Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 379
Diriez-vous à l'instar, de Jean-Laurent Santoni, que votre
métier c'est la gestion du risque informationnel ?
Nous avons intégré dans la police RC un volet de gestion de crise,
déconnecté de l'existence d'un préjudice. Nous l'avons fait évoluer
il y a deux ans. Et on vient de lancer une police cyber rédigée par
nos soins, donc un texte « courtier », pour les membres du Syntec
numérique qui auront un besoin spécifique sur les cyberisques ou
qui auront besoin de garanties importantes de par leur montant.
Jean-Laurent Santoni est un ami et un confrère. Nous échangeons
sur les problématiques d'assurance, nous collaborons et avons
même des projets communs. Je parlerais de risque numérique
qui englobe le risque informationnel. Nous aidons nos clients
à gérer leurs risques, à traiter les questions et à les anticiper.
Dans le courtage d'assurance, nous avons plusieurs particularités.
Le big data représente une aide formidable pour les
D'abord, nous sommes spécialisés dans le numérique. Ensuite,
assureurs. On se dirige vers une assurance hyper
nous écrivons nos polices d'assurance et nous les plaçons auprès
personnalisée, avec la donnée personnelle plus que
d'assureurs. Quand un courtier écrit une police, il le fait pour
jamais au cœur des risques. En tant qu'assureur
son client. Les polices du Syntec ont été rédigées par Neotech
qu'attendez-vous du futur règlement européen ?
et non par l'assureur. Comme par exemple celle relative aux
Il représente une opportunité car les notifications d'atteinte
cyberisques.
aux données personnelles vont concerner tout le monde, et pas
Nous sommes là pour conseiller les clients, les aider à évaluer leurs
seulement les opérateurs de communications électroniques. C'est
risques et à les placer en fonction du cahier des charges qu'ils
un risque assurable. Si ça ne va pas empêcher les atteintes, cela va
nous donnent. Suivant ses priorités,
obliger les entreprises à se poser des
prix ou garanties, avec une grille
questions. Aujourd'hui, en dehors
de risques, le client choisit ce qui est
des entreprises soumises à l'Arcep,
« Les assurés prestataires
ou non indispensable. Par exemple,
informatiques doivent faire attention les autres ne sont pas obligées de
notifier les atteintes subies. Ce qui ne
s'il estime que l'obligation de résultat
car de nombreuses polices d'assurance les empêche pas de le faire quand
est fondamentale, si notre texte
ont des exclusions de garantie qui
même ou d'être assurées pour
la couvre et pas celui d'un assureur,
ne sont pas adaptées aux méthodes
cela. Quand ce sera obligatoire de
il choisira le nôtre. Et à qualité égale,
notifier pour tous, il serait bon d'être
il prendra bien sûr la moins chère.
Agile. »
assuré. D'autant que tout le monde
Notre particularité en tant que
est victime de failles de sécurité, et
conseil,
c'est
l'expertise
en
tout le monde subira des atteintes aux données. La question est
informatique. Nous essayons toujours d'écrire nos propres polices.
de savoir quand. Il faut donc être prêt et avoir des outils de gestion
C'est long mais c'est du travail qualitatif et évolutif. En gérant
de crise.
les sinistres, on prend en compte de nouveaux types de risques.
En dehors de l'évolution relative au passage de grand
projet d'intégration au SaaS, qu'est-ce qui change en
matière d'assurance ?
L'essor des cyberisques ainsi que l'évolution de la gestion des
sinistres qui devient de la gestion de crise. On compte trois
grandes familles de cyberisques. Il y a d'abord ceux qui touchent
aux données et systèmes de l'assuré. S'il est victime d'une atteinte,
il faut rechercher la cause, décontaminer, reconstituer, réparer
une perte d'exploitation en cas de déni de service, etc. Certaines
polices dommages prennent ces risques en compte, d'autres
non. Le second volet porte sur la responsabilité de l'assuré. Les
atteintes d'un système ou des données causent un préjudice à un
tiers. Un pirate utilise la puissance informatique de l'assuré pour
lancer des attaques. Lors de l'enquête, on trouve son adresse IP.
On peut aussi imaginer le cas d'un prestataire qui héberge des
données de santé ou bancaires. A cause d'une faille de sécurité
dans le système, les données sont rendues publiques. L'hébergeur
est donc responsable à l'égard des titulaires des données. Si le
contrat d'assurance de responsabilité civile ne couvre pas ce
risque, il faut prendre une police cyber risques. Le troisième volet
porte sur la gestion de crise. On peut être victime d'une atteinte
qui peut potentiellement engager notre responsabilité, mais si un
tiers n'a pas de préjudice, la police RC ne jouera pas. Si on n'a
pas de volet de gestion de crise, déconnecté de l'existence d'un
préjudice, le risque ne sera pas pris en charge. Le programme
d'assurance du Syntec couvrait déjà les cyberisques sur le volet
Responsabilité civile et sur le volet de Dommages aux biens.
On a vu la nécessité d'une bonne gestion de crise avec
l'attaque de Sony.
Sony, de par sa taille, n'est pas un exemple représentatif. L'enjeu
des cyberisques en France se situe au niveau des PME. Les
grands comptes vont s'équiper, ils ont les moyens de s'entourer
des meilleurs consultants en gestion de crise et de s'assurer.
Or, les PME ne sont pas assurées.
Les salariés sont amenés à utiliser leurs propres outils,
les byod, dans l'entreprise ou d'utiliser le matériel de
l'entreprise pour leur usage personnel. Comment gèret-on ce risque ?
Dans nos polices, ce risque n'est pas exclu. Quand on audite une
police d'assurance, il faut intégrer ces éléments et lister tous les
risques.
Les entreprises sont également fragilisées du fait qu'elles
recourent de plus en plus au cloud.
Oui, ce sont des risques opérationnels pour les utilisateurs.
Les éditeurs qui sont en mode SaaS ont une partie de leurs assets
qui sont externalisés. En cas d'une panne de télécommunication,
ils sont bloqués. Nous devenons dépendants des autres. Nous
aurons de plus en plus de garanties qui vont couvrir les dommages
immatériels et indirectes car il n'y aura pas forcément d'atteinte à
des éléments tangibles, sauf que l'entreprise ne pourra pas avoir
accès à ses données et sera bloquée, alors que rien n'aura été
endommagé. Il faut avoir une police d'assurance qui couvre les
dommages indirects sans qu'il y ait de dommages directs.
EXPERTISES NOVEMBRE 2015
379
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407
Couverture
Sommaire
MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 372
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 374
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 378
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 381
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 385
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 388
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 395
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 401
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 402
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 403
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 404
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 405
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 406
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com