La protection des données informatiques d’une entreprise : un défi à relever ?

Ces dernières années, les cyberattaques sont les nouveaux fléaux des entreprises. Ce qui a conduit les  assureurs à proposer des polices complémentaires aux contrats classiques.

 

D’après le rapport Risk Value 2016 publié en janvier, les cyberattaques coûtent en moyenne 773 000 euros pour une société.  Un chiffre à nuancer, car le coût est relatif à la nature du dommage subi. A cela s’ajoute le respect des  réglementations (surtout européennes) qui les oblige à préserver des cyberattaques leurs données ainsi que celles de leurs clients et fournisseurs.

 

Un secteur qui intéresse les assureurs

Face à la mutation numérique de notre société, les assureurs doivent faire preuve d’adaptation afin de ne pas laisser passer le marché que cela représente. Certains d’entre eux mettent ainsi à disposition des contrats spécialisés, complémentaires des polices classiques et n’incluant globalement pas les dégâts immatériels. Les responsabilités civiles ne tiennent pas compte dans la plupart des cas de la perte et la divulgation de données personnelles, ainsi que les dommages dus à la contamination informatique par l’entreprise souscriptrice.

 

Par exemple, dans l’Hexagone, les assurances proposées par AIG, Allianz, Axa ou Chubb, sont calquées sur celles des Américains dans les années 2000. Le prix est fonction de paramètres comme la taille de l’entreprise ou les données à assurer. Les assureurs les évaluent en modélisant les risques avec les éléments d’information ressortant des questionnaires effectués par des prospects. La sensibilité des bases de données et leur risque d’attaque sont proportionnels à leur taille. D’après le professeur en  sciences économiques Ali Jaghdam: “souscrire une assurance se révèle surtout pertinent pour une attaque informatique rare et de forte intensité. Concernant les sinistres de fréquence qui arrivent souvent et sont de faible gravité, l’entreprise a intérêt plutôt à agir de manière proactive. Les données des cabinets d’avocat et les cabinets d’expertise comptable sont parmi les plus délicats.

 

Etre un partenaire au moment des crises

Une société qui souscrit une cyber-assurance se doit de négocier les points de son contrat. Les conditions peuvent être adaptées selon le secteur d’activité (santé, communication, finance…) Une assurance idéale inclura en même temps une protection contre une éventuelle perte et un accompagnement dans la gestion de crise. Les contrats comprennent de ce fait la mise à disposition de personnels techniques, juridiques, de négociation et de relations publiques. Leur coût représente généralement 50% de l’indemnité.

 

Ali Jaghdam recommande alors “de faire la distinction entre malveillance et négligence, et vérifier la définition retenue des prestataires de services informatiques, avant de choisir un contrat “. A retenir que le code des assurances donne la possibilité de ne pas considérer le vice propre de la chose assurée, c’est-à-dire que la fausse manipulation d’un logiciel à son démarrage empêche de faire valoir l’assurance.

 

 

 

Vers la mise en place d’un dispositif national

Il faut aussi avoir à l’esprit qu’on ne peut bénéficier d’une indemnisation qu’à la seule condition de la présentation de preuves précises du préjudice subi. D’après la jurisprudence, il est obligatoire que les fichiers présentent une valeur marchande ou une importance déterminante. Par-dessus tout, le gouvernement français a fait connaître son projet de dispositif national pour aider les victimes de cyber-malveillance prévue pour 2016. Un sondage  publié en janvier 2016 a permis de savoir que près de 40% des entreprises pensent souscrire une assurance contre les cyberattaques.