Assurance : les fiches pratiques pour les DSI

Élaborées par Jean-Laurent Santoni, directeur de Marsh Risk Consulting France, et la CNCC (Chambre nationale des commissaires aux comptes), ces fiches pratiques guident le DSI dans les dédales de l’assurance des risques liés aux technologies de l’information.

1. Responsabilité civile/assurance dommages
Types de fait générateur Types d’atteinte Types de couverture Domaines de garantie possibles Bonnes pratiques
Fait accidentel
  • Les risques directs de l’entreprise : il s’agit de couvrir et de garantir l’infrastructure (l’actif de l’entreprise) contre les préjudices causés par des intrusions, virus, erreurs, vols, attaques…
  • L’assurance dommages : l’assurance dommages couvre les préjudices « classiques » subis par l’entreprise : incendies, accidents matériels, pertes financières induites. Elle doit garantir à la fois l’actif matériel et l’actif immatériel de l’entreprise.
  • La couverture des attaques logiques peut garantir les frais de reconstitution des données,
  • Les frais de restauration d’image peuvent être couverts en cas de détournement d’image,
  • La perte financière induite par une extorsion de fonds conséquence d’une attaque logique,
  • La perte d’exploitation (coûts des publicités, baisse des ventes en ligne notamment) consécutive à une interruption de service.

Sous condition le plus souvent de la réalisation d’un audit de risque préalable

  • Il existe des polices globales d’assurance dommages qui couvrent à la fois les risques matériels et immatériels.
  • Dans le cas contraire, il est nécessaire de renégocier la police ou de souscrire une assurance complémentaire.
Mise en cause de la responsabilité par le tiers lésé
  • Les risques indirects aux tiers : l’assurance responsabilité civile doit couvrir les nouveaux risques liés aux préjudices susceptibles d’être causés aux tiers.La responsabilité civile couvre la responsabilité contractuelle et délictuelle vis-à-vis des tiers.
  • L’assurance responsabilité civile : l’évaluation du risque doit se fonder sur la prise en compte à la fois de l’activité et du vecteur Internet.

- Ainsi, il est évident que les risques encourus par une banque sont différents de ceux d’une agence de voyages, toutes deux proposant leurs services sur Internet.
- En effet, la passation d’ordres boursiers sur le réseau devient un facteur aggravant pour certaines activités financières.
- En revanche, le risque majeur pour une agence de voyages se résume à l’indisponibilité du site.

  • Peuvent être couvertes par l’assurance responsabilité civile les mises en cause de la responsabilité de l’entreprise sous les chefs notamment de :

- diffamation ;
- concurrence déloyale ;
- violation des droits
d’auteur ;
- atteintes à la vie privée ;
- divulgation d’informations
confidentielles ;
- …
Sous condition du respect de l’obligation de surveillance du contenu par l’éditeur du site.

  • La responsabilité civile peut être professionnelle, c’est-à-dire spécifique et adaptée à l’activité de l’entreprise, à la profession.
2. Assurance : les points clés
 Risques et enjeux Assurance et couverture 
 Identifier les nouveaux risques
  • Les risques matériels traditionnels sont liés aux dommages susceptibles d’être causés aux systèmes en tant que machines. Ces risques sont directement évaluables et la transposition des méthodes « traditionnelles » d’évaluation est transposable aux activités sur Internet.
  • Les risques immatériels sont plus difficiles à percevoir. Il s’agit notamment des risques susceptibles d’affecter :

- les biens immatériels de production, que sont les logiciels, les brevets ainsi que le savoir-faire ;
- les biens immatériels qui sont susceptibles de valorisation tels que les fichiers de données, les œuvres, les contrats…
Malgré tout, de nombreux risques liés aux dommages incorporels – l’altération de données, par exemple – qui sont déjà bien évalués par les assureurs nécessitent seulement une transposition au domaine de l’internet.

  • Les assureurs traditionnels n’ont jusque là pas réussi à cerner et estimer la probabilité des aléas propres aux entreprises exerçant leur activité sur Internet. Jusqu’à une période récente, les risques étaient mal appréhendés, voire inconnus. Depuis peu, les offres des assureurs se structurent et s’adaptent à l’assurance des activités sur Internet. En outre, de nouvelles méthodes d’évaluation des risques se développent.
  • Une police « traditionnelle » ne couvre a priori pas une extension de l’activité commerciale sur Internet. La plupart des contrats ont été souscrits à une époque où les risques spécifiques de l’Internet n’étaient pas connus.
    - Il faut donc analyser les risques nouveaux attachés à l’extension de l’activité sur ce nouveau support.
    - Il est en outre nécessaire de vérifier dans les différents contrats – responsabilité civile et dommages – que ces risques sont effectivement couverts par une garantie.
    - En cas de doute, la prudence exige de demander confirmation écrite de la couverture et des garanties.
  • Lorsqu’elles existent, les garanties de dommages immatériels doivent être révisées. En effet, l’ouverture du réseau est un facteur aggravant de risque par rapport à un système informatique isolé, même en réseau étendu. Or, un assuré peut se voir déchu de tout ou partie de ses droits auprès de son assureur au motif de non-déclaration d’aggravation de risques.
  Identifier et évaluer les préjudices
  • Le poids financier de la réalisation des risques augmente :

- les entreprises ne sont désormais plus les seules à être concernées par des attaques ou des pannes ;
- ces sinistres touchent de plus en plus le client final et la mise en œuvre de services payants engage désormais l’entreprise vis-à-vis de ses clients.

  •  Une double couverture est nécessaire pour couvrir deux types de préjudices (voir tableau page ci-contre) :

- La couverture contre les risques directs affectant le patrimoine (matériel ou informationnel) de l’entreprise par le recours à une assurance dommages ;
- La couverture contre les risques induits par la mise en cause par des tiers lésés de la responsabilité de l’entreprise par l’assurance responsabilité civile.

  • Globalement, le poids des pertes indirectes est supérieur à celui des pertes directes (matérielles). La valeur assurée doit tenir compte des préjudices indirects :

- perte d’image ;
- perte de partenaires commerciaux ;
- perte de clients ;
- déni de service ;
- perte de savoir-faire ;
- pertes d’exploitation ;
- condamnation à des dommages et
intérêts…

 • Le chiffrage du préjudice doit tenir compte de la chaîne des risques sériels et de toutes les mises en cause possibles suite à la réalisation d’un évènement générateur de dommage. évaluer l’ampleur du préjudice à indemniser nécessite de prendre en compte les chaînes de flux. L’augmentation des risques sériels induite par la dépendance croissante de l’entreprise à ses systèmes d’information et l’ouverture de ces systèmes se traduit par le risque de mise en cause de la responsabilité de l’entreprise à plusieurs niveaux.
• Prise en compte de la chaîne de flux informationnel. Ainsi la perte, l’endommagement ou la falsification de fichiers de données consécutives à une intrusion, un virus ou toute autre cause pourra entraîner la responsabilité délictuelle de l’entreprise envers les titulaires de ces données. Elle est susceptible d’entraîner une perte d’image, ainsi que des pertes d’exploitation pour le retard dû à la perte d’informations commerciales nécessaires à l’exercice de l’activité.
• Prise en compte des chaînes contractuelles. Un déni de service peut entraîner la mise en cause de la responsabilité contractuelle d’un site de distribution par les fournisseurs. Inversement, sous certaines conditions posées par la loi, la responsabilité du fournisseur d’accès ou de l’hébergeur peut être mise en cause dans le cas de préjudice du site lié à un déni de service de leur fait.
3. Processus d’assurance des risques
Enjeux Risques Bonnes pratiques
La nécessaire prévention en amont
  • L’assurance n’a pas pour vocation de parer à la réalisation de tous les risques. L’entreprise a en charge une sécurisation en amont des installations, des systèmes et de son organisation interne, l’assurance ne couvrant que les risques « résiduels ».
  • Le processus d’identification des risques doit donc s’accompagner de politiques correctives et préventives de sécurisation de l’infrastructure et de l’organisation interne.
L’audit des risques
  • Seront auscultés le système d’information interne, ses protections contre la fraude externe ou les malveillances internes, et les procédures de sauvegarde. En outre, les liens techniques juridiques et contractuels en cas de défaillance d’un prestataire (hébergeur-fournisseur d’accès Internet, opérateur) font l’objet d’une évaluation.
  • Couplés à la mise en œuvre de politiques de sécurité préventives, l’audit et la mise à niveau permettent de rendrent « assurables » de nombreux événements : saturation du réseau opérateur, erreur chez l’hébergeur, pertes financières consécutives à un détournement de code ou à une usurpation d’identité, perte d’image suite à un déni de service…
La détermination des primes
  • Les données chiffrées à prendre en compte sont notamment le nombre de clients, la valeur moyenne d’une transaction ou d’un contrat.
  • Il est recommandé aux jeunes entreprises qui démarrent sur Internet de négocier dès le départ des primes dont la valeur en pourcentage du chiffre d’affaires sera dégressive en fonction de l’augmentation de ce dernier.
  • L’obtention de réductions de primes est souvent conditionnée par l’acceptation des recommandations des assureurs.
4. Assurer les risques directs
Évaluation des risques  Les dommages à définir  Les faits générateurs à identifier  Les préjudices à couvrir
Cibler les domaines touchés par des risques liés à l’usage de l’informatique :

  • la disponibilité des données ;
  • l’intégrité des données ;
  • la confidentialité des données.
  • Les dommages aux matériels électroniques et informatiques utilisés dans le cadre des activités assurées.
  • Les carences de fournisseurs.
  • Les dommages immatériels qui se définissent comme des événements pouvant entraîner des pertes pécuniaires sans atteinte physique à l’outil de production.
  • La fraude :
    - l’escroquerie ;
    - l’abus de confiance ;
    - le faux et usage de faux ;
    - l’utilisation frauduleuse ou délibérée du système informatique de l’assuré en vue de l’altérer (ex : introduction de virus) ou d’en détruire les fonctions ou les données.
  • L’extorsion, le chantage.
  • Le vol sur réseau informatique et le vol de l’information électronique.
 Identifier les causes :

  • les causes accidentelles ;
  • les accidents physiques (feu, eau, foudre, fumée) ;
  • les erreurs : cela concerne les erreurs d’utilisation (introduction de paramètres incorrects pour un traitement, erreur sur le destinataire d’une télétransmission, erreur de fichier traité…) et les erreurs de conception et de réalisation de systèmes ;
  • la malveillance : le vol (de matériel, de logiciels, de données…), le sabotage physique des équipements, les attaques logiques (virus, bombes logiques, cheval de Troie, vers, …), la divulgation d’éléments confidentiels, la fraude…
  • Les frais de reconstitution des informations détruites ou altérées.
  • Les frais supplémentaires d’exploitation.
  • Les pertes d’exploitation.
  • Les pertes indirectes (intérêts débiteurs, intérêts créditeurs, pénalités contractuelles).
  • Les frais de recherche, d’expertise, de décontamination des données infectées.
  • Les pertes de valeurs suite à fraude.