La demande de rançon en cas de Cyber-extorsion
Paiement de la rançon (extorsion) à des tiers qui menacent de divulguer des informations confidentielles. Frais d'experts chargés de rechercher la cause de la menace d'extorsion.
Les pertes d'exploitation
Garantie nécessaire pour la vente en ligne : perte de résultat suite à interruption du réseau ou attaque par déni de service ou atteinte à la sécurité du réseau.
Vos responsabilités en cas de vol ou destruction des données qui vous sont confiées
Les frais de défense juridique ainsi que les dommages-intérêts réclamés par vos clients/prestataires/ tout tiers en général, notamment en cas de :
- perte, destruction, détournement de données de tiers y compris par virus informatique
- divulgation, par un employé de l'entreprise, de données confidentielles
- vol de codes d'accès
- vol de matériel informatique contenant des données personnelles.
Exemple de sinistre
Cyber extorsion (Ransomware) dans une association de gestion de maisons de retraite médicalisées
- Sinistre
Une association reçoit un email de l’un des EHPAD qu’elle gère lui communiquant des informations financières à regarder d’urgence. Il s’agit en fait d’un faux message, et la pièce jointe est en réalité un logiciel malveillant qui crypte un grand nombre de données du système informatique de l’association, rendant ces dernières totalement inaccessibles. Le pirate informatique réclame, pour débloquer les données, une rançon de 10.000 € qui doit être réglée en "bitcoins"...
- Situation
Les données sont cryptées : informations médicales, données personnelles des salariés, bulletins de salaires, RIB des salariés…
- Suspects
Inconnus
- Résolution du sinistre / l'équipe de secours
Un expert informatique et une société spécialisée dans ce type d'incident interviennent pour
- tenter de débloquer le SI,
- établir les connexions et les procédures nécessaires au règlement de la rançon (dans l'hypothèse où le système d'information ne serait pas débloqué).
Un expert juridique ainsi qu'un cabinet en communication sont également sollicités.
Intervention d'un expert informatique qui résout l’incident.
- Les garanties sollicitées
Mesures d’urgences | Cyber extorsion |
Gestion de crise | Perte d’exploitation |
Responsabilité Civile | Enquête et sanction |
- Conséquences / coût du sinistre
L'expert réussi à débloquer le système d'Information.
Coût du sinistre : 15.000 € (frais de consultants et d'experts)
NB : Même si le coût financier de ce sinistre est supérieur au montant de la rançon demandée, l'intervention de l'assurance a permis d'éviter :
- Le paiement de la rançon (à défaut de débloquer le système d’informations, la rançon aurait été payée par l’Assureur)
- les coûts de notification aux résidents et aux ayants droit
- les démarches d'information à la CNIL ainsi que l'enquête et ses conséquences : interrogations sur les données, obligation de modifications quant à leur contenu ou à leur mode de gestion, etc.
- une éventuelle sanction de la CNIL