Pas de semaine ou presque ne se passe sans que les menaces de piratage informatique qui pèsent sur les administrations, les entreprises ou même les particuliers ne soient révélées. Le coût de ces attaques est chaque année plus lourd pour les entreprises affectées. Mais la législation européenne qui se met en place pour mai 2018 viendra renchérir les obligations (et le coût financier en cas d’incident) qui pèsent sur toutes les organisations. Il est temps de faire le point sur ces changements, et sur leur impact potentiel sur les entreprises.
Pourquoi ?
A compter de mai 2018, c’est-à-dire demain en termes opérationnels, en cas d’atteintes aux données personnelles, l’obligation de notification à la Commission Nationale de l’Informatique et des Libertés (CNIL) sera étendue à l’ensemble des entreprises ayant des activités de traitement de données à caractère personnel. Or les entreprises même les plus petites détiennent des données personnelles.
En cas d’atteinte au système d’information, les opérateurs d’importance vitale (OIV) doivent déjà notifier l’incident auprès du Premier Ministre et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette obligation sera étendue aux entreprises qualifiées « d’opérateur de services essentiels » ou de « fournisseur de services numériques », ce qui multiplie le nombre de structures concernées (dans le cadre de la Directive NIS du 06/07/2016).
Des coûts immédiats, et des coûts induits
Les coûts engendrés par l’obligation de notification à chaque personne dont les données auront été compromises constituent déjà un impact financier. Il est essentiel de prendre en compte dès à présent ces nouvelles obligations. Les contrats d’assurance peuvent couvrir ces frais. Plus important, ils prévoient aussi une véritable assistance de crise ainsi qu’un volet responsabilité civile et Pertes d’Exploitation.
Des actions de prévention pour limiter les incidents, et leurs conséquences
70% des cyber-attaques sont déclenchées par un facteur humain
Au-delà de cette mise en conformité à la future réglementation européenne, il convient de noter que 70% des cyber-attaques sont déclenchées par un facteur humain. Qu’ils soient de nature malveillante ou imputable à une erreur, ces risques humains peuvent être limités par une prévention et une formation adéquates. Ces précautions ont également un effet bénéfique sur les tentatives de fraude et de cyber extorsion.
Parce que toutes les entreprises, quelle que soit leur taille et leur domaine d’activité sont concernées, la Fédération Française de l’Assurance (FFA) édite un guide pratique qui répond à toutes les questions sur la réglementation, les couvertures offertes par chaque type de contrat (RC, Dommages aux biens et Cyber), et des conseils pratiques pour bien réagir en cas d’incident. Ce document intitulé “Anticiper et minimiser l’impact d’un cyber risque sur votre entreprise” est à la disposition de chaque dirigeant pour faire un auto-diagnostic et entamer une réflexion sur les enjeux des cyber-risques.
Pour accéder au rapport dans sa totalité :
Spécialiste des lignes financières depuis plus de 15 ans, Laure Zicry, avocate de formation est spécialiste du transfert à l’assurance des risques Cyber, tant pour les PME que pour les groupes du CAC 40. Laure a développé l’offre Cyber de Gras Savoye Willis Towers Watson en sa qualité de practice leader.
