Dans le cadre de notre meeting du 6 avril 2017, Christophe Gautié - Apollo Conseil & Courtage a abordé le sujet de l'assurance de vos données et des contrats pouvant les protéger pour vous indemniser en cas de sinistre physique ou virtuel.

1. Courtier Spécialiste
LA PROTECTION FINANCIERE DE VOS DONNEES
Evolutions de l'approche "Assurances"
Christophe GAUTIE Nantes - 6 avril 2017

2. OCEANET 06/04/2017
 Apollo : Qui sommes nous?
 Les garanties traditionnelles d’assurance pour les données : risques matériels
 Des garanties innovantes pour les risques immatériels
 Le cas des données personnelles : assurances CYBER
 Statistiques incidents CYBER
 Exemples de pertes financières indemnisées (incidents sur données)
 Quelques conseils pratiques
Protection financière des données - Assurances
2

3. Qui sommes nous ?
Partie 1

4. OCEANET 06/04/2017
Spécialiste des Métiers IT
» Plus de 500 clients Start-up, PME, ETI des secteurs IT/Télécoms/Internet:
-Editeurs -Web Services
-Intégrateurs -Infogérance et hébergeurs
-SSII -Opérateurs Télécoms
-…..
» Forte expérience des sinistres Responsabilité Civile « IT » (litiges clients)
Reconnu au sein de la communauté TECH/NUMERIQUE
» Partenariats avec TECHIN France (ex AFDEL), le COMITE RICHELIEU, DELOITTE TECHNOLOGY
FAST50
» Conception de programmes d’assurance dédiés aux Editeurs de logiciels et plateformes SaaS
Apollo : Courtier Expert des Nouvelles Technologies
4

5. Les garanties traditionnelles d’assurance
des données: risques matériels
Partie 2

6. OCEANET 06/04/2017
 Traditionnellement, les contrats d’assurance garantissaient uniquement les
atteintes aux données suites à des dommages matériels:
Les garanties traditionnelles d'assurance:
risques matériels
6
Les contrats d’assurance des locaux et du matériel informatique permettent
d’être couverts en cas de perte de données suite aux évènements suivants:
» Bris de matériels informatiques
» Dommages électriques
» Dégâts des Eaux
» Vol
» Incendie
» Foudre, explosion
 Pour les frais de reconstitutions de données

7. Des garanties innovantes d'assurance
des données: risques immatériels
Partie 3

8. OCEANET 06/04/2017
 Désormais, des garanties d'assurance innovantes permettent de vous couvrir en cas
de perte de données suite à un sinistre immatériel:
» Carence de fournisseurs » Fraude
» Erreur Humaine » Virus
» Déni de service » Sabotage
» Perte de réseau » Intrusion
» Atteinte à l’image
 Pour les frais de reconstitution de données mais aussi pour :
» La perte d’exploitation
» La perte de CA
» Les frais annexes,….
Des garanties innovantes d'assurance des données
8

9. Le cas des données personnelles à
protéger : les assurances "cyber"
Partie 4

10. OCEANET 06/04/2017
 Des prestations d’assistances dont vous avez besoin:
» Communication de crise
» Avocat
» Recours à des experts en sécurité informatique
» Récupération de données
10
En cas de hacking de données personnelles, les contrats d’assurance
« Cyber » prennent en charge:
 Les dommages financiers que vous avez subis:
» Frais de notification d’une violation de données personnelles
» Frais de centre d’appel
» Identity monitoring
» Votre perte d’exploitation
 Les préjudices financiers causés à vos clients:
» Dommages et intérêts
» Frais de défense
» Mesures correctives

11. OCEANET 06/04/2017 11
Et aussi :
 Cyber-Extorsion:
» Ransomware
 Cyber Fraude:
» Intrusion dans vos systèmes d’informations donnant lieu à un transfert
d’argent
 Les coûts d’une enquête administrative:
» Amendes administratives (CNIL)
» Amendes PCI DSS
» Frais de défense
 Phone Hacking (surfacturation)

12. Statistiques Sinistres CYBER
Partie 5

13. OCEANET 06/04/2017 13
Statistiques Sinistres CYBER
» AIG/Etude sinistres Cyber survenus en Europe 2013 – 2016

14. Exemples de pertes financières
indemnisées (incidents sur données)
Partie 6

15. OCEANET 06/04/2017
Exemples de pertes financières indemnisées
15
 Centrale de réservation en ligne:
» Attaque pour tenter d’accéder à la base de données clients par le point
d’entrée des sites WEB de réservation en ligne
» Coûts: 98 000 € dont 10 000 € d’experts IT / 15 000 € de relations
publiques (agence de communication de crise) / 80 000 € de pertes de de
revenus suite à l’interruption d’activité du site internet pendant 36 H
 Perte de ses disques durs:
» Perte par les salariés de l’assuré, alors en déplacement professionnel, de
plusieurs disques durs externes contenant les données personnelles,
médicales et bancaires de 300 000 patients
» Coûts: 2 000 000 € dont 140 000 € de frais d’avocat / 15 000 € de frais de
relations publiques / 1 000 000 € de frais de notification /936 000 € de
credit monitoring / 30 000€ de call center

16. OCEANET 06/04/2017
Exemples de pertes financières indemnisées (2)
16
 Panne informatique
» Une société de fabrication de pièces pour l’industrie est victime d’une
panne serveur hébergeant la base de données de gestion des stocks. Il
faut 5 jours pour identifier les causes, remplacer la carte informatique
défaillante et reconstituer les entrées et sorties des stocks
» Indemnité de 350 00 € (dont notamment heures supplémentaires du
personnel et livraison en urgence afin d’éviter les arrêts de production
client)
 Bombe logique
» Dans une société de vente en ligne, un salarié est sur le point d’être
licencié; il « dépose » dans les systèmes d’information une bombe logique
qui se déclenche après son départ. Une partie des serveurs est
indisponible, entraînant une perturbation de l’activité pendant une
semaine
» Indemnité de 750 000 € au titre des frais supplémentaires et, surtout, des
pertes d’exploitations

17. OCEANET 06/04/2017
Exemples de pertes financières indemnisées (3)
17
 Attaque virale
» Un groupe de distribution spécialisé subit une attaque virale massive qui
bloque les caisses peu avant les fêtes de fin d’année
» Indemnité de 220 000 €, au titre essentiellement des frais de
déplacement des équipes informatiques et prestataires sur les différents
points de vente
 Fuite de données
» Une chaine de prêt-à-porter confie une partie de ses fichiers
commerciaux (clients, cartes de fidélité, prospects) à un prestataire
spécialisé dans le marketing. Une erreur humaine chez ce prestataire
entraine la fuite de dizaines de milliers de références clients,
» Indemnité de 300 000€ avec notamment la prise en charge de la gestion
de crise, du conseil juridique, d’investigation, frais de notifications et mise
en place d’un centre d’appel.

18. Quelques conseils pratiques
Partie 7

19. OCEANET 06/04/2017 19
Conseils pratiques
 Editeurs : Validez si vous êtes assurés en RC pour les risques Cyber ?
» La RC Professionnelle est souvent insuffisante. Besoin de la compléter.
 Attention à la chaîne contractuelle avec vos sous-traitants
» Essentiel: éviter les renonciations à recours – risque de déchéance de l’assurance
» Encore plus important avec le nouveau Règlement Européen !
 Nouvelles règles du jeu à partir de mai 2018 avec le Règlement européen sur
les données personnelles (RGDP):
» Responsabilité accrue des prestataires IT (Editeurs SaaS, Prestataires IaaS, Hébergeurs) :
nouveau principe de « co - responsabilité »
» Sanctions lourdes
 Difficulté à ce jour d’évaluer le bon montant de la garantie CYBER !

20. OCEANET 06/04/2017
Contacts
20
Christophe GAUTIE : 06 12 29 28 53
cgautie@apollocourtage.com
www.apollocourtage.com
APOLLO Conseil et Courtage - Tel : 01 41 43 20 36
30, rue du château 92200 Neuilly/Seine
Orias N°08045864 (www.orias.fr)
Sous le contrôle de l’ACPR - 61 rue Taitbout 75009 PARIS