Renforcer la Cyber-Résilence des entreprises en choisissant la Responsabilité Civile Professionnelle au titre de la sécurité des informations et la protection des données personnelles, en option ou en « stand alone ».

Dans un monde dominé par les informations et leur dématérialisation, les cyber-risques sont une réalité incontournable.

Responsabilité Civile Professionnelle au titre de la sécurité des informations et la protection des données personnelles

Dans un monde dominé par les informations et leur dématérialisation, les cyber-risques sont une réalité incontournable.

Les cyber-risques entrent désormais dans le top 5 des risques majeurs.

Les SI des entreprises et organisations sont des cibles de choix. Les conséquences d’une attaque réussie peuvent être dramatiques sur les plans financiers, juridiques, notoriété.

Dans le même temps, les attaques informatiques à leur encontre se multiplient, générant des risques qui peuvent être lourds pour l’entreprise : utilisation frauduleuse de données, pertes de chiffre d’affaires, impacts sur l’image de marque… Face à ces risques, quelles sont les protections qui peuvent être mises en place ?

Pour vous présenter ces nouvelles menaces et les solutions d’assurances développées pour y faire face, PEP’S 28 – Perche Numérique Valley organise une conférence dédiée aux Cyber-Risques, le Jeudi 2 octobre 2014, à 19h00, sur La Loupe (lieu préciser lors de la confirmation).

Programme

« Cybercriminalite, cyber-risques, ce que vous risquez vraiment » animé par l’Adjudant-chef Jean-Michel PINAULT, Référent intelligence économique du groupement de la gendarmerie nationale.

Cyber-risques point de vue du législateur » animée par Madame Laure de La Raudière, Député de la 3ème circonscription d’Eure-et-Loir depuis 2007 ( Lucé – Nogent-le-Rotrou), spécialiste du numérique à l’Assemblée nationale. Associée puis créatrice et chef d’entreprise 2001-2010, ancien directeur de France Télécom en Eure-et-Loir 1997-2001

« Pour faire face à la cybercriminalité, quelles solutions d’assurance ? » . Mr Lucien Mounier, AIG Europe

 

Définition et contexte légalLe piratage informatique en pleine expansionLES OBLIGATIONS ET RESPONSABILITES DES ENTREPRISES
Le piratage informatique autrement appelé hacking consiste en une intrusion dans un système informatique afin de voler, détourner ou détruire des données numériques.

 

Il n’existe aucune définition juridique du piratage informatique mais le Code pénal répertorie un certain nombre d’infractions consistant en des « atteintes aux systèmes de traitement automatisé de données » (STAD). Ces infractions sont visées aux articles 323-1 à 323-7 du Code pénal.

 

Ainsi, la simple intrusion est punie de 2 ans d’emprisonnement et de 30.000 euros d’amende. L’entrave au bon fonctionnement, la modification des données ou l’introduction de fausses données est punie de 5 ans d’emprisonnement et 75.000 euros.

Les peines sont renforcées lorsque l’atteinte concerne un  STAD à caractère personnel mis en œuvre par l’Etat.

Le piratage informatique est un phénomène grave, lourd de conséquences pour les professionnels et en pleine expansion comme en témoigne les exemples médiatiques et les études statistiques.

 

En avril 2011, la presse s’empare du scoop, le géant japonais Sony est victime de hackers. Le service Playstation Network qui consiste en une mise à disposition de jeux en ligne et location de films est piraté. L’attaque aurait potentiellement affecté les 77 millions de comptes d’abonnés dont parmi eux 10 millions sont associés à des numéros de carte de crédit. De lourdes pertes financières se comptant en milliards de dollars[ ][]ont été recensées et un bon nombre d’actions en justice ont été engagées contre la firme[.

 

Mi-septembre 2014, l’opérateur de téléphonie mobile Vodafone a été victime d’un piratage informatique et les données personnelles dont les coordonnées bancaires de 2 millions de clients ont été dérobées.

 

En octobre 2013, Adobe a été victime d’une intrusion dans ses serveurs qui aurait causé la subtilisation de données personnelles de 2,9 millions de clients.

 

Plusieurs récentes études ont permis de mettre en évidence certains chiffres marquants :

 

Selon la 4ème édition de l’étude  « Cost of Data Breach » publiée en 2013 par Symantec et le cabinet Ponemon Institue, le coût des intrusions informatiques en France a augmenté de 11% en 2012 par rapport à 2011. Le coût moyen d’un vol de données pour une entreprise est estimé à 2,86 millions d’euros en 2012 (contre 2 ,55 millions pour 2011).

 

 

D’après le Rapport Symantec sur les menaces de sécurité Internet 2013, les PME seraient davantage touchées par ces atteintes. En 2013, 31 % des attaques ciblées étaient dirigées contre des entreprises de moins de 250 employés.

Face à la menace sans cesse grandissante du piratage informatique, la tendance est à la responsabilisation des entreprises victimes. En effet, afin d’empêcher le piratage ou d’en limiter les conséquences dommageables, les entreprises sont soumises à certaines obligations.

 

 

  • Obligation des entreprises de sécuriser leur système de traitement automatisé

 

La loi soumet les entreprises à l’obligation de sécuriser leur système de traitement automatisé, sous peine de sanctions pénales.

 

Art. 226-17 du Code pénal :

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

 

Par ailleurs, une décision du Tribunal correctionnel de Créteil du 23 avril 2013 a rejeté le recours d’une société victime d’un piratage contre le hacker car le système de traitement n’était pas sécurisé,  il n’a donc pas commis d’infraction.

 

En d’autres termes, l’entreprise négligence qui n’a pas procédé à la sécurisation de son système de traitement encourt des sanctions pénales, peut voir sa responsabilité engagée à l’égard de ses nombreux clients, sans recours contre le tiers auteur du piratage !

 

 

  • Obligation d’information auprès de la CNIL en cas de piratage

 

Le Règlement européen n° 611/2013  impose depuis le 25 aout 2013 aux opérateurs de services de télécommunications et aux fournisseurs de services internet de suivre en cas de perte de vol ou de violation de données électroniques à caractères personnel de leurs clients une novelle procédure d’information auprès de la CNIL.

 

L’Union européenne envisage d’étendre cette obligation à toutes les entreprises et pas seulement aux opérateurs de télécommunications électroniques, à l’instar des Etats-Unis. Ce nouveau dispositif représenterait de nouvelles contraintes pour les entreprises, et notamment financières quant à la mise en place par exemple d’un inventaire et recensement exhaustif des fichiers piratés. Bien entendu, de lourdes conséquences dommageables sont aussi à prévoit quant à l’atteinte à l’e-reputation de la société victime qui sera dans l’obligation de déclarer le piratage dont elles auront été victime, ainsi que l’ampleur des dégâts (analyse du nombres et de la nature des données personnelles violées.