Dans le cadre de notre meeting du 6 avril 2017, Christophe Gautié - Apollo Conseil & Courtage a abordé le sujet de l'assurance de vos données et des contrats pouvant les protéger pour vous indemniser en cas de sinistre physique ou virtuel.
OT Meeting - La protection financière de vos données par Apollo Conseil & Courtage
1. Courtier Spécialiste
LA PROTECTION FINANCIERE DE VOS DONNEES
Evolutions de l'approche "Assurances"
Christophe GAUTIE Nantes - 6 avril 2017
2. OCEANET 06/04/2017
Apollo : Qui sommes nous?
Les garanties traditionnelles d’assurance pour les données : risques matériels
Des garanties innovantes pour les risques immatériels
Le cas des données personnelles : assurances CYBER
Statistiques incidents CYBER
Exemples de pertes financières indemnisées (incidents sur données)
Quelques conseils pratiques
Protection financière des données - Assurances
2
4. OCEANET 06/04/2017
Spécialiste des Métiers IT
» Plus de 500 clients Start-up, PME, ETI des secteurs IT/Télécoms/Internet:
-Editeurs -Web Services
-Intégrateurs -Infogérance et hébergeurs
-SSII -Opérateurs Télécoms
-…..
» Forte expérience des sinistres Responsabilité Civile « IT » (litiges clients)
Reconnu au sein de la communauté TECH/NUMERIQUE
» Partenariats avec TECHIN France (ex AFDEL), le COMITE RICHELIEU, DELOITTE TECHNOLOGY
FAST50
» Conception de programmes d’assurance dédiés aux Editeurs de logiciels et plateformes SaaS
Apollo : Courtier Expert des Nouvelles Technologies
4
6. OCEANET 06/04/2017
Traditionnellement, les contrats d’assurance garantissaient uniquement les
atteintes aux données suites à des dommages matériels:
Les garanties traditionnelles d'assurance:
risques matériels
6
Les contrats d’assurance des locaux et du matériel informatique permettent
d’être couverts en cas de perte de données suite aux évènements suivants:
» Bris de matériels informatiques
» Dommages électriques
» Dégâts des Eaux
» Vol
» Incendie
» Foudre, explosion
Pour les frais de reconstitutions de données
8. OCEANET 06/04/2017
Désormais, des garanties d'assurance innovantes permettent de vous couvrir en cas
de perte de données suite à un sinistre immatériel:
» Carence de fournisseurs » Fraude
» Erreur Humaine » Virus
» Déni de service » Sabotage
» Perte de réseau » Intrusion
» Atteinte à l’image
Pour les frais de reconstitution de données mais aussi pour :
» La perte d’exploitation
» La perte de CA
» Les frais annexes,….
Des garanties innovantes d'assurance des données
8
9. Le cas des données personnelles à
protéger : les assurances "cyber"
Partie 4
10. OCEANET 06/04/2017
Des prestations d’assistances dont vous avez besoin:
» Communication de crise
» Avocat
» Recours à des experts en sécurité informatique
» Récupération de données
10
En cas de hacking de données personnelles, les contrats d’assurance
« Cyber » prennent en charge:
Les dommages financiers que vous avez subis:
» Frais de notification d’une violation de données personnelles
» Frais de centre d’appel
» Identity monitoring
» Votre perte d’exploitation
Les préjudices financiers causés à vos clients:
» Dommages et intérêts
» Frais de défense
» Mesures correctives
11. OCEANET 06/04/2017 11
Et aussi :
Cyber-Extorsion:
» Ransomware
Cyber Fraude:
» Intrusion dans vos systèmes d’informations donnant lieu à un transfert
d’argent
Les coûts d’une enquête administrative:
» Amendes administratives (CNIL)
» Amendes PCI DSS
» Frais de défense
Phone Hacking (surfacturation)
14. Exemples de pertes financières
indemnisées (incidents sur données)
Partie 6
15. OCEANET 06/04/2017
Exemples de pertes financières indemnisées
15
Centrale de réservation en ligne:
» Attaque pour tenter d’accéder à la base de données clients par le point
d’entrée des sites WEB de réservation en ligne
» Coûts: 98 000 € dont 10 000 € d’experts IT / 15 000 € de relations
publiques (agence de communication de crise) / 80 000 € de pertes de de
revenus suite à l’interruption d’activité du site internet pendant 36 H
Perte de ses disques durs:
» Perte par les salariés de l’assuré, alors en déplacement professionnel, de
plusieurs disques durs externes contenant les données personnelles,
médicales et bancaires de 300 000 patients
» Coûts: 2 000 000 € dont 140 000 € de frais d’avocat / 15 000 € de frais de
relations publiques / 1 000 000 € de frais de notification /936 000 € de
credit monitoring / 30 000€ de call center
16. OCEANET 06/04/2017
Exemples de pertes financières indemnisées (2)
16
Panne informatique
» Une société de fabrication de pièces pour l’industrie est victime d’une
panne serveur hébergeant la base de données de gestion des stocks. Il
faut 5 jours pour identifier les causes, remplacer la carte informatique
défaillante et reconstituer les entrées et sorties des stocks
» Indemnité de 350 00 € (dont notamment heures supplémentaires du
personnel et livraison en urgence afin d’éviter les arrêts de production
client)
Bombe logique
» Dans une société de vente en ligne, un salarié est sur le point d’être
licencié; il « dépose » dans les systèmes d’information une bombe logique
qui se déclenche après son départ. Une partie des serveurs est
indisponible, entraînant une perturbation de l’activité pendant une
semaine
» Indemnité de 750 000 € au titre des frais supplémentaires et, surtout, des
pertes d’exploitations
17. OCEANET 06/04/2017
Exemples de pertes financières indemnisées (3)
17
Attaque virale
» Un groupe de distribution spécialisé subit une attaque virale massive qui
bloque les caisses peu avant les fêtes de fin d’année
» Indemnité de 220 000 €, au titre essentiellement des frais de
déplacement des équipes informatiques et prestataires sur les différents
points de vente
Fuite de données
» Une chaine de prêt-à-porter confie une partie de ses fichiers
commerciaux (clients, cartes de fidélité, prospects) à un prestataire
spécialisé dans le marketing. Une erreur humaine chez ce prestataire
entraine la fuite de dizaines de milliers de références clients,
» Indemnité de 300 000€ avec notamment la prise en charge de la gestion
de crise, du conseil juridique, d’investigation, frais de notifications et mise
en place d’un centre d’appel.
19. OCEANET 06/04/2017 19
Conseils pratiques
Editeurs : Validez si vous êtes assurés en RC pour les risques Cyber ?
» La RC Professionnelle est souvent insuffisante. Besoin de la compléter.
Attention à la chaîne contractuelle avec vos sous-traitants
» Essentiel: éviter les renonciations à recours – risque de déchéance de l’assurance
» Encore plus important avec le nouveau Règlement Européen !
Nouvelles règles du jeu à partir de mai 2018 avec le Règlement européen sur
les données personnelles (RGDP):
» Responsabilité accrue des prestataires IT (Editeurs SaaS, Prestataires IaaS, Hébergeurs) :
nouveau principe de « co - responsabilité »
» Sanctions lourdes
Difficulté à ce jour d’évaluer le bon montant de la garantie CYBER !
20. OCEANET 06/04/2017
Contacts
20
Christophe GAUTIE : 06 12 29 28 53
cgautie@apollocourtage.com
www.apollocourtage.com
APOLLO Conseil et Courtage - Tel : 01 41 43 20 36
30, rue du château 92200 Neuilly/Seine
Orias N°08045864 (www.orias.fr)
Sous le contrôle de l’ACPR - 61 rue Taitbout 75009 PARIS