De plus en plus d'entreprises ont recours au Cloud Computing. Dans le domaine de la cyber assurance, nous nous posons souvent la question de savoir comment le Cloud exerce une influence sur le cyber-risque. Il ne fait aucun doute que cela complique les choses.
Dans un environnement de Cloud Computing, trois parties sont généralement impliquées : (1) le client final ou l'utilisateur du service (un particulier ou une organisation) ; (2) le propriétaire des données - entreprise qui fournit un service ou des produits au client ; et (3) le détenteur des données - un fournisseur tiers de services Cloud qui fournit un hébergement (stockage, application, matériel) au propriétaire des données.
Cloud Computing : une grande variété de cyber menaces difficilement appréciables
Les données sont particulièrement vulnérables dans le Cloud en raison d'une grande variété de menaces : manque de transparence des opérations, gestion à distance et indirecte, amélioration des menaces externes puisque n'importe qui peut obtenir un compte dans l'environnement du fournisseur de cloud, menaces internes accrues car le propriétaire des données n'a aucun contrôle direct sur qui peut accéder ou administrer les données, et interfaces de programmation applicative (API) qui sont complètement accessibles sur Internet. Ces dangers ont été détaillés dans un précédent article.
Les assureurs doivent faire face à cette tendance qui complique davantage encore leur appréciation des risques cyber. Il leur est très difficile d’anticiper les conséquences financières d’un cyber incident au sein d’une entreprise ayant recours au Cloud Computing. Quelle pourrait être la gravité de l’intrusion au niveau de l’hébergeur ou de l’assuré ? Qui est responsable en cas de cyber intrusion ? Le fournisseur tiers de service Cloud ? L’entreprise responsable du traitement ? Les deux ? Que prévoit le contrat de prestation de service signé en cas de violation des données ?
La cyber assurance peut-elle incarner une réponse à cette nouvelle organisation ?
Avant de répondre à cette question, revenons sur les origines de la cyber assurance et les réponses apportées. Rappelons à cette occasion que les entreprises ne sont pas assurées par leurs contrats d’assurance traditionnelle des conséquences des violations des données personnelles, la cyber assurance apportant précisément la réponse à ces risques.
Le RGPD comme accélérateur
Bien qu'elle ait gagné en popularité ces dernières années, la cyber assurance existe en fait depuis plus de deux décennies et est apparue pour la première fois sur le marché américain en 1997.
En France, le marché de la cyber assurance a été stimulé ces dernières années par l’entrée en vigueur du RGPD, règlement impliquant une obligation de notification des atteintes à la protection des données et des risques de sanction élevés. Avec cette nouvelle obligation aux conséquences financières importantes, les entreprises ont compris l’intérêt qu’elles avaient à transférer ce nouveau risque vers un contrat d’assurance dédié. Enfin, l’arrivée des crypto monnaies (Bitcoin en tête), la prolifération des attaques de Phishing et l’augmentation du montant des rançons ont également contribué à rendre populaire ces nouveaux contrats d’assurance qui apportent une vraie réponse aux entreprises.
Un contrat d’assurance en réponse à une atteinte à la protection des données.
Un peu partout dans le monde, le marché de la cyber assurance s'est vraiment développé avec le souhait de faire face à l'impact des atteintes à la protection des données. Avant l'adoption de ces lois sur la notification, beaucoup d'entreprises n'examinaient pas nécessairement l'impact financier qu'un cyber incident pourrait avoir sur leurs activités. Cela signifie que de nombreuses entreprises ne savaient pas si les investissements visant à les protéger contre une cyber attaque en valaient la peine d'un point de vue économique ; Elles n'avaient donc pas de couverture assurantielle face à ce type de risques parce qu'elles n'avaient aucune idée de l'impact que cela pourrait avoir.
Les chiffres relatifs aux conséquences financières circulant davantage aujourd’hui, ces nouveaux contrats d’assurance sont de plus en plus souscrits, même par des PME de petite taille, de plus en plus conscientes qu’elles sont elles aussi victimes des cyber attaques...
Les lois sur la notification ont essentiellement permis aux entreprises d'associer une perte de valeur aux atteintes à la protection des données, de comptabiliser les coûts, y compris ceux liés à la notification à un organisme de réglementation, les coûts directs et indirects, subis ou causés, sans oublier les pertes d’exploitation, pertes de clients ou surcoût d’acquisition de nouveaux clients (lié à la perte d’image).
Des contrats d’assurance complets
La plupart des couvertures d'assurance cyber-risque ont été développées au départ pour faire face aux pertes d'exploitation. Les nouvelles générations de contrats d’assurance cyber se sont ensuite enrichis en proposant de nouvelles garanties : assistance gestion de l’incident avec des spécialistes de la gestion de crise, garanties RGPD (Couverture des frais de notification), garantie cyber extorsion, fraude téléphonique et fraude informatique.
Les pertes d'exploitation sont une ligne d'assurance généralement liées aux dommages physiques, tels que les dommages causés par les inondations, qui indemnise les entreprises pour les pertes de profits. Les contrats d’assurance traditionnels ne couvrent pas les entreprises pour les pertes d’exploitation liées à un dommage immatériel (événement cyber par exemple), ce qui rend indispensable cette nouvelle génération de contrat d'assurance.
Dans le cadre d'un événement déclencheur de la couverture « Perte d’exploitation » liée à une interruption d’activité, il doit y avoir un lien causal direct entre la cyberattaque et l'interruption d’activité et la perte de revenus pour l’entreprise.
Dans le cas d'une attaque active, lorsqu'un adversaire ou un auteur détruit ou modifie des données qui détruisent ou modifient le système informatique, ou lorsqu'une attaque par déni de service a lieu et que les opérations commerciales cessent, le lien de causalité avec une perte de marge brute est en général assez simple à établir.
Les choses sont en revanche plus complexes lorsqu’il s’agit de mesurer les conséquences d’une attaque chez un hébergeur.
Cloud computing : comment apprécier le risque ?
Lorsqu'il s'agit d’une interruption de service dans le Cloud, les dommages peuvent être encore plus difficiles à calculer. Un récent rapport du Lloyd's a estimé les coûts associés aux temps d'arrêt d'un important fournisseur de cloud computing. Selon leur analyse, si un cyber incident mettait hors ligne pendant 3 à 6 jours un des trois principaux fournisseurs de services dans le Cloud aux États-Unis, la perte pour les entreprises serait comprise entre 7 et 14 milliards de dollars, pour une charge sinistre assurée comprise entre 1,5 à 2,8 milliards de dollars.
Toujours selon le Lloyd’s, l’appréciation du risque est rendue plus difficile par le fait révèle que les fournisseurs de services Cloud représentent une sources de risques difficile à identifier, la plupart des assureurs ne sachant pas si leurs clients assurés pratiquent le Cloud computing et chez quel fournisseur de service.
Cloud Computing : où se situe la responsabilité en cas d’atteinte aux données personnelles ?
Le défi du Cloud est qu'il s'agit d'une responsabilité partagée entre le fournisseur et le client du Cloud. Les deux parties doivent être conscientes de la sécurité pour prévenir une violation des données, et il n'est pas toujours clair qui est responsable en cas de défaillance de la sécurité.
Il existe en effet une contradiction forte entre des clients qui veulent que les fournisseurs de Cloud computing assument une responsabilité illimitée en cas de panne et d'interruption d'activité, tandis que les fournisseurs veulent limiter et plafonner leur responsabilité.
En outre, il y a des complexités considérables quant à la juridiction d’application des lois selon la localisation de l’évènement, lorsqu’un client vit dans un pays différent de celui dans lequel où sont hébergées ses données.
Selon un récent rapport de l'OCDE, " l'une des principales préoccupations des compagnies d'assurance est le niveau de responsabilité que les fournisseurs de services Cloud accepteront en cas d'atteinte à la confidentialité des données. Certains ont suggéré que les fournisseurs de services Cloud n'assument qu'une responsabilité limitée et qu'une grande partie des coûts d'une violation de la confidentialité des données soit assumée par leurs clients (et leurs assureurs).
Cloud computing : des contrats offrant des garanties limitées
Les fournisseurs tiers de service Cloud ont généralement fait un excellent travail en limitant leur responsabilité, parfois à 0 € ou à un montant égal à un an de frais qui leur a été payé. Les dommages-intérêts sont généralement limités aux coûts directs, et ne couvrent pas de ce faits tous les aspects d'un manquement au RGDP, comme les frais de notifications ou les conséquences financières des poursuites intentées par des clients. Une police d'assurance cyber bien conçue couvrira les frais de responsabilité civile ainsi que les dépenses directes liées au traitement d'une violation.
Cependant, même si vous avez votre propre assurance cyber, vous pourriez exiger que le fournisseur de services Cloud soit également assuré afin de vous aider à financer une partie de ces frais. Leur contribution pourrait vous aider à financer votre franchise ou à payer les coûts excédentaires si la limite de votre contrat était dépassée.
Gardez à l'esprit que même si le contrat d'un fournisseur de services Cloud limite la responsabilité par défaut, il n'est pas certain que ces contrats soient efficaces au moment de payer une réclamation. Si le vendeur de service Cloud est vraiment négligent, le tribunal peut décider que les plafonds de responsabilité du contrat préalablement signé ne s'applique pas.
L’entreprise propriétaire des données doit-elle s’assurer ?
Il est très difficile de négocier des clauses spécifiques avec un fournisseur tiers de services Cloud dans le but de se protéger des conséquences d’une destruction, vol ou indisponibilité de ses données. Recourir à la souscription d’un contrat d’assurance cyber-risques permet de palier à cette absence d’accord avec un prestataire Cloud.
La plupart des contrats d’assurance cyber définissent le "système informatique" en incluant les réseaux de tiers avec lesquels l’entreprise a conclu un contrat de prestation / traitement informatique. Ainsi, en cas d'atteinte au système d’information et aux données, le contrat d’assurance cyber protègera l’entreprise quel que soit l'endroit où les données ont été stockées au moment où l'attaque s'est produite.
S’assurer est sans doute la première chose à faire lorsque l’on pense à protéger son système d’information, que l’on recours au Cloud Computing ou non. Plus d’information / devis en ligne immédiat.