L'assurance du risque "Cyber"
Toutes les entreprises, quelques soient leur taille et leur activité, gère des données. Celles-ci sont aujourd’hui sous plus haute surveillance que par le passé depuis la mise en place du RGPD (voir article RGPD). Bien souvent, ces données sont cruciales pour le bon fonctionnement de votre entreprise. Or le développement et la diversification de la cybercriminalité est en hausse exponentielle depuis quelques années (voir article risques cyber)
Que couvre un contrat « cyber » ?
Lorsque vous subissez une cyber attaque, quelle qu’en soit la nature, vous ne savez souvent pas comment réagir. Même si votre entreprise est dotée d’un service informatique interne ou si vous avez toute confiance en les compétences de votre prestataire externe, il n’en reste pas moins que cette situation requiert de l’expérience si l’on veut tout de suite avoir les bons gestes, donnez les bonnes informations aux informaticiens ou les bonnes instructions au prestataire. Ainsi, la première de toutes les garanties est l’assistance 24h/24 et 7j/7. Un réseau d’expert interviendra immédiatement pour vous accompagner dans les gestes de « premiers secours » et ainsi réduire l’impact de votre sinistre. Il continuera à vous suivre, main dans la main avec vos équipes informatiques, jusqu’à la résolution totale de l’incident.
Cependant, la violence et la rapidité de ce genre d’intrusion ne vous permettra pas de ne subir aucun dégâts, le contrat cyber sera donc également là pour les conséquences.
Cependant, la violence et la rapidité de ce genre d’intrusion ne vous permettra pas de ne subir aucun dégâts, le contrat cyber sera donc également là pour les conséquences.
Et quelles peuvent être les conséquences d’une cyber attaque ?
Elles sont très variées. Nous aurons ainsi :
- des conséquences matérielles telles que la destruction des accès aux secteurs de vos disques durs ou même de vos hardwares (serveurs bloqués, etc…) ou le blocage de vos outils de production industrielle. Les données détruites devront également être reconstituées dans la mesure du possible.
- Des conséquences immatérielles telles que l’impossibilité d’accéder à vos fiches clients, à vos logiciels de gestion, vos CRM, vos factures et devis , et donc de grosses difficultés à maintenir votre activité, donc une perte de chiffre d’affaire potentielle qu’il faudra assurer. Le cas le plus flagrant est l’attaque en déni de service sur votre site marchand, empêchant tous vos clients et prospects de se connecter et de passer des commandes…
- des conséquences matérielles telles que la destruction des accès aux secteurs de vos disques durs ou même de vos hardwares (serveurs bloqués, etc…) ou le blocage de vos outils de production industrielle. Les données détruites devront également être reconstituées dans la mesure du possible.
- Des conséquences immatérielles telles que l’impossibilité d’accéder à vos fiches clients, à vos logiciels de gestion, vos CRM, vos factures et devis , et donc de grosses difficultés à maintenir votre activité, donc une perte de chiffre d’affaire potentielle qu’il faudra assurer. Le cas le plus flagrant est l’attaque en déni de service sur votre site marchand, empêchant tous vos clients et prospects de se connecter et de passer des commandes…
Des fraudes, cyber extorsion ou ransonware, des détournements de fonds, etc…
- Des frais de notification imposés par la CNIL pouvant aller jusqu’à la mise en place d’une plateforme téléphonique d’information et un courrier recommandé à l’ensemble des personnes dont vous gardez des données (clients, fournisseurs, salariés,…)
- Des conséquences directes ou indirectes sur votre e-réputation, que ce soit parce que le contenu de votre site est remplacé/modifié ou du fait de la perte de confiance de vos fournisseurs et clients sur la confidentialité de leurs données.
- Des conséquences en responsabilité vis-à-vis de tiers impactés par votre piratage (comme un client pour lequel vous conserviez des données bancaires qui voit son compte débité de manière indue)
- Des frais de notification imposés par la CNIL pouvant aller jusqu’à la mise en place d’une plateforme téléphonique d’information et un courrier recommandé à l’ensemble des personnes dont vous gardez des données (clients, fournisseurs, salariés,…)
- Des conséquences directes ou indirectes sur votre e-réputation, que ce soit parce que le contenu de votre site est remplacé/modifié ou du fait de la perte de confiance de vos fournisseurs et clients sur la confidentialité de leurs données.
- Des conséquences en responsabilité vis-à-vis de tiers impactés par votre piratage (comme un client pour lequel vous conserviez des données bancaires qui voit son compte débité de manière indue)
Quels services doivent inclure les contrats cyber en plus des garanties classiques ?
Comme nous le disions, les premières heures sont primordiales pour bien réagir. Une Hotline 24h/24 et 7j/7 est donc essentielle. Une assistance juridique est également importante car nombreuses peuvent être vos questions sur vos obligations et les risques que vous encourez en conservant des données.
Si le sinistre survient, une cellule de gestion de crise majeure doit pouvoir vous accompagner afin de communiquer correctement et de conserver la confiance de vos clients et fournisseurs, et même de vos propres salariés. C’est également cette cellule qui pourra intervenir (si besoin avec la protection juridique) pour la défense de votre e-réputation.