Sur le podium des cyberattaques, la fuite de données figure en bonne place. Pour preuve : la CNIL a reçu 5037 notifications de violations de données en 2021, soit une hausse de 79 % par rapport à 2020. La fuite de données est l’un des incidents de sécurité les plus fréquents en entreprise, avec des conséquences graves sur l’activité, la réputation, mais aussi de possibles poursuites juridiques lorsque la responsabilité civile de l’entreprise et de son dirigeant est engagée. C’est pour cela que les assurances cyber intègrent à leurs offres une garantie “responsabilité civile” en cas de fuite de données. Que couvre cette garantie ? Faisons le point.
On parle de “fuite de données” lorsque des informations confidentielles ou considérées comme sensibles sont diffusées de manière non autorisée. Les fuites de données sont fréquentes et coûteuses, elles font le plus souvent suite à une cyberattaque réalisée par des hackers isolés ou en groupe. Dans le langage de l’assurance cyber, la fuite de données est désignée comme une “atteinte aux données avérée par un tiers”.
Les fuites ou “violations” de données font généralement suite à une cyberattaque : un attaquant ayant réussi à s’introduire dans le système informatique d’une entreprise accède aux données confidentielles et les met vente ou en libre accès sur le darknet.
Il peut s’agir de différents types de données, aussi bien des données propres à l’entreprise (données internes des collaborateurs, par exemple) que des données concernant des partenaires, fournisseurs, prestataires, ou encore des données d’entreprises clientes ou de particuliers clients.
La typologie de données potentiellement concernées par une fuite de données est dense. En voici quelques exemples :
Une fois récupérées par l’attaquant, les données volées peuvent être revendues sur le darkweb ou utilisées comme chantage dans le cadre d’un ransomware ou rançongiciel.
Si les fuites de données relatives aux grands groupes ou aux entreprises connues sont les plus médiatisées, aucune entreprise n’est à l’abri. Les grandes structures ayant relevé leur niveau de sécurité ces dernières années, les TPE et PME, moins bien protégées et donc considérées comme faciles à pirater, sont désormais dans le viseur des cyber-attaquants.
Pour certains secteurs d’activité, une fuite de données peut mener à l’arrêt de l’activité, voici quelques exemples :
Les fuites de données représentent un coût pour les entreprises, qui doivent détecter et gérer la crise, repérer et réparer la faille technique le cas échéant, notifier les personnes concernées et les organismes comme la CNIL. En parallèle, l’entreprise essaye de maintenir son activité, mise en péril par la fuite de données, et d’empêcher les incidents en cascade comme des tentatives d’usurpation d’identité ou de phishing grâce aux données récupérées.
Une fuite de données porte également atteinte à l’image et à la réputation d’une entreprise, considérée comme incapable de protéger ses données et celles qui lui sont confiées. Autant d’éléments qui peuvent nuire à la confiance de ses investisseurs et clients.
Sur le plan juridique, une fuite de données peut entraîner des sanctions et des frais de justice, voire la mise en cause de la responsabilité personnelle (civile et pénale) du dirigeant. Il s’agit alors de régler des amendes et de gérer des contentieux juridiques.
Une fuite de données peut également avoir des conséquences sur l’écosystème d’une entreprise, et impacter ses salariés, clients, partenaires ou fournisseurs, qui peuvent se retourner contre elle. Il s’agit alors d’une question de responsabilité civile suite à une fuite de données.
La responsabilité civile d’une assurance cyber couvre les différentes conséquences (qu’elles soient avérées ou possibles) d’une atteinte aux données. On parle également d’assurance cyber-responsabilité.
1. L’assurance cyber se charge de notifier la fuite de données aux personnes et entités concernées (en cas de divulgation de données personnelles des salariés, l’employeur est par exemple tenu de les prévenir).
Lorsque la fuite de données est avérée, les experts juridiques de l’assureur s’occupent de la notification à la CNIL (comme l’exige le RGPD). L’assurance prend également en charge les frais de notification aux clients et fournisseurs.
2. L’assurance cyber prend aussi en charge les frais de monitoring et de surveillance pour détecter une éventuelle utilisation non conforme des données qui ont fuité (tentative d’ouverture de compte bancaire ou de souscription d’assurance avec des données personnelles volées, par exemple).
Dans le cas d’une cyberattaque menant à une fuite de données, différentes entités peuvent être concernées, au-delà de l’entreprise elle-même : salariés, clients, fournisseurs, actionnaires, etc. Toutes ces entités tierces peuvent engager des poursuites juridiques contre l’entreprise victime, au motif que celle-ci n’a pas assuré correctement la protection de leurs informations confidentielles, a fait preuve de négligence, etc.
Concrètement, si un client ou fournisseur se retourne contre l’entreprise victime de la fuite de données et porte plainte contre elle, l’assureur cyber prend en charge les frais de défense et les conséquences pécuniaires des réclamations intentées contre l’entreprise. Il met à disposition de l’entreprise des experts juridiques. Sans assurance cyber, ces frais sont à la charge de l’entreprise. Il s'agit d'une garantie nécessaire et incontournable pour se protéger des conséquences d'une attaque cyber.
Il s’agit d’une assurance obligatoire pour les entreprises, mais elle ne couvre pas la responsabilité civile en cas de fuite de données. C’est justement le rôle d’une assurance cyber.
Le risque cyber fait figure de risque numéro 1 pour les entreprises. Il désigne l’ensemble des risques susceptibles d’affecter les données et les systèmes d’information suite à une cyberattaques (intrusion dans un appareil, un système ou un réseau informatique) : fuites de données, chiffrement de données, piratage de site, perte d’exploitation, transmission de virus, etc…
Les cyberattaques peuvent émaner d’un hacker isolé ou, plus généralement, d’un groupe de pirates informatiques organisé. Cette meilleure organisation leur permet de cibler un plus grand nombre d’entreprises. L’expression “black hats” est également utilisée pour désigner les cybercriminels, mais leur point commun est de garder l’anonymat.
Oui, le Haut Comité Juridique de la Place Financière de Paris a par exemple publié le 28 janvier 2022 un rapport sur l’assurabilité des risques cyber. Certains assureurs publient également leur rapport annuel sur l’assurance cyber.
Sources :