• Laure Zicry Gras Savoye: "Sarenza, un cas d'école"

    Laure Zicry, Responsable Technique Institutions Financières et Cyber Risks Gras Savoye Willis Spécialités

     

     

    En tant qu'experte sur le marché des Cyberisques, ou situez vous la préoccupation principale des entreprises dans ce domaine ?

     Le sujet principal que j'aborde avec les grandes entreprises est double : les atteintes aux données et les atteintes aux systèmes d’informations. Il existe en effet des solutions d’assurance s’agissant des frais de notification. Ces dernières permettent un dédommagement suite aux frais engagés pour notifier à chaque personne concernée et pour certain contrat, la prise en charge des amendes financière lorsqu’elles sont assurables et qui peuvent être très élevées.

     

     Le levier réglementaire et les coûts des amendes en rapport avec les frais de notification ont modifié les comportements des opérateurs de télécommunication au niveau de leur configuration « sécurisée » de leur système d'information.

    Oui absolument. Ils ont fourni de très gros efforts afin de se maintenir au-delà des standards prévus.

     

    Les autres entreprises non encore soumises à ce cadre définissant les niveaux de sécurité nécessaires en matière de protection des données personnelles ne semblent pas encore totalement impliquées par les solutions de Cyber-assurance liées aux cyber risques contrairement à d'autres pays tels que la Grande Bretagne et l'Allemagne. Pourquoi ?

    Nous ne communiquons pas assez en France d'une part sur ce type de solutions et d'autre part, les exemples de dédommagement manquent à l'appel. En fait, tout est lié à l'approche réglementaire qui décidera ou non d'intégrer les dédommagements de frais de notification. Enfin, beaucoup d'offres de cyber- assureurs sont confondues avec des contrats existants qui « prendraient en charge » certains frais que nous couvrons. Hors ça n’est pas exact.

     

    Pourquoi est ce faux ?

    Les cyber assureurs demeurent les seuls en tant que professionnels des risques et cyber risques a intégrer des mesures spécifiques liées à la garantie des patrimoines immatériels mais aussi offrir des services réels tels que les dommages immatériels et les conséquences de la violation de la confidentialité des données. Il faut noter également une tendance forte : de plus en plus de clients demandent à leurs fournisseurs de disposer d'un contrat Cyber Risques en tant que fournisseurs.

     

    Croyez-vous à un rapprochement entre fournisseurs, éditeurs, intégrateurs et cyber-assureurs pour offrir une solution technologique-services aux grand comptes ?

    C'est envisageable à la condition sine qua non que les cyber-assureurs ne se retrouvent pas dépendants d'un seul acteur du marché.

     

     Que doit prévoir une police d'assurance cyber risques selon vous ?

    Une police « cyber assurance » classique est un contrat combinant des garanties Dommages et des garanties Responsabilité Civile, le tout allié avec des services d’assistance et de gestion de crise. Entre autres, nous retrouvons les garanties suivantes : les frais liés à ceux engagés pour aviser les personnes dont les données personnelles ont été perdues ou compromises, les frais engagés pour fournir des services de suivi de crédit (ou des services de protection de données analogues), les frais associés à des mises en cause au motif d’une Violation de sécurité ou d’une perte de Données personnelles, y compris les frais de litiges et de règlement, et les frais d’enquête, d’exécution ou autres tels que coûts inhérents aux agences de communication en cas de crise et d’atteinte à l'image (entreprise et dirigeants) et enfin les honoraires des cabinets d'avocats.

     

     Vous citez l'exemple du chausseur Sarenza qui suite à une cyber-attaque sur un fichier client (avec traçabilité pour remonter aux cyber-attaquants) s'est vu dédommagée et condamnée en même temps. Ce paradoxe constitue-t-il un bon exemple ?

     Oui parce qu'il démontre la complexité des mécanismes liés à la cyber-sécurité des données clients. Dans le cas cité, Sarenza a obtenu la condamnation des responsables de la cyber-attaques par le TGI de Paris à une hauteur de 100 000 euros mais le même tribunal a pris une autre décision. Le tribunal a estimé que la société était responsable de son propre préjudice à hauteur de 30% en raison de son « manque de rigueur » dans la gestion des identifiants. Je rappelle que Sarenza édite un site de e-commerce et gère un fichier de 4,7 millions d'adresses électroniques de clients et prospects.

     

     A combien estimez-vous la coût de la notification d'une donnée au sens que lui donne les cyber-assureurs, autrement dit un ensemble d'informations liées à un article, un client, un compte bancaire... ?

    Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

    Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


    Pour suivre la VEILLE CYBER BUSINESS RISK DE CYBERISQUES.COM:

    BV-2015-BON-DE-COMMANDE-CYBERISQUES

    Rappels:

    Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

    Evolutions Business impact:

    - 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

    Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

    - 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

    - En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

    Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

    Evolution Cadre réglementaire:

    OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

    Evolution Données et Cyberassurance :

    La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

    Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
    - dans le secteur des Technologies, Médias, Télécom (TMT)
    - le secteur financier et des banques (en appui des régulations Bale et Sovency)
    - le secteur de la dématérialisation (public, privé)
    - le secteur industriel (M2M, SCADA)
    - les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

    Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

    Evolutions de la perception des cyber-risques, le facteur humain:

    Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

    CYBERISQUES.COM premier service de Veille Cyber Business Risk pour COMEX et IT Managers

     

     

    BONUS : Exemples d’Obligations contractuelles

     

    "X souscrira, à ses frais, une police d’assurance couvrant tous les frais de X, y compris les dommages et intérêts qu’elle est obligée de verser à Y ou à un quelconque tiers, associés à toute Violation de sécurité (conformément à la définition visée ci-après) ou perte de Données personnelles, quelle qu’en soit la cause (y compris, de manière énonciative mais non limitative, une négligence ou une faute lourde de X et un acte illicite d’un tiers).

     

    Cette police d’assurance couvrira, entre autres, les frais suivants :

     

    (a) frais engagés pour aviser les personnes dont les Données personnelles ont été perdues ou compromises,

    (b) frais engagés pour fournir des services de suivi de crédit (ou des services de protection de données analogues) et des services de rétablissement de crédit aux personnes dont les Données personnelles ont été perdues ou compromises,

    (c) frais associés à des mises en cause au motif d’une Violation de sécurité ou d’une perte de Données personnelles, y compris les frais de litiges et de règlement, et

    (d) frais d’enquête, d’exécution ou autres.

     

    La couverture d’assurance sera plafonnée à 10 000 000,00 $ (dix millions de dollars).

     

    Dans la présente Section, « Violation de sécurité » désigne

    (1) toute situation au cours de laquelle X néglige de manipuler, gérer, stocker, détruire ou contrôler dûment ou divulgue sans autorisation

    (a) des Données personnelles sous n’importe quel format ou

    (b) des informations professionnelles tierces sous n’importe quel format spécifiquement qualifiées de confidentielles et protégées en vertu d’un contrat de confidentialité ou autre convention analogue,

    (2) une violation accidentelle de la politique de confidentialité de X ou une appropriation accidentelle induisant une violation de toute loi ou réglementation applicable en matière de confidentialité des données ou

    (3) tout(e) autre acte, erreur ou omission de X risquant raisonnablement de donner lieu à une divulgation non autorisée de Données personnelles (ou pouvant raisonnablement laisser croire qu’il y a eu divulgation non autorisée).

     

    Cette assurance doit :

    (a) nommer Y comme assuré additionnel au regard de l’intérêt assurable de Y,

    (b) être de première ligne ou non contributive au regard des dommages ou frais assurés et

    (c) être souscrite

    (i) soit auprès d’assureurs domiciliés aux États-Unis et ayant une note d’au moins A- attribuée par A.M. Best et une note financière d’au moins 7,

    (ii) soit auprès d’assureurs non américains ayant une note d’au moins BBB attribuée par Standard & Poor et

    Sur demande de Y, X remettra à Y une ou plusieurs attestation(s) d’assurance afin qu’il s’assure du respect des dispositions de la présente Section."

     

    http://www.google.fr/imgres?sa=X&rlz=1C1CHWR_frFR555FR555&espv=210&es_sm=93&biw=1600&bih=799&tbm=isch&tbnid=wr_jA6ZV3olYYM:&imgrefurl=http://www.grassavoye.fr/fichiers/site_corporate/mediatheque/publications/GRAS%2520SAVOYE%2520BROCHURES_CYBER%2520RISKS.pdf&docid=xuZEm5NREHYAWM&imgurl=x-raw-image:///89de55a603e3bfc2a466af7f5e650d6225d84ef80eb64b5ee6aa579d0623e258&w=750&h=381&ei=Cv1XUp2cBonB0gXv2ICIBw&zoom=1&iact=hc&vpx=514&vpy=212&dur=105&hovh=160&hovw=315&tx=125&ty=53&page=1&tbnh=140&tbnw=276&start=0&ndsp=7&ved=1t:429,r:4,s:0,i:94

     

     

    Nombre d'articles :
    72
  • CYBER RISQUES FAITS&CHIFFRES
    Nombre d'articles :
    2
  • CYBER RISQUES IDEES
    Nombre d'articles :
    3
  • BUSINESS RISK
    Nombre d'articles :
    15
  • CYBER RISQUES ENTREPRISES & ORGANISATIONS
    Nombre d'articles :
    1
  • CONFORMITE REGLEMENTAIRE
    Nombre d'articles :
    10
  • CYBER RISQUES SOLUTIONS
    Nombre d'articles :
    3
  • INDEMNISATIONS & CONTRATS
    Nombre d'articles :
    1
  • Mots-clés 1 Cyber Risques
    Nombre d'articles :
    50
  • Mots-clés 2 Jurisprudence

    Financement des risques / les préconisations de Gras Savoye Willis Spécialités, courtier

    Laure Zicry, Responsable Technique Institutions Financières et Cyber Risks Gras Savoye Willis Spécialités

     

    En tant qu'experte sur le marché des Cyber Rsques, ou situez vous la préoccupation principale des entreprises dans ce domaine ?

    Le sujet principal que j'aborde avec les grandes entreprises est double : les atteintes aux données et les atteintes aux systèmes d’informations. Il existe en effet des solutions d’assurance s’agissant des frais de notification. Ces dernières permettent un dédommagement suite aux frais engagés pour notifier à chaque personne concernée et pour certain contrat, la prise en charge des amendes financière lorsqu’elles sont assurables et qui peuvent être très élevées.

    Le levier réglementaire et les coûts des amendes en rapport avec les frais de notification ont-ils modifié les comportements des opérateurs de télécommunication au niveau de leur configuration « sécurisée » de leur système d'information ?

    Oui absolument. Ils ont fourni de très gros efforts afin de se maintenir au-delà des standards prévus.

    Les autres entreprises non encore soumises à ce cadre définissant les niveaux de sécurité nécessaires en matière de protection des données personnelles ne semblent pas encore totalement impliquées par les solutions de Cyber-assurance liées aux cyber risques contrairement à d'autres pays tels que la Grande Bretagne et l'Allemagne. Pourquoi ?

    Nous ne communiquons pas assez en France d'une part sur ce type de solutions et d'autre part, les exemples de dédommagement manquent à l'appel. En fait, tout est lié à l'approche réglementaire qui décidera ou non d'intégrer les dédommagements de frais de notification. Enfin, beaucoup d'offres de cyber-assureurs sont confondues avec des contrats existants qui « prendraient en charge » certains frais que nous couvrons. Hors ça n’est pas exact.

    Pourquoi est ce inexact ?

    Les cyber assureurs demeurent les seuls en tant que professionnels des risques et cyber risques a intégrer des mesures spécifiques liées à la garantie des patrimoines immatériels mais aussi offrir des services réels tels que les dommages immatériels et les conséquences de la violation de la confidentialité des données. Il faut noter également une tendance forte : de plus en plus de clients demandent à leurs fournisseurs de disposer d'un contrat Cyber Risques en tant que fournisseurs.

    Croyez-vous à un rapprochement entre fournisseurs, éditeurs, intégrateurs et cyber-assureurs pour offrir une solution technologique-services aux grand comptes ?

    C'est envisageable à la condition sine qua non que les cyber-assureurs ne se retrouvent pas dépendants d'un seul acteur du marché.

    Que doit prévoir une police d'assurance cyber risques selon vous ?

    Une police « cyber assurance » classique est un contrat combinant des garanties Dommages et des garanties Responsabilité Civile, le tout allié avec des services d’assistance et de gestion de crise. Entre autres, nous retrouvons les garanties suivantes : les frais liés à ceux engagés pour aviser les personnes dont les données personnelles ont été perdues ou compromises, les frais engagés pour fournir des services de suivi de crédit (ou des services de protection de données analogues), les frais associés à des mises en cause au motif d’une Violation de sécurité ou d’une perte de Données personnelles, y compris les frais de litiges et de règlement, et les frais d’enquête, d’exécution ou autres tels que coûts inhérents aux agences de communication en cas de crise et d’atteinte à l'image (entreprise et dirigeants) et enfin les honoraires des cabinets d'avocats.

    Vous citez l'exemple du chausseur Sarenza qui suite à une cyber-attaque sur un fichier client (avec traçabilité pour remonter aux cyber-attaquants) s'est vu dédommagée et condamnée en même temps. Ce paradoxe constitue-t-il un bon exemple ?

    Oui parce qu'il démontre la complexité des mécanismes liés à la cyber-sécurité des données clients. Dans le cas cité, Sarenza a obtenu la condamnation des responsables de la cyber-attaques par le TGI de Paris à une hauteur de 100 000 euros mais le même tribunal a pris une autre décision. Le tribunal a estimé que la société était responsable de son propre préjudice à hauteur de 30% en raison de son « manque de rigueur » dans la gestion des identifiants. Je rappelle que Sarenza édite un site de e-commerce et gère un fichier de 4,7 millions d'adresses électroniques de clients et prospects.

    Quelles spécificités le courtier Gras Savoye Willis propose en matière de solution de polices « cyber risques » ?

    Notre approche est double. La première, qui est essentiel, c'est que nous proposons un audit qui a vocation à identifier si dans les contrats d’assurance déjà souscrit par le client, des couvertures peuvent répondre à un cyber risque. Nous établissons un tableau de concordance est un système de feux rouge ou verts en fonction des couvertures déjà en place. L'autre spécificité tient dans la cartographie des cyber risques très claire avec un audit des cyber risques. La deuxième approche consiste à proposer une stratégie de placement du contrat Cyber, soit en couverture spécifique soit en excédent des contrats existants. Ce que l'on pourrait qualifier « d'excédent de polices cyber » par rapport à des polices plus « classiques ». Nous préconisons de sélectionner des contrats d’assurance qui couvre les frais de volontaires car le règlement Européen n’entrera en vigueur qu’au 1er janvier 2016, or à mon sens, l’assurance Cyber risques étant une protection de la réputation et du bilan, il ne faut pas attendre d’avoir des normes contraignantes pour bien protéger son entreprise.

    Propos recueillis par Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

     

    Nombre d'articles :
    3
  • Mots-clés 3 Violation Données
    Nombre d'articles :
    17
  • Mots-clés 4 CNIL
    Nombre d'articles :
    6
  • Mots-clés 5 Conformité
    Nombre d'articles :
    22
  • Mots-clés 6 Normalisation
    Nombre d'articles :
    5
  • Mots-clés 7 Services
    Nombre d'articles :
    31
  • Mots-clés 8 Cyber Assurance
    Nombre d'articles :
    19
  • Mots-clés 9 Banques
    Nombre d'articles :
    2
  • Mots-clés 10 Opérateur Infra. Crit. (OIC)
    Nombre d'articles :
    1
  • Mots-clés 11 Opérateurs Infra. Vitales (OIV)
    Nombre d'articles :
    7
  • Mots-clés 12 Indust. SCADA
    Nombre d'articles :
    12
  • Mots-clés 13 E-Commerce
    Nombre d'articles :
    2
  • Mots-clés 14 Risk Managers
    Nombre d'articles :
    14
  • Mots-clés 15 Direction Générale
    Nombre d'articles :
    38
  • Mots-clés 16 Risk Management
    Nombre d'articles :
    13
  • Mots-clés 17 Data Breach
    Nombre d'articles :
    23
  • Mots-clés 18 Dommages
    Nombre d'articles :
    7
  • Mots-clés 19 Pertes d'Exploitation
    Nombre d'articles :
    5
  • Mots-clés 22 Cyber Extorsions
    Nombre d'articles :
    7
  • Mots-clés 23 Confidentialité
    Nombre d'articles :
    10
  • Mots-clés 24 Dommages
    Nombre d'articles :
    4
  • Mots-clés 26 Indisponibilité
    Nombre d'articles :
    4
  • Mots-clés 28 Audit
    Nombre d'articles :
    3
  • Mots-clés 29 Juridique / Avocat
    Nombre d'articles :
    1
  • Mots-clés 30 Reglementation
    Nombre d'articles :
    14
  • Mots-clés 32 Externalisation
    Nombre d'articles :
    8
  • Mots-clés 33 Sinistres
    Nombre d'articles :
    2
  • Mots-clés 34 Business Risk
    Nombre d'articles :
    20
  • Mots-clés 35 Patrimoine informationnel
    Nombre d'articles :
    5
  • Mots-clés 36 ANSSI
    Nombre d'articles :
    1
  • Mots-clés 37 Produits certifiés
    Nombre d'articles :
    4
  • Mots-clés 38 Reco. / Guides
    Nombre d'articles :
    4
  • Mots-clés 39 Prestataires de confiance
    Nombre d'articles :
    11
  • Mots-clés 40 Financement / cyber risque
    Nombre d'articles :
    5
  • BON de COMMANDE

    Renseignements: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

     

    Nombre d'articles :
    1

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires