« Avant la souscription d'un contrat d'assurance portant sur l'informatique, il y a nécessairement un audit »
La société Aon est spécialisée dans le conseil et le courtage en assurances. Elle vient de réaliser une étude sur les risques supportés par les sociétés internationales notamment en matière de fraude, dont en particulier la fraude informatique. André Lavallée précise pour nous ce qui peut être assuré en matière de risque informatique et dans quelles conditions.
PublicitéEn matière d'assurances du système d'information, qu'est-ce qui est classiquement couvert ? Dans le cadre des contrats classiques de dommages aux biens, sont couverts les dommages matériels accidentels aux biens assurés (serveurs, matériels informatiques) de type incendie, bris de machine ou inondation. Ces contrats sont principalement sous forme de Tous Risques Sauf avec des exclusions généralement très limitées (guerre civile et étrangère, pénalités, usure ...). Les logiciels courants, comme les logiciels d'exploitation et de bureautique (Windows, Microsoft Office...) sont associés au matériel. Par contre, les logiciels spécifiques ou métier associés à l'exploitation (faisant l'objet de développement spécifique et non encore testés et recettés...) sont généralement exclus. La perte d'exploitation est couverte de façon globale mais pas toujours adaptée à des problématiques spécifiques à l'informatique comme par exemple pour les conséquences pécuniaires d'une pertes de données, par exemple suite à un crash de disque dur. Une telle couverture spécifique a pour principal intérêt de réduire la franchise sur un sinistre et d'étendre le champ d'application de la couverture. Par exemple si un contrat global possède une franchise de un million d'euros, seuil qui ne sera sans doute que rarement atteint en matière informatique, la franchise d'un contrat spécifique peut descendre à 150 000 euros. De la même manière, ces contrats spécifiques permettent de couvrir les conséquences des pertes considérées habituellement par les assureurs comme non-accidentelles, par exemple les erreurs humaines de saisies ou de destruction de données. Par ailleurs, plusieurs types de dommages au système d'information sont exclus des polices classiques qui couvrent par nature le matériel et en aucun cas les dommages sur les actifs immatériels sans destruction liée du matériel. Par exemples : les effets d'un cheval de Troie ou d'un virus, les conséquences d'une attaque par déni de services... Outre la couverture des frais engendrés (reconstitution de données ...) de telles attaques il est possible de trouver des couvertures pertes d'exploitations avec une période d'indemnisation de trois mois ! Rappelons que, selon une étude de Ernst & Young pour le compte de la commission des communautés européennes, 81% des entreprises pensent qu'elles ne survivraient pas plus d'un mois en cas d'arrêt de leurs systèmes d'information... Et en ce qui concerne les fraudes et les autres actes hostiles, d'origine interne ou externe ? Déjà, il faut rappeler qu'avant la souscription de tout contrat d'assurance l'entreprise doit songer à limiter elle-même au maximum ses risques par des audits et des contrôles. Le tarif d'une police d'assurance sera toujours fonction des plans de continuité et de reprise d'activité, des protections des locaux, des procédures de sauvegarde et de restauration des données (testées...), de la protection physique des machines... De la même façon, avant de couvrir les pertes liées au détournement de données qui étaient sur un disque dur envoyé en réparation, il convient de s'assurer que les prestataires choisis ne sont pas liés à des agences de renseignement étrangères... Avant d'assurer et de tarifer un risque, n'importe quel assureur cherche à le mesurer. Avant la souscription d'un contrat d'assurance, il y aura donc un audit de la sécurisation du système d'information, soit par voie de questionnaire (en PME), soit par le déplacement d'un expert (grands comptes). L'audit aboutira à une cartographie préalable des risques établie en collaboration avec le client et son courtier et l'assureur. Le risque de fraude peut venir soit d'un préposé [en général un salarié, NDLR], soit d'un tiers extérieur, l'acte frauduleux pouvant viser soit à s'enrichir soit à nuire à l'entreprise victime (par vengeance ou pour éliminer un concurrent). La souscription d'un contrat « fraude et détournement » garantit le remboursement du préjudice financier d'exploitation, les frais supplémentaires d'exploitation pour assurer la continuité d'activité, les frais de reconstitution des informations détruites ou altérées ainsi que, enfin, les frais d'expertises, de recours et de poursuites. Le but est de donner la capacité à l'entreprise de redémarrer. Il faut vérifier dans ce type de contrats l'étendue de la couverture. Par exemple, le contrat couvrant un hébergeur couvre-t-il seulement ses propres données ou bien également celles de ses clients ? Pouvez-vous nous donner une indication de coût d'une assurance contre les fraudes ? Il convient évidemment d'être très prudent, une moyenne ayant finalement assez peu de signification dans ce domaine. Dans un groupe industriel international ayant un chiffre d'affaires de deux milliards d'euros, une couverture à hauteur de dix millions d'euros par sinistre (la fourchette habituelle va de 5 à 25 millions), sans risques particuliers en terme de failles ou de défaillances, la prime annuelle va être de l'ordre de 50 000 à 80 000 euros avec une franchise de 100 000 à 500 000 euros. Notons que les sociétés financières ne sont pas du tout couvertes dans les mêmes conditions qu'une entreprise industrielle. De même, un groupe stable ne sera pas considéré par un assureur de la même façon qu'une société qui rachète régulièrement de nouvelles entités. En cas d'acquisition, il y a inévitablement une période d'adaptation durant laquelle le risque de fraude est plus important. Enfin, si la plupart des contrats sont mondiaux, il peut y avoir des limites territoriales.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire