Assurance cyber : à quels besoins peuvent-elles répondre ?
La multiplication des cyberattaques n’est plus un secret pour personne. Si le nombre de cyberattaques augmente d’année en année, l’année 2020 a été tout simplement explosive.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a notamment indiqué avoir traité 192 attaques par rançongiciel en 2020, contre 54 en 2019. 4 fois plus donc ! Pour rappel, l’ANSSI n’intervient que pour les attaques ayant lieu contre l’Etat, ses administrations et certains opérateurs spécifiques.
Le magazine IT souligne par ailleurs qu’à l’échelle mondiale il y a eu plus de 1450 cas d’attaques par rançongiciels en 2020.
Les faiblesses exploitées par les attaquants font légion : manque de formation des équipes en matière de risques cyber, non-respect de l’hygiène informatique et généralisation du télétravail en 2020. Les pertes financières des organismes touchés peuvent être colossales.
La prévention des cyberattaques grâce à la sensibilisation des équipes et au recrutement d’experts en cybersécurité est une bonne pratique à mettre en place en termes de risques cyber.
Mais le risque 0 n’existe pas. C’est pourquoi souscrire à une assurance spécialisée en risques cyber est primordial car la question n’est pas de savoir si vous allez être attaqués mais quand allez-vous être attaqués et comment allez-vous y faire face !
Souscrire à une assurance cyber c’est comme souscrire à une assurance local professionnel, vous y souscrirez même si vous avez déjà mis en place un détecteur de fumée ! C’est indispensable et ce, malgré toutes les bonnes mesures cyber mises en place par le Responsable de sécurité des systèmes d’information (RSSI), le Délégué à la protection des données (DPO) et le Directeur des systèmes d’information (DSI). Grâce à l’assurance cyber, vous pouvez transférer les risques financiers à un tiers et ainsi diminuer l’impact d’une cyberattaque.
Souscrire à une assurance cyber permet de soutenir l’exécution de vos obligations règlementaires (1) mais également de protéger votre image d’entreprise et d’en assurer sa pérennité (2).
1. Soutenir l’exécution de vos obligations règlementaires
L’assurance cyber vous permet de vous aider à remplir vos obligations en matière de cybersécurité des systèmes d’information (1.1) ainsi qu’en matière de sécurité des données personnelles (1.2.). Comme nous le détaillerons par la suite, l’assurance cyber permet de vous faire accompagner par des spécialistes afin de réduire les impacts et de couvrir les frais engendrés par ces incidents de cybersécurité.
1.1. Garantir la cybersécurité des systèmes d’information
Tout organisme doit nécessairement faire preuve de vigilance en matière de cybersécurité et remplir son obligation de sécurité à l’égard de ses employés, clients et partenaires.
De plus, les grandes entreprises ont un devoir particulier de vigilance (loi n°2017-399 du 27 mars 2017). Au terme de ce devoir, elles doivent établir un plan de vigilance permettant d’identifier et de prévenir toutes atteintes graves envers les droits humains et les libertés fondamentales, ainsi qu’envers la santé, la sécurité des personnes et l’environnement, qui résulterait de leurs activités. Or, sans surprise, les risques cyber peuvent causer des atteintes graves envers notamment :
- Les droits humains et libertés fondamentales – exemple : risque d’usurpation d’identité
- La santé – exemple : si le système informatique d’un hôpital ne fonctionne plus
- La sécurité – exemple : sécurité étatique
Dans le cadre de la protection de la santé et de la sécurité, des obligations particulières en matière de cybersécurité pèsent également sur :
- les opérateurs d’importance vitale (OIV) – exemple : gestion de l’eau (article R. 1332-1 du Code de la défense)
Le décret du 23 février 2006 définit les activités d’importance vitale comme « un ensemble d’activités, essentielles et difficilement substituables ou remplaçables, concourant à un même objectif ou visant à produire et à distribuer des biens ou des services indispensables ».
- les opérateurs de services essentiels (OSE) – exemple : fournisseur d’électricité (article 5 de la loi 2018-133 du 26 février 2018)
Ils sont définis par la loi du 26 février 2018 comme :
« opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services. »
- les fournisseurs de service numérique (FSN) – exemples : moteur de recherche en ligne, place de marché en ligne, service cloud (article 10 de la loi 2018-133 du 26 février 2018)
En cas d’incident de sécurité, ces organismes ont pour obligation de faire une déclaration à l’ANSSI (article L1332-6-2 du Code de la défense pour les OIV ; arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des OSE et FSN).
La spécificité des obligations renforcées de cybersécurité pesant sur les OIV, OSE et FSN met à leur charge un risque financier très élevé. Une assurance cyber est donc d’autant plus importante pour eux puisqu’elle pourra prendre pour partie le relai en matière d’impact financier et leur permettra de s’entourer d’experts pour un coût réduit.
Outre la sécurité des systèmes d’information, une obligation de sécurité vise plus particulièrement la protection des données personnelles contenues dans ces systèmes (1.2.).
1.2. Garantir le respect de l’obligation de sécurité en matière de données personnelles
Tout organisme traitant des données personnelles doit garantir la sécurité des données personnelles qu’il traite en les protégeant d’un traitement non autorisé ou illicite. Cet organisme doit également lutter contre toute perte, destruction ou dégât d’origine accidentelle portant atteinte aux données. Pour ce faire, l’organisme doit mettre en place toutes les mesures techniques et organisationnelles appropriées (article 5 f) Règlement européen sur la protection des données 2016/679 – dit RGPD ; article 32 du RGPD).
Les sanctions en cas de manquement à l’obligation de sécurité sont doubles :
(i) Au regard du RGPD : tout organisme contrevenant risque une amende de 2 à 4% de son chiffre d’affaires annuel mondial consolidé ou 10 à 20 millions d’euros d’amende selon si la violation de l’obligation de sécurité s’accompagne d’autres manquements (article 83 RGPD).
Dans ce cadre, la CNIL a récemment sanctionné un responsable de traitement et son sous-traitant à des amendes de 150 000 euros et 75 000 euros pour ne pas avoir pris les mesures nécessaires pour faire face à des attaques par bourrage d’identifiants (credential stuffing) ayant eu lieu sur le site internet du responsable de traitement.
L’attaque par bourrage d’identifiants est une cyberattaque par laquelle des listes d’identifiants, avec mots de passe associés, sont subtilisées. L’attaquant va utiliser ces données via des robots afin de cibler des sites peu sécurisés et tenter des connexions en masse. Dans le cas d’espèce, les manquements des deux organismes avaient permis aux attaquants de subtiliser les données de 40 000 personnes.
Les TPE ou professionnels libéraux ne sont pas non plus épargnés des sanctions de la CNIL. La CNIL n’a pas hésité à imposer des amendes de 3000 euros et 6000 euros à deux médecins libéraux en décembre 2020, pour manquement à l’obligation de sécurité en ne protégeant pas suffisamment les données de leurs patients et en ne notifiant pas la violation de données à la CNIL (article 33 RGPD). Dans le cas d’espèce, des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux, étaient librement accessibles sur Internet.
(ii) Au regard du droit pénal français, tant le dirigeant que l’organisme qu’il dirige sont passibles de nombreuses sanctions en cas d’atteinte aux données (articles 226-16 et suivants du Code pénal), notamment :
- En cas de collecte de données par un moyen frauduleux, une personne physique risque jusqu’à cinq (5) ans d’emprisonnement et 300 000 euros d'amende et une personne morale risque jusqu’à 1 500 000 euros d’amende (article 226-18 code pénal).
- En cas d’accès frauduleux à un système de traitement automatisé de données, une personne physique risque jusqu’à trois (3) ans d’emprisonnement et 100 000 euros d'amende et une personne morale risque jusqu’à 500 000 euros d’amende (article 323-1 code pénal) ;
Si l’assurance cyber permet de faire face à vos obligations réglementaires (1) elle permet également de protéger votre image d’entreprise et assurer sa pérennité en prenant en charge les frais financiers liés aux consultations, cyber extorsions et pertes d’exploitation (2).
2. Protéger votre image d’entreprise et assurer sa pérennité
Pour faire face au gouffre financier que représente une cyberattaque, une assurance cyber peut vous permettre de couvrir les frais relatifs aux suites juridiques d’une cyberattaque et frais liés aux consultations de gestion de crise (2.1) mais également les frais relatifs aux cyber extorsions et pertes d’exploitation (2.2.).
2.1. Couvrir vos frais de consultations juridiques et de gestion de crise
Pour faire face à une cyberattaque, vous devrez vous entourer de consultants juridiques, consultants en gestion de crise et consultants en cybersécurité. Or, ces prestations peuvent avoir un cout important. L’assurance cyber vous permet de protéger votre trésorerie et de prendre en charge toutes ces consultations.
· Consultations juridiques
L’assurance cyber peut prendre en charge les frais des consultations juridiques en cas :
- D’atteintes aux données personnelles ou données confidentielles ;
- D’atteinte à la sécurité du système informatique, erreur du système informatique, atteinte à la sécurité du système informatique du prestataire d’externalisation ou incident technique.
Les frais pris en charge peuvent être les suivants :
- Les frais de notification à l’autorité de contrôle ainsi qu’aux personnes concernées en cas de violation des données personnelles nécessitant de telles notifications ;
- Les frais relatifs à la gestion de l’atteinte à la réputation ;
- Les frais de monitoring et de surveillance par suite d’une violation de données personnelles ;
- Les frais d’atténuation de risques.
• Les enquêtes et sanctions des autorités administratives
L’assurance cyber peut prendre en charge :
- Les frais de défense dans le cadre d’une enquête administrative ;
- Les sanctions pécuniaires d’une autorité administrative.
· Gestion des crises
Vous pouvez souscrire à une assurance cyber permettant la prise en charge des frais d’un consultant référent en cas :
- D’atteintes aux données personnelles ou données confidentielles ;
- D’atteintes à la sécurité du système informatique, erreur du système informatique, atteinte à la sécurité du système informatique du prestataire d’externalisation dont un responsable de la société souscriptrice anticipe ou estime qu’elle est susceptible :
- De ternir ou porter atteinte à la réputation de la société souscriptrice ;
- De porter atteinte à l’intégrité des données ;
- D’engager la responsabilité de la société souscriptrice vis-à-vis des tiers.
• La responsabilité civile pour les dommages causés aux tiers
L’assurance cyber peut prendre en charges les couts des dommages indirects causés à des tiers en matière :
- D’atteintes aux données personnelles ou données confidentielles ;
- D’atteintes à la sécurité du système informatique (conséquences pécuniaires et frais de défense) ;
- De manquements à l’obligation de notification aux personnes concernées (conséquences pécuniaires et frais de défense) ;
- D’atteintes aux données personnelles ou données confidentielles résultant d’une faute d’un sous-traitant (conséquences pécuniaires et frais de défense) ;
- D’activités media et numérique imputables à une faute professionnelle (conséquences pécuniaires et frais de défense).
2.2. Couvrir vos frais relatifs aux cyber extorsions et perte d’exploitation
En matière de cyberattaque, il est fréquent qu’un organisme soit victime de cyber extorsion et de perte d’exploitation, c’est pourquoi ces options peuvent être intéressantes en matière de souscription à une assurance cyber.
• La cyber extorsion
L’assurance cyber peut prendre en charge :
- Toutes rançons ou fonds remis en vue de prévenir ou mettre fin à la menace d’extorsion ;
- Tous frais engagés auprès d’un consultant cyber extorsion et d’un traducteur le cas échéant ;
- Tous frais et intérêts d’emprunt contractés auprès d’un établissement de crédit (à condition que le remboursement de l’emprunt ait lieu dans les sept (7) jours suivants le remboursement de la rançon) ;
- Tous frais de déplacement et de séjour durant les négociations avec l’attaquant ;
- Toutes récompenses payées à une personne physique fournissant des informations sur l’extorsion.
Pour rappel, le fait de payer une rançon ne vous permet pas de vous assurer de la restitution des données dérobées. Il est donc conseillé de ne pas payer ces rançons, en effet, le risque d’augmentation des cyberattaques à la suite du paiement de celle-ci est réel.
• La perte d’exploitation
Enfin, l’assurance cyber peut prendre en charge les pertes d’exploitation résultant d’une cyberattaque et relatives :
- A toutes interruptions des systèmes informatiques
- A toutes interruptions des systèmes cloud
- A toutes interruptions du système informatique d’un prestataire externalisé
- Au transfert vers un autre prestataire
Avant de souscrire à une assurance cyber, une analyse de votre contexte est à réaliser afin de s’assurer que celle-ci pourra vous couvrir en cas d’incident de cybersécurité. Pour cela, la première étape est de, en lien avec votre DPO, RSSI ou DSI, délimiter les actifs immatériels que vous détenez via notamment la réalisation d’une cartographie applicative et des données que vous traitez.
La formalisation d’une cartographie des risques et la réalisation d’un audit de vos systèmes d’information vous permettront d’identifier vos zones de fragilités. Celles-ci devront être comblées, notamment en les analysant par rapport aux clauses d’exclusion du contrat d’assurance cyber.
La souscription d’une assurance cyber n’est donc pas une fin en soi mais doit être pensée dans le cadre d’un projet plus large de renforcement de la sécurité de vos systèmes d’information.
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Katia Beider, Avocate, et Justine Cabanis, DPO certifiée, pour le blog La Robe Numérique