Contact
Assurances Entreprises / Assurance Cyber-risques

Assurance Cyber-Risques

L'assurance Cyber couvre les actions malveillantes telles que le piratage informatique, le vol ou les menaces de divulgation de données (cyber-extorsion, chantage), la fraude et le détournement de fonds ou de valeurs.
De plus, de tels "désordres" peuvent engendrer des frais exceptionnels, des pertes d’exploitation, exposer la responsabilité civile de l'entreprise, voire altérer son image...
Face à ces menaces, l'assurance Cyber offre une solution adaptée qui couvre des risques non pris en compte par les assurances classiques Dommages aux Biens, Tous Risques Informatiques, Responsabilité Civile Générale...

A compter du 24/05/2018, un nouveau règlement européen sur la protection des données imposera, à toutes les entreprises, de notifier à l’ensemble de ses clients et prestataires toute perte ou violation de données personnelles.
C’est pourquoi, Le GROUPE ROUGE propose la souscription d’une police d’assurance CYBER-RISQUES garantissant les conséquences des évènements ci-après, non pris en charge par les assurances classiques : Multirisques Locaux / Dommages aux Biens / Tous Risques Informatique / Responsabilité Civile Générale.

 

Les évènements couverts
Interruption de votre système informatique ou du service de Cloud

Il s'agit d'une interruption de votre système informatique suite à :
- Attaque par déni de service [en anglais, Denial of Service Attack (DoS) ou Distributed Denial of Service Attack (DDoS)] 
Attaque menée sur un réseau ou sur Internet visant à rendre indisponible pendant un temps indéterminé les services ou les ressources de l’entreprise. Le mode opératoire consiste à envoyer un très grand nombre de requêtes au serveur de l'entreprise ou à son site Internet afin de les mettre en surcharge, ce qui rend son système informatique inutilisable.
Accès non autorisé 
Accès à votre réseau ou aux informations stockées dans votre réseau effectué de façon non autorisée ou par une personne non autorisée (ancien salarié par exemple).
Infection par virus informatique 
Virus (programme informatique) conçu aux fins de propager et infecter le système informatique de votre entreprise et le rendre défaillant.
Erreur opérationnelle
Interruption ou suspension du service fourni par votre système informatique en cas de négligence, erreur, omission, acte non intentionnel commis par un employé ou un prestataire de service dans l'exploitation de votre système informatique.


  Cyber-extorsion (chantage) 
Après avoir crypté les données de votre entreprise par introduction d'un programme malveillant (ransomware), le hacker vous contraint à lui verser une rançon en échange de la restauration de vos données. Il peut également vous menacer de divulguer des informations confidentielles via le réseau de votre entreprise.
Hameçonnage (phishing) 
Communication électronique prétendant provenir d'une source légitime qui contient un lien vers des sites web se faisant apparaître comme une entité digne de confiance.
Piratage téléphonique 
Utilisation non autorisée de vos équipements de télécommunication (ou de leur bande passante). Les conséquences : une surfacturation téléphonique à votre charge !
Fraude, détournement de fonds (informatique) avec option possible Fraude toutes causes 
Escroquerie, usurpation d'identité, fraude au président…

 

Quels sont les postes indemnisés ?
Les frais d'experts informatique
Il s'agit du coût des experts et des investigations pour confirmer l'atteinte aux données, identifier leur cause, évaluer les possibilités de récupération, faire des recommandations, remettre en marche, restaurer les pare- feux, faciliter le retour à la normale suite à une violation de la sécurité.
Les frais de gestion de crise (Atteinte à la réputation)
Frais de consultants en Relations Publiques suite à une atteinte à la réputation de l'entreprise.
Frais de conseil et de représentation dans le cadre d'une enquête sur la protection des données personnelles.
 La restauration des données informatiques 
Les coûts de récupération et de reconstitution des données.
Les frais supplémentaires 
Frais engagés pour pallier les conséquences de l'indisponibilité du SI (Système d'Information) et /ou du réseau (frais de services ponctuels, location de nouvelles ressources…).
Les frais pour enquête et sanction d'une autorité administrative
Les frais liés à une enquête administrative (notamment la CNIL) ainsi que les amendes et pénalités assurables prononcées par les autorités de protection des données personnelles.
Les frais de notification
En cas de perte ou de violation de données personnelles des clients de l'entreprise (data breach), celle-ci est dans l'obligation de notifier cet événement aux autorités compétentes ainsi qu'à l'ensemble de ses clients. Ce poste de frais, peu connu des entreprises, peut constituer un montant particulièrement élevé en cas de sinistre Cyber.
De plus, cette obligation d'information, qui jusqu'à présent ne pesait que sur les fournisseurs d'accès à internet et les opérateurs de téléphonie, va être étendue à compter du 24 mai 2018 à toutes les entreprises qui traitent des données à caractère personnel (références bancaires notamment).
En cas de non-respect de cette obligation, des sanctions financières peuvent être réclamées par la CNIL.
(1) Règlement européen 2016/679 sur la protection des données – Journal officiel de l’Union Européenne L119 du 4 mai 2016.
La demande de rançon en cas de Cyber-extorsion 
Paiement de la rançon (extorsion) à des tiers qui menacent de divulguer des informations confidentielles. Frais d'experts chargés de rechercher la cause de la menace d'extorsion.
Les pertes d'exploitation 
Garantie nécessaire pour la vente en ligne : perte de résultat suite à interruption du réseau ou attaque par déni de service ou atteinte à la sécurité du réseau.
Vos responsabilités en cas de vol ou destruction des données qui vous sont confiées
Les frais de défense juridique ainsi que les dommages-intérêts réclamés par vos clients/prestataires/ tout tiers en général, notamment en cas de :
perte, destruction, détournement de données de tiers y compris par virus informatique 
divulgation, par un employé de l'entreprise, de données confidentielles 
vol de codes d'accès
vol de matériel informatique contenant des données personnelles.

Exemple de sinistres
Cyber extorsion (Ransomware) dans une association de gestion de maisons de retraite  médicalisées
- Sinistre 
Une association reçoit un email de l’un des EHPAD qu’elle gère lui communiquant des informations financières à regarder d’urgence. Il s’agit en fait d’un faux message, et la pièce jointe est en réalité un logiciel malveillant qui crypte un grand nombre de données du système informatique de l’association, rendant ces dernières totalement inaccessibles. Le pirate informatique réclame, pour débloquer les données, une rançon de 10.000 € qui doit être réglée en "bitcoins"...
- Situation 
Les données sont cryptées : informations médicales, données personnelles des salariés, bulletins de salaires, RIB des salariés…
- Suspects
Inconnus
- Résolution du sinistre / l'équipe de secours 
Un expert informatique et une société spécialisée dans ce type d'incident interviennent pour
    - tenter de débloquer le SI,
    - établir les connexions et les procédures nécessaires au règlement de la rançon (dans l'hypothèse où le système d'information ne serait pas débloqué).
Un expert juridique ainsi qu'un cabinet en communication sont également sollicités.
Intervention d'un expert informatique qui résout l’incident.
- Les garanties sollicitées

Mesures d’urgences Cyber extorsion
Gestion de crise Perte d’exploitation
Responsabilité Civile Enquête et sanction

- Conséquences / coût du sinistre
L'expert réussi à débloquer le système d'Information.
Coût du sinistre :                 15.000 € (frais de consultants et d'experts)
NB : Même si le coût financier de ce sinistre est supérieur au montant de la rançon demandée, l'intervention de l'assurance a permis d'éviter :
- Le paiement de la rançon (à défaut de débloquer le système d’informations, la rançon aurait été payée par l’Assureur)
- les coûts de notification aux résidents et aux ayants droit  
les démarches d'information à la CNIL ainsi que l'enquête et ses conséquences : interrogations sur les données, obligation de modifications quant à leur contenu ou à leur mode de gestion, etc.
une éventuelle sanction de la CNIL

 

Autres exemples de sinistres
  Attaque par déni de service (DDoS) dans une société de service
  Vol de données dans une société de domotique
  Intrusion malveillante - Destruction de données dans une société d'infogérance
  Fraude téléphonique dans une société de maintenance informatique

Pour plus d'informations, n'hésitez pas à contacter nos conseillers :

Consulter les autres volets

24 H

Réponse à votre demande en moins de 24H
Groupe Rouge vous donne la meilleure cotation avec la meilleure garantie

Essayez notre comparateur d’assurances intelligent !

Abonnez vous à
notre newsletter
Recevez chaque mois les dernières informations sur notre groupe et nos produits

Nous contacter
01 53 04 31 40

Courtier en Assurance
Boîte Postale 40660
78826 Paris Cedex 17- France

Siège Social
4, rue Caroline 75017 Paris - France
T: 01 53 04 31 40
F: 01 53 04 31 49
www.grouperouge.fr
contact@grouperouge.fr
Mentions légales - Indices Assurances IARD - Plafond Sécurité Sociale 2017 - ©Groupe Rouge 2017 - Administration
  OK