Contre le vol des données : vers des polices d’assurance “ cyber ”
Quel est votre savoir-faire ?
F.B. : Le cœur de métier d’Altares est de collecter, d’analyser, d’enrichir et de structurer les données de nos clients pour les rendre intelligentes et décisionnelles. On nous confie donc des quantités des données astronomiques qui sont bien entendu très confidentielles.
Pour assurer la sécurité de ces données, notre savoir- faire est tout à fait classique en la matière. En revanche, c’est sur le volet des assurances que nos réflexions, menées avec notre courtier Assurwest, nous ont conduits vers des solutions inédites.
Quelles solutions peut proposer votre partenaire ?
F.B. : Sa prestation a d’abord concerné, de façon très classique, la protection des systèmes d’information et du matériel avec en préalable l’établissement d’un diagnostic sécurité.
Puis la réflexion nous a amenés à nous poser une autre question : quid du patrimoine immatériel constitué par les données d’Altares puis, par extension, celles de nos clients ? Ces dernières représentent très souvent une valeur non négligeable qu’Altares est d’ailleurs en charge de valoriser.
Si vous valorisez à sa juste valeur le patrimoine immatériel, pourquoi ne pas proposer de l’assurer en toute connaissance de cause ?
F.B. : En quelques mois, nous avons trouvé plusieurs services pertinents autour de cette prestation d’assurance et aujourd’hui, l’offre que nous lançons, DSure, est unique, car en plus du volet assurantiel classique, nous avons sollicité Brainserve pour nous proposer un volet d’hébergement ultra-sécurisé dans un coffre-fort numérique en Suisse, un service d’encrage digital indélébile sur les données afin de certifier de leur authenticité et également une mesure d’impact du risque en cas de cyber-attaque avec deux autres prestataires spécialisés.
Comment sécurisez-vous les données que vous traitez pour autrui ?
F.B. : Il est fréquent que les traitements soient faits sur les serveurs de nos clients pour garantir l’étanchéité des données, mais nous travaillons également sur notre propre infrastructure qui dispose de 9 certificats de sécurité.
Nos systèmes font l’objet d’audits réguliers externes diligentés par nos soins, mais aussi par nos clients. Par ailleurs, nos salariés sont liés par des clauses de confidentialité. Ils sont régulièrement sensibilisés aux aspects de sécurité dans leur espace de travail et à l’extérieur de l’entreprise.
En cas de divulgation, proposez-vous de réparer le dommage et comment l’évaluez-vous ?
J.I. : Si les données ont été volées, il est possible d’obtenir réparation, qu’elles soient divulguées ou utilisées à des fins commerciales sans aucune publicité (ex : vol de fichiers clients). La difficulté sera de prouver le vol des données, car la flagrance n’est pas évidente. Le vol peut se produire pendant des mois entiers et n’être découvert que très tardivement alors que le dispositif de captation des données a cessé de fonctionner depuis longtemps.
Comment prouver le vol alors que les données sont toujours dans mon système ?
J.I. : Cela pose trois questions : comment mon dispositif de sécurité informatique peut me prévenir rapidement lorsqu’un flux anormal se produit (monitoring) ? Comment tracer mes données afin de prouver que celles utilisées par mon concurrent proviennent de mes bases ? Comment estimer mon préjudice ? Nous conseillons nos clients pour les aider à apporter la preuve d’un vol de données.
Les contrats d’assurance peuvent alors jouer pleinement leur rôle. Ils vont rembourser la perte d’exploitation, les frais d’investigation, les frais éventuels de reconstitution et de notification…
Des actions sont également engagées afin d’agir sur l’e‑réputation des clients sinistrés. Le tout, dans les conditions prévues au contrat.
D’où la nécessité de bien analyser le contrat avant de souscrire. Pour les grands comptes, en travaillant avec le risk manager et le RSSI, nous définissons des scénarios de crise et rédigeons ensuite avec l’assureur un contrat « sur mesure ».
Avez-vous mis en place un service lié à la révélation des données de vos clients et quelle est sa valeur ajoutée ?
F.B. : Oui et c’est plus qu’un service, c’est une ligne business primordiale pour Altares. Nous militons activement afin que la révélation (de la valeur) des données de nos clients soit prise en compte et intégrée comme un patrimoine comptable et financier de l’entreprise. Cette offre, nommée Data Asset propose justement en son sein tout le dispositif assurantiel DSure qu’Altares est le seul acteur du marché à proposer.
Plus largement, envisager la donnée de son entreprise comme une ressource transversale ouvre un champ des possibles allant jusqu’à la transformation de son business plan traditionnel en un business plan « data driven », comme c’est le cas pour les grandes entreprises du web pour qui la donnée est la première richesse.
Est-il possible d’envisager des contrats d’assurance en cas de divulgation des données et de cyber-attaques ?
J.I. : Au sens large, les cyber-risques sont les conséquences d’une atteinte au système d’information ou les effets d’une compromission des données (sans blocage du système d’information).
Les contrats d’assurance traditionnels n’ont pas été conçus pour répondre à ces besoins nouveaux. Ils excluent même parfois ce type de risque !
Depuis quelques années, des polices d’assurances « cyber » sont donc apparues afin de combler ces lacunes, mais le risque n’est pas mûr et les contrats distribués en France offrent des périmètres de couverture encore hétérogènes. Ces polices « cyber » peuvent se substituer aux contrats mis en place dans l’entreprise ou venir simplement les compléter.
Mais une bonne assurance des risques cyber de l’entreprise se limite-t-elle seulement à couvrir les cyber-attaques ?
Non, car l’erreur humaine (erreurs de programmation, de manipulation…) tout comme certains évènement accidentels (dégâts des eaux, incendie, catastrophes naturelles…) peuvent provoquer des sinistres cyber. C’est pourquoi un bon contrat cyber protège l’entreprise au-delà des cyber-attaques.
Des experts peuvent-ils intervenir comme dans les sinistres habituels ?
Certains contrats proposent en effet une offre de services très utile : des experts juridiques qui gèrent les aspects légaux liés à la crise, des experts techniques qui investiguent sur l’incident et tentent d’en limiter les effets ainsi que des experts en communication qui gèrent les stratégies de communication interne et externe.
Tous ces prestataires externes peuvent être pris en charge par le contrat d’assurance en cas de sinistre. Une bonne couverture des risques cyber passe très souvent par la souscription d’un contrat sur mesure de type « police cyber ».
Comment voyez-vous l’avenir de l’assurance des datas ?
J.I. : Le marché de l’assurance des données des entreprises est encore embryonnaire en France et beaucoup d’acteurs tâtonnent encore sur le sujet.
Tous les clients ne sont pas bien assurés en Responsabilité civile pour les dommages qu’ils peuvent causer aux entreprises avec lesquelles ils sont en relation (transmission de virus).
Comment incitez-vous les groupes à se protéger ?
Les efforts de communication de l’État, la progression des sinistres et les évolutions réglementaires (amendes en cas d’absence de mesures de protection suffisantes) devraient conduire les grandes entreprises françaises à optimiser leur prévention, leur protection et leur programme d’assurances.
Enfin, la valorisation des Data grâce aux offres proposées par Altares (DSure) pourrait amener les assureurs à proposer des polices cyber sur une base forfaitaire et non plus indemnitaire.
Une évolution très intéressante pour ce marché à fort potentiel pour les assureurs…
Articles similaires :
DCI souhaite développer le savoir-faire français en matière de cyberdéfense
Réhabiliter les biens anciens d’exception, sauvegarder le patrimoine français
L’ARE : un formidable outil à la rescousse des entreprises
L’immobilier face à la crise : incertitudes, perspectives et évolutions
Pour un avenir urbain neutre en carbone !