Bibliographie
ARTICLES
BICHARD, Jean Philippe, Beazley : affaire Sony, une
jurisprudence ?, Cyber Risques NEWS, Juillet 2014.
BLOUIN, Thibault, L'assurance est-elle capable de
protéger les entreprises contre la cybercriminalité ?,
Banque & Stratégie n°352, ENASS Papers 12, Novembre 2016.
DESCAZEAUX, Martin, Assurer son système d'information
industriel contre une cyberattaque, c'est possible ?, Le blog
cyber-sécurité des consultants Wavestone, Wavestone Riskinsight,
Décembre 2015.
EVANS, Steve, Regulation and analytics can help cyber ILS
market flourish, Seeking Alpha, Juin 2017.
INSURANCE JOURNAL, AIG latest to bring cyber insurance to
personal lines high-net-worth clients, April 2017.
LENIHAN, Rob, Double trouble with `silent silent' cyber,
Business Insurance, Juillet 2017.
SCHNEIDER, Laure, Article Cyber-risques et
cyber-assurances, Banque & Stratégie n°336, ENASS Papers
9, Mai 2015.
VIVAR, Mariona, Réassurance : Et si le risque cyber
bénéficiait d'un `filet de sécurité' de l'Etat
?, News assurances pro, Mars 2017.
WILLIS TOWERS WATSON, Willis Towers Watson launches
innovative new cyber product for global airlines, Press Release, Avril
2017.
CONDITIONS GENERALES D'ASSURANCE
AIG, Conditions générales Pack Cyber 072014.
BEAZLEY, Conditions générales Beazley Breach
Response. HISCOX, Conditions générales Data Risks.
69
(c) Roxanne DESLANDES, 2017.
TOKIO MARINE HCC, Conditions générales Cyber
Security Insurance.
ETUDES
AIG, Expertise Sinistres, Assurance cyber : analyse des
principales tendances, Livre blanc sur la criminalité, 2017.
ASSOCIATION DES PROFESSIONNELS DE LA REASSURANCE EN
FRANCE, Etude sur les « cyber risques » et leur
(ré)assurance, Juin 2016.
BENTZ, H., Thomas, Is your cyber liability insurance any
good ? A guide for banks to evaluate their cyber liability insurance
coverage, 2017.
CENTRE FOR RISK STUDIES, University of Cambridge Judge
Business School, Cyber insurance exposure data schema V1.0, Cyber
Accumulation Risk Management, Cambridge Risk Framework, 2015.
CENTRE FOR RISK STUDIES, University of Cambridge Judge
Business School & Risk Management Solutions (RMS), 2017 Cyber Risk
Landscape.
CENTRE FOR RISK STUDIES, University of Cambridge Judge
Business School, The insurance implications of a cyber attack on the US
power grid, Business Blackout, Society & Security, Emerging Risk
Report - 2015 Innovation Series.
CRO FORUM, Cyber resilience, The cyber risk challenge and
the role of insurance, Décembre 2014. LEYTON, Libre blanc : les
cyber risques, Juin 2015.
SWISS RE INSTITUTE, Sigma, Cyber : getting to grips with a
complex risk, No 1/2017, 2017.
SYSTEM X, Institut de recherche technologique, La
maîtrise du risque cyber sur l'ensemble de la chaîne de sa valeur
et son transfert vers l'assurance, Résultats du séminaire de
recherche, Maîtrise du risque cyber et assurance, Novembre 2015 -
Juillet 2016.
TELECOM ParisTech, Alumni, Livre blanc : comment «
débloquer » le marché de l'assurance cyber en France ?,
Juin 2017.
WORLD ECONOMIC FORUM, The Global Risks Report 2016, 11th
edition, 2016.
70
(c) Roxanne DESLANDES, 2017.
LOIS ET REGLEMENTS
PARLEMENT EUROPEEN ET CONSEIL, Règlement (UE) 2016/679, 27
avril 2016.
PARLEMENT FRANÇAIS, Loi n° 78-17 relative à
l'informatique, aux fichiers et aux libertés, 6 janvier 1978.
MEMOIRES DE RECHERCHE
ALAU, Ingrid, Les cyber-risques dans l'entreprise : enjeux
et assurance, Mémoire de recherche, Master 2 Droit des assurances,
Institut des Assurances de Lyon, 2013.
FEREY Gaspard, GROROD Nicolas, LEGUIL Simon, L'assurance
des risques cyber, Comment tirer le meilleur parti de l'assurance dans un
contexte de numérisation intensive ?, Mémoire de fin de
formation du Corps des mines, MINES ParisTech, TELECOM ParisTech, 2017.
SUPPORTS DE PRESENTATION DES ASSUREURS ET DES
COURTIERS
AIG, Autopsie d'un sinistre, Risques de
cybercriminalité, 30 juin 2017.
GRAS SAVOYE, Lignes financières, Les cyber
risques, Association Nationale des Industries Alimentaires, avril 2015.
HISCOX, Atelier cybersécurité, Paris, Juin
2017.
HISCOX, Protection des données personnelles,
Comprendre le règlement européen, 2017.
ZICRY, Laure, Cyber Risks Practice Leader chez Gras Savoye,
Table ronde # 1 Cyber assurance, Cercle des Femmes dans la
Cybersécurité, Juin 2017.
71
(c) Roxanne DESLANDES, 2017.
Lexique
Bring Your Own Device
Il s'agit de l'utilisation d'appareils informatiques
personnels dans la sphère professionnelle. Cette utilisation pose des
problèmes juridiques, de sécurité informatique et de
gestion de risques.
Une variante de cette nouvelle pratique émerge dans
certaines entreprises : Buy Your Own Device. C'est alors l'entreprise qui
finance l'outil technologique que le salarié utilisera à des fins
personnelles et des fins professionnelles.
Cloud computing
Il s'agit de la fourniture de ressources informatiques en
service à la demande et par réseau. Dans le cadre de la gestion
de son infrastructure informatique, une entreprise peut donc décider de
disposer d'une capacité de stockage et de services informatiques
externalisés.
Le cloud se divise en trois catégories de
services : le SaaS soit le Software as a Service, le PaaS soit le Platform as a
Service, l'IasS soit l'Infrastructure as a Service.
Le cloud peut être public (service accessible
à plusieurs clients) ou privé (service pour un client), ou une
combinaison des deux.
Cyber
Qui implique ou qui fait référence à
l'utilisation des technologies de l'information. Cyber
assurance
Assurance spécifique visant à couvrir les
conséquences des atteintes au système d'information et/ou aux
données qu'il contient.
Cyberattaque
Intrusion non autorisée dans un système
d'information avec ou sans transfert de données en provenance de ce
système d'information, de manière manuelle par une personne avec
un accès physique au système ou de manière
automatisée par un programme informatique malicieux
72
(c) Roxanne DESLANDES, 2017.
Cyber criminalité
Selon l'Organisation des Nations Unies, la
cybercriminalité consiste en tout comportement illégal faisant
intervenir des opérateurs électroniques visant la
sécurité des systèmes informatiques.117
La Commission européenne évoque une
définition plus large : « tout infraction qui implique
l'utilisation des technologies informatiques ».118
L'essor d'Internet et des nouvelles technologies a permis
l'apparition d'infractions nouvelles mais a aussi facilité la commission
des infractions dans leur globalité.
Nous retiendrons que la cybercriminalité concerne toute
comportement illégal qui par l'intervention des technologies de
l'information nuit intentionnellement à la sécurité des
systèmes et des données.
Le terme de cybercriminalité a une coloration
pénale et implique donc de viser des actes réprimés par la
loi. Il est souvent utilisé en référence à tout
acte cyber malveillant, sans forcément porter égard à sa
répression légale qui de toute manière est borné
par des frontières géographiques, au contraire de la
cybercriminalité.
Cyber incident
Ce cyber incident est l'atteinte au système
d'information et/ou aux données qui n'est pas intentionnelle.
Cyber résilience
La cyber résilience est la capacité à
préparer et à s'adapter à des conditions changeantes, de
résister et de récupérer rapidement suite aux
perturbations subies du fait d'attaques ou d'incidents. La résilience
est de la gestion de risque. La notion de cyber résilience est plus
117 Cité par SCHNEIDER, Laure,
Article Cyber-risques et cyber-assurances, Banque &
Stratégie n°336, ENASS Papers 9, Mai 2015.
118 Commission européenne,
Combattre la criminalité à l'ère numérique :
établissement d'un Centre européen de lutte contre la
cybercriminalité, Communication de la commission au conseil et au
parlement européen, 28 mars 2012.
73
(c) Roxanne DESLANDES, 2017.
transversale que la notion de cybersécurité,
cantonnée au domaine technique d'information. La cyber résilience
est une approche globale du risque cyber impliquant le facteur humain et les
techniques d'informations dans une vision à court, moyen et long terme,
préventive et corrective.
Le processus de cyber résilience au sein d'une
structure est gouverné par quatre piliers : préparer,
protéger, détecter et améliorer. La cyberassurance fait
partie du quatrième pilier. Un assureur cyber résilient doit se
positionne en tant que gestionnaire de risque et inciter l'assuré
à mettre en place les meilleures pratiques de
cybersécurité tout en lui permettant de comprendre les
coûts d'un sinistre cyber par la qualification et la quantification des
dommages. 119
L'assureur a vocation à de positionner de façon
décisive dans le processus de cyber résilience.
Cyber risque
Aléa qui implique les technologies de l'information et
qui est susceptible de produire des dommages immatériels et
matériels. Le cyber risque est complexe, protéiforme et d'une
évolution constante. Il est donc possible d'utiliser la notion au
pluriel ou au singulier de façon indifférente.
Cybersécurité
La cybersécurité consiste à
réduire le risque d'atteinte à des infrastructures par des moyens
physiques ou mesures de cyberdéfense contre des attaques et des
incidents, dans le cadre de l'utilisation de systèmes d'information et
de communication. La cybersécurité est de la réduction de
risque et la résolution des atteintes techniques.
Darknet
Le darknet ou les darknets sont des réseaux qui ne sont
pas reliés à l'Internet. Leur chemin d'accès n'est pas
librement accessible et leur existence est fondée sur le principe de
l'anonymat.
Il ne s'agit pas du Deep Web, qui regroupe des sites
librement accessibles par Internet mais qui ne sont simplement pas
indexés par des moteurs de recherche.
119 CRO FORUM, Cyber resilience, The cyber risk challenge and
the role of insurance, Décembre 2014, 6 p.
74
(c) Roxanne DESLANDES, 2017.
Donnée numérique
La donnée numérique est, selon le dictionnaire
en ligne L'Internaute, la « représentation d'une information en vue
d'un traitement automatique ».
Donnée à caractère
personnel
Les données à caractère personnel sont
toute informatique relative à une personne physique identifiée ou
identifiable directement ou indirectement.
Pénalités PCI-DSS
PCI-DSS est l'acronyme anglophone de Payment Card Industry
DataSecurity Standard. Il s'agit donc de l'acronyme du standard de
sécurité des données de l'industrie des cartes de paiement
qui s'applique à toute entité qui traite des données de
cartes bancaires. Il ne s'agit pas d'une obligation légale mais
contractuellement généralisée par les principaux acteurs
du marché, Visa et MasterCard. Une entité non conforme à
PCI-DSS s'expose à des pénalités financières.
Responsable de traitement de données
Personne physique ou morale qui détermine les
finalités et les moyens du traitement de données. Cette personne
est assujettie à une obligation de sécurité, de
transparence, et de durée de conservation par le droit français
et européen. Ces obligations sont sanctionnées pénalement,
civilement et administrativement.
Système d'information
Un ensemble organisé de ressources (matériels,
logiciels, personnel, données et procédures) qui permet de
regrouper, de classifier, de traiter et de diffuser de l'information sur un
environnement donné. Un système d'information est
virtuel.120
Traitement de données
Toute opération portant sur des données
numériques. A titre d'exemples, il peut s'agir d'enregistrement, de
collecte, d'organisation, de conservation, d'adaptation, de modification,
120 ALAU, Ingrid, Mémoire de
recherche, Les cyber-risques dans l'entreprise : enjeux et assurance,
Master 2 Droit des assurances, Institut des Assurances de Lyon, 2013.
75
(c) Roxanne DESLANDES, 2017.
d'extraction, d'utilisation, de consultation, de
communication, de verrouillage, d'effacement, de destruction.
76
(c) Roxanne DESLANDES, 2017.
Table des matières
Remerciements 3
Sommaire 5
Introduction 6
I La présentation du contrat de cyberassurance 12
A Un contrat d'assurance mixte novateur 12
1 Les garanties standards 13
a) Les garanties dommages 13
i. Les garanties d'urgence 14
ii. L'option de la cyber extorsion 16
iii. Les pertes et frais supplémentaires d'exploitation
17
b) Les garanties de responsabilité civile 19
i. La notion d'atteinte au système d'information et/ou
aux données 19
ii. La prise en charge incertaine des enquêtes et
sanctions administratives 22
2 La prévalence de prestations de gestion de crise 24
a) Prestations de dommages d'urgence 24
b) Gestion de crise : de la mise à disposition à
la coordination 24
B Distinguer la cyberassurance des lignes d'assurance
traditionnelles 26
1 Sur les conséquences immatérielles d'une
atteinte au système d'information et/ou aux
données 26
a) La cyberassurance et les contrats de responsabilité
civile professionnelle et des
dirigeants 27
b) La cyberassurance et les différents contrats de
dommages et fraude 29
c) La cyberassurance et le contrat kidnapping et rançon
31
2 Sur les conséquences matérielles d'une atteinte
au système et/ou aux données 31
II Les limites des contrats de cyberassurance 36
77
(c) Roxanne DESLANDES, 2017.
A La cyberassurance confrontée à la cyber
résilience 37
1 Collaborer avec les acteurs de la cyber résilience 37
a) Entre assurance et technique : la création d'un
référentiel commun 37
b) Intra-assurance : standardisation controversée et
partage de données sinistre 38
c) Impliquer les pouvoirs publics dans la sensibilisation
à la cybersécurité 40
2 Responsabiliser les assurés 41
a) Par l'élaboration de clauses d'exclusion 42
b) Par la formation 42
c) Par l'établissement et l'amélioration de
procédures internes de gestion de risque 44
3 Innover la gestion de crise 45
a) Gestion de risque : la coordination préventive et
corrective 46
b) Gestion de risque : l'internalisation 48
B La cyberassurance confrontée à l'assurance 49
1 Souscrire différemment la cyberassurance 50
a) Approcher le risque cyber avec nouveauté 50
i. L'entretien et l'audit de souscription 50
ii. La confidentialité des échanges entre
assureur, prospect et assuré 53
b) Spécialiser les offres de cyberassurance selon les
secteurs d'activité 54
c) Développer les offres de cyberassurance au-delà
de la sphère professionnelle 56
2 Développer la capacité de la cyberassurance 57
a) Manager l'accumulation de risque cyber 58
b) Financer les risques catastrophiques 61
i. Le rôle limité de la réassurance
privée 61
ii. L'implication et la responsabilisation des Etats 63
Conclusion 67
Bibliographie 69
78
(c) Roxanne DESLANDES, 2017.
Lexique 72
Table des matières 77
79
(c) Roxanne DESLANDES, 2017.
| 
