37
Risques Risques Informatiques et Informatiques et Assurances Assurances Nicolas BAUDY Nicolas BAUDY Consultant en Consultant en Assurances Assurances CGSSI - SFVA CGSSI - SFVA

Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Embed Size (px)

Citation preview

Page 1: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Risques Informatiques et Informatiques et AssurancesAssurances

Nicolas BAUDYNicolas BAUDYConsultant en Consultant en

AssurancesAssurancesCGSSI - SFVACGSSI - SFVA

Page 2: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 3: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 4: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

80% des entreprises estiment 80% des entreprises estiment dépendre de leur informatiquedépendre de leur informatique Quelles conséquences auraient :

une indisponibilité de vos systèmes, une altération de vos données ou de vos

systèmes, une communication de vos données à des tiers

non autorisés, etc ?

A quels risques informatiques votre entreprise est-elle exposée (physique, logique, humain) ?

Accidents Erreurs Malveillance

Page 5: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

EvtsNaturels

AccidentsIncidentsMajeurs

Compromissiondes informations,

des fonctions

Vols

Divulgations d’infoSaturation de matériel

Perturb./

rayonts

Agressionsphysiques

Pertes deservices

essentiels

Défaillancematérielle

Dysfonctionnementslogiciels

Atteinte à la maintenabilité

Actions illicitesMalveillance

Erreurs

Intentionnel

RisqueRisqueHumainHumain

Fortuit

RisqueRisqueLogiqueLogique

RisqueRisquePhysiquePhysique

Typologie des risquesTypologie des risques

Page 6: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

La vision du Clusif en 2003La vision du Clusif en 2003

Page 7: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Les Sinistres en France Les Sinistres en France (source : clusif - données 2003)(source : clusif - données 2003)

Page 8: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 9: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Coûts du sinistre

AccidentsIncidentsMajeurs

EvénementsNaturels

Rayonne-ments

Dysfonctionnementslogiciels

Atteinte à la maintenabilité

Divulgations d’infoSaturation de matériel

Compromissiondes informationset des fonctions

AgressionsphysiquesPertes deservices

essentiels

Défaillancematérielle

Vols

Actions illicitesMalveillance

FréquenceFréquencede survenuede survenue

Erreurs

Analyse des coûtsAnalyse des coûts

Page 10: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Exemples de conséquences Exemples de conséquences financièresfinancières

Frais techniques de réinitialisation du SI remise en œuvre du hard, des

programmes, du réseau reconstitution des données (saisies, tests

d’intégrité,…) Pertes d’exploitation

impact sur le chiffre d’affaires dépenses consenties pour éviter ou

limiter l’arrêt de l’activité Fraude

valeurs d’argent et/ou de biens détournés

Page 11: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Les enjeux sont considérablesLes enjeux sont considérables 49% des entreprises considèrent le risque de

panne du SI comme significatif 80% des entreprises ayant subi un sinistre

informatique sollicitent leurs fonds propres Le sinistre le moins important représente au

minimum 10 fois la prime d’un contrat d’assurance Plus de 3 milliards d’euros : c’est le coût des

sinistres identifiés et déclarés en France en 2000 …sans tenir compte des pertes d’images, de confiance,…

Page 12: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Quand les poubelles parlent…Quand les poubelles parlent… Unilever vs Procter & Gamble

3M$ investis pour récupérer 80 documents (plan de lancement de produits, stratégie commerciale, etc)

Exploration des poubelles de Sunsilk (filiale de Unilever à Chicago)

10M$ de dommages et intérêts, atteinte à l’image

Page 13: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Exemples…Exemples… Un cafouillage technique pourrait faire perdre

300.000 euros à SurcoufSuite à une erreur technique, le site Surcouf.com a proposé un PDA Toshiba à 269€ au lieu de 649€. Près de 650 internautes ont passé commande... Le 16/04/2004 à 11:45

Page 14: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 15: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Les entreprises s’organisent Les entreprises s’organisent mais pas suffisamment mais pas suffisamment (source : clusif – données 2003)(source : clusif – données 2003)

Page 16: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Les entreprises s’organisent Les entreprises s’organisent mais pas suffisamment mais pas suffisamment (source : clusif – données 2003)(source : clusif – données 2003)

Page 17: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

En sus de la loi du 24 juillet 1966 sur les sociétés commerciales, il y a plus de 8.000 lois régissant l’entreprise.

Oui, la fonction de Dirigeant engage la responsabilité personnelle des personnes physiques

Non, cette responsabilité n’est pas couverte par les contrats qui concernent les personnes morales (R.C.Exploitation, R.C.P)

L’arsenal juridique est-il L’arsenal juridique est-il maîtrisable?maîtrisable?

Page 18: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Dirigeants

ClientsCréanciers

Fournisseurs

Actionnaires

Pouvoirs Publics

Concurrents

Employés

Qui peut agir contre les Qui peut agir contre les dirigeants?dirigeants?

Page 19: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

ExemplesExemples

Exemples de faits ou actes pouvant être Exemples de faits ou actes pouvant être générateurs de responsabilité:générateurs de responsabilité:

Actes dépassant les pouvoirs conférés par les Actes dépassant les pouvoirs conférés par les statutsstatutsManquement au devoir d’informationManquement au devoir d’informationConflit d’intérêtConflit d’intérêtSupervision insuffisante des activitésSupervision insuffisante des activitésAbsence répétée aux conseils Absence répétée aux conseils d’administration...d’administration...

Page 20: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

ExemplesExemples

Exemples de faits ou actes pouvant être Exemples de faits ou actes pouvant être générateurs de responsabilité:générateurs de responsabilité:

Erreur d’appréciation dans les décisions Erreur d’appréciation dans les décisions d’investissementd’investissementEngagement de dépenses disproportionnées Engagement de dépenses disproportionnées avec les ressources de la sociétéavec les ressources de la sociétéManque de prévoyance dans la politique de Manque de prévoyance dans la politique de développementdéveloppementPrésentation d’un bilan inexactPrésentation d’un bilan inexact

Page 21: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Dirigeants (DSI, DG, etc), êtes-Dirigeants (DSI, DG, etc), êtes-vous bien assurés?vous bien assurés?

Page 22: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 23: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Le contrat : les couverturesLe contrat : les couvertures

Incendie, Vol, dégâts des eaux

Bris, Vandalisme

Architecture du réseau

Données et Applications

Accidents, Erreurs,

Malveillance

Sabotage, Vandalisme, Fraude

Système d’Information

COUVERTURE

ProductionGestion

CONTRATS CLASSIQUES

Tous Risques Informatique

Entreprises

Itinérants

Page 24: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Le contrat : les garantiesLe contrat : les garanties

Incendie, Vol, D

DE

Incendie, Vol, D

DE

Bris, Vandalisme

Bris, Vandalisme

Couverture

Accidents, Erreurs, Malveillance

Sabotage, Vandalisme, FraudeCouverture

Faits générateurs

Tous dommages matériels

Dommages immatériels malveillants

Dommages immatériels accidentels

Garanties

Remplacement ou réparation des équipements

Reconstitution des données

Frais supplémentaires d’exploitation

Pertes d’exploitation

Page 25: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Exemple de tarificationExemple de tarification

Engagement maximum de l'AssureurEngagement maximum de l'Assureur : : 2 000 000 €2 000 000 € par sinistre et par sinistre et par anpar an

GarantiesGaranties Somme AssuréeSomme Assurée FranchiseFranchise

Actes de MalveillanceActes de Malveillance

Erreurs ou AccidentsErreurs ou Accidents2 000 000 € par sinistre et par 2 000 000 € par sinistre et par anan

10% (mini 10% (mini 15.000€)15.000€)

Par sinistre et par anPar sinistre et par an

Erreur humaine : 600 000€Erreur humaine : 600 000€

Sabotage immatériel : 1 000 Sabotage immatériel : 1 000 000€000€

Pertes d’exploitationPertes d’exploitation

et Frais et Frais supplémentairessupplémentaires

Marge brute : 4 500 000 €Marge brute : 4 500 000 €

Période d’indemnisation : 3 Période d’indemnisation : 3 moismois

Limite : 2 000 000€ par Limite : 2 000 000€ par sinistresinistre

1 jour de 1 jour de marge marge brutebrute

Montant de la prime Montant de la prime 13 488,79 € TTC13 488,79 € TTC régularisée annuellement régularisée annuellement

(7.120€HT + 1,16‰ de la marge brute annuelle)(7.120€HT + 1,16‰ de la marge brute annuelle)

Page 26: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 27: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Est souscrit Est souscrit par la sociétépar la société pour le compte et au pour le compte et au profit de ses dirigeants:profit de ses dirigeants:

((non-nominatifnon-nominatif) les mandataires sociaux (dirigeants ) les mandataires sociaux (dirigeants

de droit),de droit),

les dirigeants de fait (y compris tout salarié les dirigeants de fait (y compris tout salarié

ayant effectué un acte de gestion)ayant effectué un acte de gestion),,

leurs conjoints, héritiers et ayants-droit...leurs conjoints, héritiers et ayants-droit...

… … de la société-mère ainsi que de l ’ensemble de ses de la société-mère ainsi que de l ’ensemble de ses

FilialesFiliales et et Participations Participations

Le contrat: ses Le contrat: ses caractéristiquescaractéristiques

Page 28: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Le contrat: ses caractéristiquesLe contrat: ses caractéristiques

Définition élargie des filiales: notion de Définition élargie des filiales: notion de “contrôle”“contrôle”Couvre les frais :Couvre les frais :

De défense : civil, pénalDe défense : civil, pénalDe dommages et intérêts éventuelsDe dommages et intérêts éventuelsDe reconstitution d’image De reconstitution d’image De gestion de criseDe gestion de criseD’assistance juridique, financière, psychologiqueD’assistance juridique, financière, psychologique

Garantie subséquente de 36 moisGarantie subséquente de 36 moisPas de franchisePas de franchiseRecours des assurés entre euxRecours des assurés entre eux

Page 29: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Exemple de tarificationExemple de tarification

Montant garantiMontant garanti 1.000.000€1.000.000€

Chiffre d’AffairesChiffre d’Affaires 12.000.000€12.000.000€

Fonds PropresFonds Propres 4.000.000€4.000.000€

Dettes à court termeDettes à court terme 2.500.000€2.500.000€

RésultatsRésultats 800.000€800.000€

Montant de la primeMontant de la prime 1.887 € HT1.887 € HT régularisée annuellementrégularisée annuellement

Page 30: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques et Risques Informatiques et AssurancesAssurances

Risques informatiques : généralités

Risques informatiques : enjeux et coûts

Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables

Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant

Conclusion

Page 31: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques: résuméRisques Informatiques: résumé L’assurance est une nécessité…

Le matériel est couvert pour sa valeur vénale.

Les données ne valent rien. Les données disparues n’ont aucune

conséquence sur le présent et l’avenir. Les Dirigeants (DSI, DG, etc) ne sont pas

responsables.

… mais attention, les contrats ne sont pas tous les mêmes !

Page 32: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques Informatiques: Risques Informatiques: résumérésumé

Une assurance pour éviter de solliciter les fonds propres de l’entreprise :

Identification et analyse des risques Méthodes qualité et procédures Assurance contre les risques sévères

La qualité de protection d'une entreprise se mesure au degré de réactivité de ses responsables.

Lorsque la qualité d'un risque n'est pas jugée suffisante, nous ne proposons pas de garanties pour le couvrir.

Page 33: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Responsabilité des Dirigeants: Responsabilité des Dirigeants: résumérésumé

Si un dirigeant fait l’objet d’une mise en cause personnelle sévère, qui menace sa solvabilité et son patrimoine, seule l’assurance dirigeants met en place l’environnement de défense et de protection nécessaire.

Page 34: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : qui est concerné ?qui est concerné ?

Toutes les entreprises dont l’activité Toutes les entreprises dont l’activité économique est dépendante du système économique est dépendante du système d’information, exemples:d’information, exemples:

Industrie - Industrie - Bureaux d’études (DAO-CAO), Production, Bureaux d’études (DAO-CAO), Production, etc…etc…

Secteur Agro-alimentaireSecteur Agro-alimentaire

Sociétés de Transport - Sociétés de Transport - Plate-formes logistiques, Plate-formes logistiques, stockage, etc…stockage, etc…

Commerces et distribution – Commerces et distribution – Textile, alimentaire, etc…Textile, alimentaire, etc…

Services et TélécommunicationsServices et Télécommunications

Etc…Etc…

Page 35: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Les éléments pris en compteLes éléments pris en compte

SegmentationSegmentation (l’activité)(l’activité)

ClassificationClassification (la situation financière)(la situation financière)

Total du bilanTotal du bilan (la structure financière)(la structure financière)

L’étendue géographique des activitésL’étendue géographique des activités

Evaluation des risquesEvaluation des risques

Documents nécessaires pour une étudeDocuments nécessaires pour une étude La liasse fiscale La liasse fiscale

Le questionnaire propositionLe questionnaire proposition

Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : calcul de la primecalcul de la prime

Page 36: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Le coût de la sécurité informatique est parfois difficile à Le coût de la sécurité informatique est parfois difficile à justifierjustifier

L’évaluation des risques permet d’identifier la faisabilité d’une L’évaluation des risques permet d’identifier la faisabilité d’une assuranceassurance

Les conséquences d’une absence de décision peuvent être Les conséquences d’une absence de décision peuvent être importantes tant pour l’entreprise que pour les dirigeants à importantes tant pour l’entreprise que pour les dirigeants à titre personneltitre personnel

Les solutions pour favoriser la décision :Les solutions pour favoriser la décision :Diagnostic : cartographie des risques, évaluation des dispositifs Diagnostic : cartographie des risques, évaluation des dispositifs préventifs et curatifspréventifs et curatifsÉvaluation des impacts de la mise en place de solutions Évaluation des impacts de la mise en place de solutions préventives et curatives sur les primes d’assurancepréventives et curatives sur les primes d’assuranceAccompagnement dans la mise en place de solutions préventives Accompagnement dans la mise en place de solutions préventives et curatives de meilleure qualité.et curatives de meilleure qualité.

Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : calcul de la primecalcul de la prime

Page 37: Risques Informatiques et Assurances Nicolas BAUDY Consultant en Assurances CGSSI - SFVA

Nicolas BAUDYConsultant en assurances

CGSSI – SFVA155, rue de la POMPE

75116 Paris

www.cgssi.com