Upload
ivon-lhomme
View
109
Download
0
Embed Size (px)
Citation preview
Risques Risques Informatiques et Informatiques et AssurancesAssurances
Nicolas BAUDYNicolas BAUDYConsultant en Consultant en
AssurancesAssurancesCGSSI - SFVACGSSI - SFVA
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
80% des entreprises estiment 80% des entreprises estiment dépendre de leur informatiquedépendre de leur informatique Quelles conséquences auraient :
une indisponibilité de vos systèmes, une altération de vos données ou de vos
systèmes, une communication de vos données à des tiers
non autorisés, etc ?
A quels risques informatiques votre entreprise est-elle exposée (physique, logique, humain) ?
Accidents Erreurs Malveillance
EvtsNaturels
AccidentsIncidentsMajeurs
Compromissiondes informations,
des fonctions
Vols
Divulgations d’infoSaturation de matériel
Perturb./
rayonts
Agressionsphysiques
Pertes deservices
essentiels
Défaillancematérielle
Dysfonctionnementslogiciels
Atteinte à la maintenabilité
Actions illicitesMalveillance
Erreurs
Intentionnel
RisqueRisqueHumainHumain
Fortuit
RisqueRisqueLogiqueLogique
RisqueRisquePhysiquePhysique
Typologie des risquesTypologie des risques
La vision du Clusif en 2003La vision du Clusif en 2003
Les Sinistres en France Les Sinistres en France (source : clusif - données 2003)(source : clusif - données 2003)
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Coûts du sinistre
AccidentsIncidentsMajeurs
EvénementsNaturels
Rayonne-ments
Dysfonctionnementslogiciels
Atteinte à la maintenabilité
Divulgations d’infoSaturation de matériel
Compromissiondes informationset des fonctions
AgressionsphysiquesPertes deservices
essentiels
Défaillancematérielle
Vols
Actions illicitesMalveillance
FréquenceFréquencede survenuede survenue
Erreurs
Analyse des coûtsAnalyse des coûts
Exemples de conséquences Exemples de conséquences financièresfinancières
Frais techniques de réinitialisation du SI remise en œuvre du hard, des
programmes, du réseau reconstitution des données (saisies, tests
d’intégrité,…) Pertes d’exploitation
impact sur le chiffre d’affaires dépenses consenties pour éviter ou
limiter l’arrêt de l’activité Fraude
valeurs d’argent et/ou de biens détournés
Les enjeux sont considérablesLes enjeux sont considérables 49% des entreprises considèrent le risque de
panne du SI comme significatif 80% des entreprises ayant subi un sinistre
informatique sollicitent leurs fonds propres Le sinistre le moins important représente au
minimum 10 fois la prime d’un contrat d’assurance Plus de 3 milliards d’euros : c’est le coût des
sinistres identifiés et déclarés en France en 2000 …sans tenir compte des pertes d’images, de confiance,…
Quand les poubelles parlent…Quand les poubelles parlent… Unilever vs Procter & Gamble
3M$ investis pour récupérer 80 documents (plan de lancement de produits, stratégie commerciale, etc)
Exploration des poubelles de Sunsilk (filiale de Unilever à Chicago)
10M$ de dommages et intérêts, atteinte à l’image
Exemples…Exemples… Un cafouillage technique pourrait faire perdre
300.000 euros à SurcoufSuite à une erreur technique, le site Surcouf.com a proposé un PDA Toshiba à 269€ au lieu de 649€. Près de 650 internautes ont passé commande... Le 16/04/2004 à 11:45
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Les entreprises s’organisent Les entreprises s’organisent mais pas suffisamment mais pas suffisamment (source : clusif – données 2003)(source : clusif – données 2003)
Les entreprises s’organisent Les entreprises s’organisent mais pas suffisamment mais pas suffisamment (source : clusif – données 2003)(source : clusif – données 2003)
En sus de la loi du 24 juillet 1966 sur les sociétés commerciales, il y a plus de 8.000 lois régissant l’entreprise.
Oui, la fonction de Dirigeant engage la responsabilité personnelle des personnes physiques
Non, cette responsabilité n’est pas couverte par les contrats qui concernent les personnes morales (R.C.Exploitation, R.C.P)
L’arsenal juridique est-il L’arsenal juridique est-il maîtrisable?maîtrisable?
Dirigeants
ClientsCréanciers
Fournisseurs
Actionnaires
Pouvoirs Publics
Concurrents
Employés
Qui peut agir contre les Qui peut agir contre les dirigeants?dirigeants?
ExemplesExemples
Exemples de faits ou actes pouvant être Exemples de faits ou actes pouvant être générateurs de responsabilité:générateurs de responsabilité:
Actes dépassant les pouvoirs conférés par les Actes dépassant les pouvoirs conférés par les statutsstatutsManquement au devoir d’informationManquement au devoir d’informationConflit d’intérêtConflit d’intérêtSupervision insuffisante des activitésSupervision insuffisante des activitésAbsence répétée aux conseils Absence répétée aux conseils d’administration...d’administration...
ExemplesExemples
Exemples de faits ou actes pouvant être Exemples de faits ou actes pouvant être générateurs de responsabilité:générateurs de responsabilité:
Erreur d’appréciation dans les décisions Erreur d’appréciation dans les décisions d’investissementd’investissementEngagement de dépenses disproportionnées Engagement de dépenses disproportionnées avec les ressources de la sociétéavec les ressources de la sociétéManque de prévoyance dans la politique de Manque de prévoyance dans la politique de développementdéveloppementPrésentation d’un bilan inexactPrésentation d’un bilan inexact
Dirigeants (DSI, DG, etc), êtes-Dirigeants (DSI, DG, etc), êtes-vous bien assurés?vous bien assurés?
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Le contrat : les couverturesLe contrat : les couvertures
Incendie, Vol, dégâts des eaux
Bris, Vandalisme
Architecture du réseau
Données et Applications
Accidents, Erreurs,
Malveillance
Sabotage, Vandalisme, Fraude
Système d’Information
COUVERTURE
ProductionGestion
CONTRATS CLASSIQUES
Tous Risques Informatique
Entreprises
Itinérants
Le contrat : les garantiesLe contrat : les garanties
Incendie, Vol, D
DE
Incendie, Vol, D
DE
Bris, Vandalisme
Bris, Vandalisme
Couverture
Accidents, Erreurs, Malveillance
Sabotage, Vandalisme, FraudeCouverture
Faits générateurs
Tous dommages matériels
Dommages immatériels malveillants
Dommages immatériels accidentels
Garanties
Remplacement ou réparation des équipements
Reconstitution des données
Frais supplémentaires d’exploitation
Pertes d’exploitation
Exemple de tarificationExemple de tarification
Engagement maximum de l'AssureurEngagement maximum de l'Assureur : : 2 000 000 €2 000 000 € par sinistre et par sinistre et par anpar an
GarantiesGaranties Somme AssuréeSomme Assurée FranchiseFranchise
Actes de MalveillanceActes de Malveillance
Erreurs ou AccidentsErreurs ou Accidents2 000 000 € par sinistre et par 2 000 000 € par sinistre et par anan
10% (mini 10% (mini 15.000€)15.000€)
Par sinistre et par anPar sinistre et par an
Erreur humaine : 600 000€Erreur humaine : 600 000€
Sabotage immatériel : 1 000 Sabotage immatériel : 1 000 000€000€
Pertes d’exploitationPertes d’exploitation
et Frais et Frais supplémentairessupplémentaires
Marge brute : 4 500 000 €Marge brute : 4 500 000 €
Période d’indemnisation : 3 Période d’indemnisation : 3 moismois
Limite : 2 000 000€ par Limite : 2 000 000€ par sinistresinistre
1 jour de 1 jour de marge marge brutebrute
Montant de la prime Montant de la prime 13 488,79 € TTC13 488,79 € TTC régularisée annuellement régularisée annuellement
(7.120€HT + 1,16‰ de la marge brute annuelle)(7.120€HT + 1,16‰ de la marge brute annuelle)
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Est souscrit Est souscrit par la sociétépar la société pour le compte et au pour le compte et au profit de ses dirigeants:profit de ses dirigeants:
((non-nominatifnon-nominatif) les mandataires sociaux (dirigeants ) les mandataires sociaux (dirigeants
de droit),de droit),
les dirigeants de fait (y compris tout salarié les dirigeants de fait (y compris tout salarié
ayant effectué un acte de gestion)ayant effectué un acte de gestion),,
leurs conjoints, héritiers et ayants-droit...leurs conjoints, héritiers et ayants-droit...
… … de la société-mère ainsi que de l ’ensemble de ses de la société-mère ainsi que de l ’ensemble de ses
FilialesFiliales et et Participations Participations
Le contrat: ses Le contrat: ses caractéristiquescaractéristiques
Le contrat: ses caractéristiquesLe contrat: ses caractéristiques
Définition élargie des filiales: notion de Définition élargie des filiales: notion de “contrôle”“contrôle”Couvre les frais :Couvre les frais :
De défense : civil, pénalDe défense : civil, pénalDe dommages et intérêts éventuelsDe dommages et intérêts éventuelsDe reconstitution d’image De reconstitution d’image De gestion de criseDe gestion de criseD’assistance juridique, financière, psychologiqueD’assistance juridique, financière, psychologique
Garantie subséquente de 36 moisGarantie subséquente de 36 moisPas de franchisePas de franchiseRecours des assurés entre euxRecours des assurés entre eux
Exemple de tarificationExemple de tarification
Montant garantiMontant garanti 1.000.000€1.000.000€
Chiffre d’AffairesChiffre d’Affaires 12.000.000€12.000.000€
Fonds PropresFonds Propres 4.000.000€4.000.000€
Dettes à court termeDettes à court terme 2.500.000€2.500.000€
RésultatsRésultats 800.000€800.000€
Montant de la primeMontant de la prime 1.887 € HT1.887 € HT régularisée annuellementrégularisée annuellement
Risques Informatiques et Risques Informatiques et AssurancesAssurances
Risques informatiques : généralités
Risques informatiques : enjeux et coûts
Risques informatiques : Dirigeants (DSI, DG, etc), personnellement responsables
Les solutions d’assurance :Risques informatiquesResponsabilité personnelle de dirigeant
Conclusion
Risques Informatiques: résuméRisques Informatiques: résumé L’assurance est une nécessité…
Le matériel est couvert pour sa valeur vénale.
Les données ne valent rien. Les données disparues n’ont aucune
conséquence sur le présent et l’avenir. Les Dirigeants (DSI, DG, etc) ne sont pas
responsables.
… mais attention, les contrats ne sont pas tous les mêmes !
Risques Informatiques: Risques Informatiques: résumérésumé
Une assurance pour éviter de solliciter les fonds propres de l’entreprise :
Identification et analyse des risques Méthodes qualité et procédures Assurance contre les risques sévères
La qualité de protection d'une entreprise se mesure au degré de réactivité de ses responsables.
Lorsque la qualité d'un risque n'est pas jugée suffisante, nous ne proposons pas de garanties pour le couvrir.
Responsabilité des Dirigeants: Responsabilité des Dirigeants: résumérésumé
Si un dirigeant fait l’objet d’une mise en cause personnelle sévère, qui menace sa solvabilité et son patrimoine, seule l’assurance dirigeants met en place l’environnement de défense et de protection nécessaire.
Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : qui est concerné ?qui est concerné ?
Toutes les entreprises dont l’activité Toutes les entreprises dont l’activité économique est dépendante du système économique est dépendante du système d’information, exemples:d’information, exemples:
Industrie - Industrie - Bureaux d’études (DAO-CAO), Production, Bureaux d’études (DAO-CAO), Production, etc…etc…
Secteur Agro-alimentaireSecteur Agro-alimentaire
Sociétés de Transport - Sociétés de Transport - Plate-formes logistiques, Plate-formes logistiques, stockage, etc…stockage, etc…
Commerces et distribution – Commerces et distribution – Textile, alimentaire, etc…Textile, alimentaire, etc…
Services et TélécommunicationsServices et Télécommunications
Etc…Etc…
Les éléments pris en compteLes éléments pris en compte
SegmentationSegmentation (l’activité)(l’activité)
ClassificationClassification (la situation financière)(la situation financière)
Total du bilanTotal du bilan (la structure financière)(la structure financière)
L’étendue géographique des activitésL’étendue géographique des activités
Evaluation des risquesEvaluation des risques
Documents nécessaires pour une étudeDocuments nécessaires pour une étude La liasse fiscale La liasse fiscale
Le questionnaire propositionLe questionnaire proposition
Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : calcul de la primecalcul de la prime
Le coût de la sécurité informatique est parfois difficile à Le coût de la sécurité informatique est parfois difficile à justifierjustifier
L’évaluation des risques permet d’identifier la faisabilité d’une L’évaluation des risques permet d’identifier la faisabilité d’une assuranceassurance
Les conséquences d’une absence de décision peuvent être Les conséquences d’une absence de décision peuvent être importantes tant pour l’entreprise que pour les dirigeants à importantes tant pour l’entreprise que pour les dirigeants à titre personneltitre personnel
Les solutions pour favoriser la décision :Les solutions pour favoriser la décision :Diagnostic : cartographie des risques, évaluation des dispositifs Diagnostic : cartographie des risques, évaluation des dispositifs préventifs et curatifspréventifs et curatifsÉvaluation des impacts de la mise en place de solutions Évaluation des impacts de la mise en place de solutions préventives et curatives sur les primes d’assurancepréventives et curatives sur les primes d’assuranceAccompagnement dans la mise en place de solutions préventives Accompagnement dans la mise en place de solutions préventives et curatives de meilleure qualité.et curatives de meilleure qualité.
Risques informatiques et Risques informatiques et responsabilité des dirigeants : responsabilité des dirigeants : calcul de la primecalcul de la prime
Nicolas BAUDYConsultant en assurances
CGSSI – SFVA155, rue de la POMPE
75116 Paris
www.cgssi.com