Figuration d'un vol de données

Contre le vol des données : vers des polices d’assurance “ cyber ”

Dossier : Dossier FFEMagazine N°721 Janvier 2017
Par Jacques IZART
Par Fabrice BLANC

Quel est votre savoir-faire ?

F.B. : Le cœur de métier d’Altares est de col­lec­ter, d’analyser, d’enrichir et de struc­tu­rer les don­nées de nos clients pour les rendre intel­li­gentes et déci­sion­nelles. On nous confie donc des quan­ti­tés des don­nées astro­no­miques qui sont bien enten­du très confidentielles. 

Pour assu­rer la sécu­ri­té de ces don­nées, notre savoir- faire est tout à fait clas­sique en la matière. En revanche, c’est sur le volet des assu­rances que nos réflexions, menées avec notre cour­tier Assur­west, nous ont conduits vers des solu­tions inédites. 

Quelles solutions peut proposer votre partenaire ?

F.B. : Sa pres­ta­tion a d’abord concer­né, de façon très clas­sique, la pro­tec­tion des sys­tèmes d’information et du maté­riel avec en préa­lable l’établissement d’un diag­nos­tic sécurité. 

Puis la réflexion nous a ame­nés à nous poser une autre ques­tion : quid du patri­moine imma­té­riel consti­tué par les don­nées d’Altares puis, par exten­sion, celles de nos clients ? Ces der­nières repré­sentent très sou­vent une valeur non négli­geable qu’Altares est d’ailleurs en charge de valoriser. 

Si vous valorisez à sa juste valeur le patrimoine immatériel, pourquoi ne pas proposer de l’assurer en toute connaissance de cause ?

F.B. : En quelques mois, nous avons trou­vé plu­sieurs ser­vices per­ti­nents autour de cette pres­ta­tion d’assurance et aujourd’hui, l’offre que nous lan­çons, DSure, est unique, car en plus du volet assu­ran­tiel clas­sique, nous avons sol­li­ci­té Brain­serve pour nous pro­po­ser un volet d’hébergement ultra-sécu­ri­sé dans un coffre-fort numé­rique en Suisse, un ser­vice d’encrage digi­tal indé­lé­bile sur les don­nées afin de cer­ti­fier de leur authen­ti­ci­té et éga­le­ment une mesure d’impact du risque en cas de cyber-attaque avec deux autres pres­ta­taires spécialisés. 

Comment sécurisez-vous les données que vous traitez pour autrui ?

F.B. : Il est fré­quent que les trai­te­ments soient faits sur les ser­veurs de nos clients pour garan­tir l’étanchéité des don­nées, mais nous tra­vaillons éga­le­ment sur notre propre infra­struc­ture qui dis­pose de 9 cer­ti­fi­cats de sécurité. 

Nos sys­tèmes font l’objet d’audits régu­liers externes dili­gen­tés par nos soins, mais aus­si par nos clients. Par ailleurs, nos sala­riés sont liés par des clauses de confi­den­tia­li­té. Ils sont régu­liè­re­ment sen­si­bi­li­sés aux aspects de sécu­ri­té dans leur espace de tra­vail et à l’extérieur de l’entreprise.

En cas de divulgation, proposez-vous de réparer le dommage et comment l’évaluez-vous ?

J.I. : Si les don­nées ont été volées, il est pos­sible d’obtenir répa­ra­tion, qu’elles soient divul­guées ou uti­li­sées à des fins com­mer­ciales sans aucune publi­ci­té (ex : vol de fichiers clients). La dif­fi­cul­té sera de prou­ver le vol des don­nées, car la fla­grance n’est pas évi­dente. Le vol peut se pro­duire pen­dant des mois entiers et n’être décou­vert que très tar­di­ve­ment alors que le dis­po­si­tif de cap­ta­tion des don­nées a ces­sé de fonc­tion­ner depuis longtemps. 

Comment prouver le vol alors que les données sont toujours dans mon système ?

J.I. : Cela pose trois ques­tions : com­ment mon dis­po­si­tif de sécu­ri­té infor­ma­tique peut me pré­ve­nir rapi­de­ment lorsqu’un flux anor­mal se pro­duit (moni­to­ring) ? Com­ment tra­cer mes don­nées afin de prou­ver que celles uti­li­sées par mon concur­rent pro­viennent de mes bases ? Com­ment esti­mer mon pré­ju­dice ? Nous conseillons nos clients pour les aider à appor­ter la preuve d’un vol de données. 

Les contrats d’assurance peuvent alors jouer plei­ne­ment leur rôle. Ils vont rem­bour­ser la perte d’exploitation, les frais d’investigation, les frais éven­tuels de recons­ti­tu­tion et de notification… 

Des actions sont éga­le­ment enga­gées afin d’agir sur l’e‑réputation des clients sinis­trés. Le tout, dans les condi­tions pré­vues au contrat. 

D’où la néces­si­té de bien ana­ly­ser le contrat avant de sous­crire. Pour les grands comptes, en tra­vaillant avec le risk mana­ger et le RSSI, nous défi­nis­sons des scé­na­rios de crise et rédi­geons ensuite avec l’assureur un contrat « sur mesure ». 

Avez-vous mis en place un service lié à la révélation des données de vos clients et quelle est sa valeur ajoutée ?

F.B. : Oui et c’est plus qu’un ser­vice, c’est une ligne busi­ness pri­mor­diale pour Altares. Nous mili­tons acti­ve­ment afin que la révé­la­tion (de la valeur) des don­nées de nos clients soit prise en compte et inté­grée comme un patri­moine comp­table et finan­cier de l’entreprise. Cette offre, nom­mée Data Asset pro­pose jus­te­ment en son sein tout le dis­po­si­tif assu­ran­tiel DSure qu’Altares est le seul acteur du mar­ché à proposer. 

Plus lar­ge­ment, envi­sa­ger la don­née de son entre­prise comme une res­source trans­ver­sale ouvre un champ des pos­sibles allant jusqu’à la trans­for­ma­tion de son busi­ness plan tra­di­tion­nel en un busi­ness plan « data dri­ven », comme c’est le cas pour les grandes entre­prises du web pour qui la don­née est la pre­mière richesse. 

Est-il possible d’envisager des contrats d’assurance en cas de divulgation des données et de cyber-attaques ?

J.I. : Au sens large, les cyber-risques sont les consé­quences d’une atteinte au sys­tème d’information ou les effets d’une com­pro­mis­sion des don­nées (sans blo­cage du sys­tème d’information).

Les contrats d’assurance tra­di­tion­nels n’ont pas été conçus pour répondre à ces besoins nou­veaux. Ils excluent même par­fois ce type de risque ! 

Depuis quelques années, des polices d’assurances « cyber » sont donc appa­rues afin de com­bler ces lacunes, mais le risque n’est pas mûr et les contrats dis­tri­bués en France offrent des péri­mètres de cou­ver­ture encore hété­ro­gènes. Ces polices « cyber » peuvent se sub­sti­tuer aux contrats mis en place dans l’entreprise ou venir sim­ple­ment les compléter. 

Mais une bonne assurance des risques cyber de l’entreprise se limite-t-elle seulement à couvrir les cyber-attaques ?

Non, car l’erreur humaine (erreurs de pro­gram­ma­tion, de mani­pu­la­tion…) tout comme cer­tains évè­ne­ment acci­den­tels (dégâts des eaux, incen­die, catas­trophes natu­relles…) peuvent pro­vo­quer des sinistres cyber. C’est pour­quoi un bon contrat cyber pro­tège l’entreprise au-delà des cyber-attaques. 

Des experts peuvent-ils intervenir comme dans les sinistres habituels ?

Cer­tains contrats pro­posent en effet une offre de ser­vices très utile : des experts juri­diques qui gèrent les aspects légaux liés à la crise, des experts tech­niques qui inves­tiguent sur l’incident et tentent d’en limi­ter les effets ain­si que des experts en com­mu­ni­ca­tion qui gèrent les stra­té­gies de com­mu­ni­ca­tion interne et externe. 

Tous ces pres­ta­taires externes peuvent être pris en charge par le contrat d’assurance en cas de sinistre. Une bonne cou­ver­ture des risques cyber passe très sou­vent par la sous­crip­tion d’un contrat sur mesure de type « police cyber ». 

Comment voyez-vous l’avenir de l’assurance des datas ?

J.I. : Le mar­ché de l’assurance des don­nées des entre­prises est encore embryon­naire en France et beau­coup d’acteurs tâtonnent encore sur le sujet. 

Tous les clients ne sont pas bien assu­rés en Res­pon­sa­bi­li­té civile pour les dom­mages qu’ils peuvent cau­ser aux entre­prises avec les­quelles ils sont en rela­tion (trans­mis­sion de virus). 

Comment incitez-vous les groupes à se protéger ?

Les efforts de com­mu­ni­ca­tion de l’État, la pro­gres­sion des sinistres et les évo­lu­tions régle­men­taires (amendes en cas d’absence de mesures de pro­tec­tion suf­fi­santes) devraient conduire les grandes entre­prises fran­çaises à opti­mi­ser leur pré­ven­tion, leur pro­tec­tion et leur pro­gramme d’assurances.

Enfin, la valo­ri­sa­tion des Data grâce aux offres pro­po­sées par Altares (DSure) pour­rait ame­ner les assu­reurs à pro­po­ser des polices cyber sur une base for­fai­taire et non plus indemnitaire. 

Une évo­lu­tion très inté­res­sante pour ce mar­ché à fort poten­tiel pour les assureurs… 


Publicité ALTARES

Poster un commentaire