L’offre Cyber Risques permet de réduire les incidences financière suite à une attaque informatique (piratage, virus, cyber attaque, cybercriminalité, …)
Demandez un devis
Simple virus, piratage informatique, espionnage, vol de données, malveillance d’un employé, tentative de cyber extorsion de fonds, voire de cyber espionnage économique ou industriel…
Une cyber attaque est un acte de malveillance informatique qui peut prendre de multiples formes et qui peut entraîner des répercussions graves sur votre activité et votre image.
Les cyber attaques sont devenues une réalité incontestable, quel que soit votre secteur d’activité. Face à ces nouvelles menaces, votre entreprise doit se protéger avec une couverture dédiée. Au-delà d’une solution assurantielle, CYBER SECURE vous apporte une réponse globale.
UNE RÉPONSE ASSURANTIELLE COMPLÈTE(1)
La prise en charge de vos frais en cas de cyber attaque, d’erreur humaine, de vol de données ou de cyber fraude.
Cyber Secure couvre automatiquement les conséquences immatérielles des évènements suivants :
. Atteinte aux informations et reconstitution des données
. Vol des données personnelles et notification
. Tentative de rançonnage
. Protection juridique
. Atteinte à l’e-réputation
En cas de cyber attaque portant atteinte à votre système informatique, CYBER SECURE vous accompagne pour :
– mener des actions d’expertise et d’assistance informatique (identification de l’origine, du mécanisme et de l’étendue du programme malveillant implanté dans votre système informatique),
– mener des actions de suppression de programme malveillant, et corriger les données infectées ou altérées,
– formuler des préconisations en matière de protection et de sécurisation de votre système informatique afin d’éviter la survenance de nouvelles attaques malveillantes.
Le résumé des garanties du produit CYBER SECURE
Les avantages de l’offre Cyber Secure face à l’obligation de mise en conformité de sociétés avec la nouvelle réglementation européenne
PROTECTION DES DONNÉES PERSONNELLES : RISQUES ENCOURUS ET ASSURANCE
TPE, PME, collectivités territoriales : vous êtes concernées par le RGPD !
Consultez notre Guide RGPD : Cyber Secure : Guide RGPD pour TPE PME et Collectivités territoriales
Le GDPR (General Data Protection Regulation) est la nouvelle réglementation qui entrera en vigueur le 25 mai 2018. Elle vient remplacer la directive de 1995 sur la protection des données et renforcer la Loi informatique et Libertés de 1978.
AXA avec le contrat Cyber Secure, accompagne l’assuré, victime d’une violation des données personnelles :
. Pour mener une action d’expertise et d’assistance informatique
. Prendre en charge les frais de notification et d’information individuelle aux personnes concernées par la violation de leurs données personnelles
. Mettre en place une plateforme téléphonique si nécessaire
. Assister juridiquement l’assuré
. Aider l’assuré à mettre en œuvre un plan de communication si la réputation de l’entreprise est dégradée
Atteinte à vos données
Votre entreprise peut subir une indisponibilité, altération, destruction ou perte de vos données stockées chez vous ou chez des tiers (hébergeurs, Data Centers, fournisseurs de Clouds…) suite à un acte malveillant.
CYBER SECURE prend alors en charge la reconstitution des données à partir de vos documents et sauvegardes informatiques.
Pertes d’exploitation
Une atteinte aux informations peut aussi impacter votre chiffre d’affaires.
L’option « Pertes d’exploitation » de CYBER SECURE vous aide dans la poursuite de votre activité en prenant en charge la baisse de chiffre d’affaires du fait de l’indemnisation de la marge brute.
Vol de données personnelles
Des données à caractère personnel peuvent être volées (données personnelles de vos clients, codes d’accès, coordonnées bancaires, informations médicales…).
Notre offre prend en charge les frais de notification et d’information en conformité avec la réglementation.
Tentative de détournement de fonds
Votre entreprise peut aussi subir un vol de trésorerie ordonné par un logiciel malveillant introduit frauduleusement dans votre système informatique.
Avec l’option « Cyber détournement de fonds », CYBER SECURE prend alors en charge les pertes pécuniaires subies.
Atteinte à votre e-réputation
Votre entreprise peut aussi subir des diffamations, des injures, des dénigrements sur internet (sites web, réseaux sociaux, blogs, forums…) entachant votre réputation, voire une divulgation illégale de la vie privée de vos dirigeants.
CYBER SECURE prend en charge l’intervention d’une entreprise spécialisée dans le nettoyage ou noyage de ces données préjudiciables(2).
Et aussi…
Si vos données sont endommagées suite à une erreur humaine
Votre entreprise peut subir une indisponibilité, altération, destruction ou perte de vos données stockées chez vous ou chez des tiers (hébergeurs, Data Centers, fournisseurs de Clouds…) résultant d’une erreur humaine.
Avec l’extension « Autres dommages », CYBER SECURE prend alors en charge la reconstitution des données à partir de vos documents et sauvegardes informatiques.
Si votre responsabilité vis-à-vis de tiers est mise en cause
Votre entreprise peut subir une cyber attaque qui entraîne un préjudice financier à des tiers (clients, fournisseurs, partenaires…), facilitée par une faille ou une insuffisance de protection de votre système informatique.
L’option « Responsabilité civile », de CYBER SECURE prend en charge les dommages immatériels causés aux tiers pour lesquels vous portez une part de responsabilité »(3).
Accompagnement et protection juridique(1)
Vous êtes victime d’une cyber attaque, d’une atteinte à votre e-réputation, d’une usurpation d’identité ou d’un litige avec un e-client ou un e-fournisseur ?
CYBER SECURE vous fournit des informations juridiques par téléphone, vous accompagne en cas de litige et prend en charge vos frais de justice : frais et honoraires d’avocat, d’expert et d’huissier.
(1) Selon clauses et conditions du contrat.
(2) Sous réserve des limitations techniques afférentes à Internet.
(3) Si vous êtes déjà titulaire d’un contrat de responsabilité civile entreprise souscrit auprès d’AXA, alors cette garantie vous est déjà acquise, et par conséquent cette option ne vous est pas nécessaire.
Exemple de sinistres
PIRATAGE SITE INTERNET
Suite à un piratage de votre site internet, celui-ci est hors-service et votre activité en ligne est momentanément stoppée.
Solution AXA : prise en charge des frais d’expertise et d’assistance informatique, des frais de remise en état du site Internet, des frais de re-référencement, et des pertes d’exploitation liée à l’activité Internet.
Exemple de client victime : Un domaine viticole de Bourgogne a créé, il y a 4 ans, un site e-commerce afin de vendre son vin à un plus large public.
L’entreprise se développe et attire la convoitise. En décembre 2015 (période de commande pour les fêtes), des hackers réussissent à pirater le site Internet et à le mettre hors-service, ce qui entraîne l’arrêt pendant 5 jours de son activité de vente sur Internet représentant 10 % du total de ses ventes.
Coût total du sinistre : 48 000 € avant franchise
Prise en charge : frais d’expertise et d’assistance informatique,
frais de remise en état du site Internet, frais de re-référencement, pertes d’exploitation de l’activité Internet.
CYBER – EXTORSION DE FONDS
Suite à l’ouverture d’un mail frauduleux contenant en pièce jointe une logiciel malveillant (malware), des hackers s’introduisent dans votre système informatique. Ils accèdent à vos données comptables et détournent 1 000 000 € en modifiant vos coordonnées IBAN et RIB.
Solution AXA : prise en charge des frais d’expertise et d’assistance informatique, de protection juridique (frais de poursuite légale) et indemnisation des pertes de fonds détournés.
Exemple de client victime : En Isère, une entreprise spécialisée dans les études techniques (fluides, électricité, traitement de l’air…) propose régulièrement ses services dans le cadre de constructions industrielles de grande ampleur. Son dirigeant, Monsieur X, diplômé d’une grande école d’ingénieur a créé cette structure, après cinq années en tant qu’ingénieur. L’entreprise compte à ce jour 14 salariés dont 12 cadres.
Des hackers ont récupéré l’identité de Monsieur X sur les réseaux sociaux professionnels afin de se faire passer pour lui par mail auprès des salariés de l’entreprise. Le mail frauduleux contenant, en pièce-jointe, un logiciel malveillant (malware) est ouvert par un des salariés. Son ouverture entraîne l’intrusion dans le système informatique permettant ainsi aux hackers d’accéder aux données comptables et de détourner 100 000 € en modifiant les coordonnées IBAN de RIB.
Coût total du sinistre : 105 000 €
Prise en charge : frais d’expertise et d’assistance informatique, pertes pécuniaires.
MALVEILLANCE INTERNE
Un salarié mécontent de son employeur introduit un logiciel malveillant via une clé USB avant de démissionner. Il récupère ensuite l’ensemble des données clients à distance et les diffuse sur internet, mettant en péril son employeur.
Solution AXA : prise en charge des frais d’expertise et d’assistance informatique, des frais de notification clients, des frais de protection juridique, (ex. : atteinte à l’e-réputation).
RANSOMWARE CRYPTAGE DONNÉES CLIENTS
Exemple de client victime : Un petit cabinet d’expertise comptable de région parisienne commence à se faire un nom dans le domaine, en axant son développement sur l’accompagnement social des entreprises en plus de l’expertise comptable.
En janvier 2016, le cabinet est « sous l’eau » du fait de la mise en place de la mutuelle santé obligatoire dans les entreprises. C’est le moment choisi par un hacker pour s’infiltrer dans le système d’information du cabinet et ainsi crypter toutes les données clients par le biais d’un cryptolocker.
Le hacker affirme décrypter les données si une rançon de 2 000 € lui est versée. Les 9 salariés du cabinet, tributaires de l’informatique, se retrouvent dans l’impossibilité de travailler pendant plusieurs jours.
Coût total du sinistre : 34 000 €
Prise en charge : frais d’expertise et d’assistance informatique, frais de reconstitution des données, pertes d’exploitation.
Avec son assureur, l’entreprise a fait le choix de ne pas payer la rançon pour des raisons de moralité. L’assureur a pris en charge les frais notamment de reconstitution des données et les pertes d’exploitation, bien que ce soit au total plus élevé que le montant de la rançon demandée. Outre la raison d’éthique, c’est aussi plus sûr et plus efficace que de payer une rançon à l’efficacité incertaine.
Suite à cette attaque, l’entreprise a suivi les recommandations de son assureur pour s’équiper en prévention d’un outil de détection comportementale des logiciels suspects (solution SES proposée par Stormshield, filiale d’AIRBUS D&S, partenaire d’AXA), de façon à ne plus jamais avoir de cryptolocker.
Demandez un devis
Tout savoir sur la General Data Protection Regulation
– Qu’est-ce que c’est ?
Le GDPR (General Data Protection Regulation) est la nouvelle réglementation qui entrera en vigueur le 25 mai 2018. Elle vient remplacer la directive de 1995 sur la protection des données et renforcer la Loi nformatique et Libertés de 1978.
Son but est de renforcer et d’harmoniser la protection des données personnelles de résidents de l’Union Européenne, tout en facilitant la libre circulation de ces données.
Pour aider les entreprises et les organismes à se mettre en conformité avec le GDPR, une autorité administrative veille à l’application de la réglementation en France : la CNIL. Le GDPR entraîne donc de nouvelles obligations à préparer dès aujourd’hui mais aussi de nouvelles opportunités qui favoriseront la confiance du client.
– Qui est concerné ?
Toute entreprise, toute organisation (associations, administrations, collectivités locales, syndicats…), qui collecte, traite et stocke des données à caractère personnel de personnes résidants dans l’Union Européenne.
– En cas de non-conformité à la réglementation avec la Loi, quelles sont les sanctions encourues par les organismes/entreprises ?
En fonction du niveau de non-conformité avec la loi, un organisme/une entreprise sera sanctionné après avertissement par une amende administrative de :
En cas, notamment :
. D’absence de mise en œuvre des mesures de protection des données à caractère personnel
. De non-respect des règles de désignation du Délégué à la protection de données personnelles (DPO Data Protection Officer)
. D’infractions aux règles de transferts de données personnelles hors de l’Union Européenne
. D’infractions aux règles de protection des données personnelles sensibles (liées au médical, à la religion…)
. D’absence de communication publique, ou de notification individuelle, aux personnes concernées par une violation de leurs données à caractère personnel
– La CNIL : l’autorité administrative qui veille à l’application de la réglementation sur la protection des données en France
CNIL : Commission Nationale de l’Informatique et des Libertés Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante et le régulateur des données personnelles
Ses missions :
– Conseiller et informer les entreprises et les particuliers
– Contrôler les entreprises et protéger les individus
– Sanctionner les entreprises en non-conformité par rapport à la réglementation
Pour plus d’informations, RDV sur le site de la CNIL : www.cnil.fr
– Quelques définitions concernant les données à caractère personnel…
. Les données à caractère personnel sont celles qui permettent d’identifier une personne, directement ou indirectement (nom, prénom, N° de téléphone…)
Certaines données telles que les données touchant la vie privée (données de santé par exemple), les données bancaires, sont plus sensibles que d’autres et soumises à des règles de protection particulières
. Certaines données sont quant à elles interdites de collecte : origine raciale ou ethnique, opinion politique, opinion religieuse, opinion philosophique, appartenance syndicale, vie sexuelle, données de santé et médicales* (*sauf si la finalité du traitement l’exige)
Wanacrypt0r 2.0 : Exemple d’une attaque de grande envergure
Ransomware qui crypte les données de la machine infectée puis demande une rançon de 300$.
. cible les fichiers avec extension «.docx, .xlsx, .pptx, .pst, .msg, .eml, .pdf…»
. les crypte en extensions « wnry, .wcry, .wncry, and .wncry… »
Apparu le 12 mai 2017, il fait plus de 200 000 victimes à travers 15 pays.
. Propagé par phishing (mails frauduleux avec pièces jointes infectées),
. Utilise une faille de sécurité sur WINDOWS:
– Découverte par NSA
– Rendue publique
– Corrigée le 14 mai 2017 par MICROSOFT (patch de mise à jour de sécurité) … sauf sur les systèmes d’exploitation qui ne sont plus maintenus :Windows XP / Windows serveur 2003 (avant 2008)
Victimes de Wanacrypt0r 2.0
Renault (FR), Telefonica (ESP), NHS (UK), Fedex (US), Deutsche Bahn (GER), Sberbank (RUS)…
Enseignements suite à Wanacrypt0r 2.0
Il devient urgent pour les entreprises de se préparer à une prochaine attaque :
1) S’équiper de pare-feu et d’antivirus de qualité
2) Mettre régulièrement à jour ses logiciels (patchs de sécurité pour tous les systèmes d’exploitation)
3) Mettre en place des sauvegardes régulières et tester les restaurations
4) et se protéger des conséquences en souscrivant une assurance Cyber
