Figuration d'un vol de données

Contre le vol des données : vers des polices d’assurance “ cyber ”

Dossier : Dossier FFEMagazine N°721 Janvier 2017
Par Jacques IZART
Par Fabrice BLANC

Quel est votre savoir-faire ?

F.B. : Le cœur de méti­er d’Altares est de col­lecter, d’analyser, d’enrichir et de struc­tur­er les don­nées de nos clients pour les ren­dre intel­li­gentes et déci­sion­nelles. On nous con­fie donc des quan­tités des don­nées astronomiques qui sont bien enten­du très confidentielles. 

Pour assur­er la sécu­rité de ces don­nées, notre savoir- faire est tout à fait clas­sique en la matière. En revanche, c’est sur le volet des assur­ances que nos réflex­ions, menées avec notre courtier Assur­west, nous ont con­duits vers des solu­tions inédites. 

Quelles solutions peut proposer votre partenaire ?

F.B. : Sa presta­tion a d’abord con­cerné, de façon très clas­sique, la pro­tec­tion des sys­tèmes d’information et du matériel avec en préal­able l’établissement d’un diag­nos­tic sécurité. 

Puis la réflex­ion nous a amenés à nous pos­er une autre ques­tion : quid du pat­ri­moine immatériel con­sti­tué par les don­nées d’Altares puis, par exten­sion, celles de nos clients ? Ces dernières représen­tent très sou­vent une valeur non nég­lige­able qu’Altares est d’ailleurs en charge de valoriser. 

Si vous valorisez à sa juste valeur le patrimoine immatériel, pourquoi ne pas proposer de l’assurer en toute connaissance de cause ?

F.B. : En quelques mois, nous avons trou­vé plusieurs ser­vices per­ti­nents autour de cette presta­tion d’assurance et aujourd’hui, l’offre que nous lançons, DSure, est unique, car en plus du volet assur­antiel clas­sique, nous avons sol­lic­ité Brain­serve pour nous pro­pos­er un volet d’hébergement ultra-sécurisé dans un cof­fre-fort numérique en Suisse, un ser­vice d’encrage dig­i­tal indélé­bile sur les don­nées afin de cer­ti­fi­er de leur authen­tic­ité et égale­ment une mesure d’impact du risque en cas de cyber-attaque avec deux autres prestataires spécialisés. 

Comment sécurisez-vous les données que vous traitez pour autrui ?

F.B. : Il est fréquent que les traite­ments soient faits sur les serveurs de nos clients pour garan­tir l’étanchéité des don­nées, mais nous tra­vail­lons égale­ment sur notre pro­pre infra­struc­ture qui dis­pose de 9 cer­ti­fi­cats de sécurité. 

Nos sys­tèmes font l’objet d’audits réguliers externes dili­gen­tés par nos soins, mais aus­si par nos clients. Par ailleurs, nos salariés sont liés par des claus­es de con­fi­den­tial­ité. Ils sont régulière­ment sen­si­bil­isés aux aspects de sécu­rité dans leur espace de tra­vail et à l’extérieur de l’entreprise.

En cas de divulgation, proposez-vous de réparer le dommage et comment l’évaluez-vous ?

J.I. : Si les don­nées ont été volées, il est pos­si­ble d’obtenir répa­ra­tion, qu’elles soient divul­guées ou util­isées à des fins com­mer­ciales sans aucune pub­lic­ité (ex : vol de fichiers clients). La dif­fi­culté sera de prou­ver le vol des don­nées, car la fla­grance n’est pas évi­dente. Le vol peut se pro­duire pen­dant des mois entiers et n’être décou­vert que très tar­di­ve­ment alors que le dis­posi­tif de cap­ta­tion des don­nées a cessé de fonc­tion­ner depuis longtemps. 

Comment prouver le vol alors que les données sont toujours dans mon système ?

J.I. : Cela pose trois ques­tions : com­ment mon dis­posi­tif de sécu­rité infor­ma­tique peut me prévenir rapi­de­ment lorsqu’un flux anor­mal se pro­duit (mon­i­tor­ing) ? Com­ment trac­er mes don­nées afin de prou­ver que celles util­isées par mon con­cur­rent provi­en­nent de mes bases ? Com­ment estimer mon préju­dice ? Nous con­seil­lons nos clients pour les aider à apporter la preuve d’un vol de données. 

Les con­trats d’assurance peu­vent alors jouer pleine­ment leur rôle. Ils vont rem­bours­er la perte d’exploitation, les frais d’investigation, les frais éventuels de recon­sti­tu­tion et de notification… 

Des actions sont égale­ment engagées afin d’agir sur l’e‑réputation des clients sin­istrés. Le tout, dans les con­di­tions prévues au contrat. 

D’où la néces­sité de bien analyser le con­trat avant de souscrire. Pour les grands comptes, en tra­vail­lant avec le risk man­ag­er et le RSSI, nous définis­sons des scé­nar­ios de crise et rédi­geons ensuite avec l’assureur un con­trat « sur mesure ». 

Avez-vous mis en place un service lié à la révélation des données de vos clients et quelle est sa valeur ajoutée ?

F.B. : Oui et c’est plus qu’un ser­vice, c’est une ligne busi­ness pri­mor­diale pour Altares. Nous mili­tons active­ment afin que la révéla­tion (de la valeur) des don­nées de nos clients soit prise en compte et inté­grée comme un pat­ri­moine compt­able et financier de l’entreprise. Cette offre, nom­mée Data Asset pro­pose juste­ment en son sein tout le dis­posi­tif assur­antiel DSure qu’Altares est le seul acteur du marché à proposer. 

Plus large­ment, envis­ager la don­née de son entre­prise comme une ressource trans­ver­sale ouvre un champ des pos­si­bles allant jusqu’à la trans­for­ma­tion de son busi­ness plan tra­di­tion­nel en un busi­ness plan « data dri­ven », comme c’est le cas pour les grandes entre­pris­es du web pour qui la don­née est la pre­mière richesse. 

Est-il possible d’envisager des contrats d’assurance en cas de divulgation des données et de cyber-attaques ?

J.I. : Au sens large, les cyber-risques sont les con­séquences d’une atteinte au sys­tème d’information ou les effets d’une com­pro­mis­sion des don­nées (sans blocage du sys­tème d’information).

Les con­trats d’assurance tra­di­tion­nels n’ont pas été conçus pour répon­dre à ces besoins nou­veaux. Ils exclu­ent même par­fois ce type de risque ! 

Depuis quelques années, des polices d’assurances « cyber » sont donc apparues afin de combler ces lacunes, mais le risque n’est pas mûr et les con­trats dis­tribués en France offrent des périmètres de cou­ver­ture encore hétérogènes. Ces polices « cyber » peu­vent se sub­stituer aux con­trats mis en place dans l’entreprise ou venir sim­ple­ment les compléter. 

Mais une bonne assurance des risques cyber de l’entreprise se limite-t-elle seulement à couvrir les cyber-attaques ?

Non, car l’erreur humaine (erreurs de pro­gram­ma­tion, de manip­u­la­tion…) tout comme cer­tains évène­ment acci­den­tels (dégâts des eaux, incendie, cat­a­stro­phes naturelles…) peu­vent provo­quer des sin­istres cyber. C’est pourquoi un bon con­trat cyber pro­tège l’entreprise au-delà des cyber-attaques. 

Des experts peuvent-ils intervenir comme dans les sinistres habituels ?

Cer­tains con­trats pro­posent en effet une offre de ser­vices très utile : des experts juridiques qui gèrent les aspects légaux liés à la crise, des experts tech­niques qui inves­tiguent sur l’incident et ten­tent d’en lim­iter les effets ain­si que des experts en com­mu­ni­ca­tion qui gèrent les straté­gies de com­mu­ni­ca­tion interne et externe. 

Tous ces prestataires externes peu­vent être pris en charge par le con­trat d’assurance en cas de sin­istre. Une bonne cou­ver­ture des risques cyber passe très sou­vent par la souscrip­tion d’un con­trat sur mesure de type « police cyber ». 

Comment voyez-vous l’avenir de l’assurance des datas ?

J.I. : Le marché de l’assurance des don­nées des entre­pris­es est encore embry­on­naire en France et beau­coup d’acteurs tâton­nent encore sur le sujet. 

Tous les clients ne sont pas bien assurés en Respon­s­abil­ité civile pour les dom­mages qu’ils peu­vent causer aux entre­pris­es avec lesquelles ils sont en rela­tion (trans­mis­sion de virus). 

Comment incitez-vous les groupes à se protéger ?

Les efforts de com­mu­ni­ca­tion de l’État, la pro­gres­sion des sin­istres et les évo­lu­tions régle­men­taires (amendes en cas d’absence de mesures de pro­tec­tion suff­isantes) devraient con­duire les grandes entre­pris­es français­es à opti­miser leur préven­tion, leur pro­tec­tion et leur pro­gramme d’assurances.

Enfin, la val­ori­sa­tion des Data grâce aux offres pro­posées par Altares (DSure) pour­rait amen­er les assureurs à pro­pos­er des polices cyber sur une base for­faitaire et non plus indemnitaire. 

Une évo­lu­tion très intéres­sante pour ce marché à fort poten­tiel pour les assureurs… 


Publicité ALTARES

Poster un commentaire