[DOSSIER] Risques cyber 5/5

Sécurité cyber, réformes en vue

Sécurité cyber, réformes en vue

Le marché de la cyber-assurance se prépare à l’arrivée de nouveaux impératifs réglementaires. Des éléments attendus par le marché pour élargir la souscription, mais aussi pour améliorer la remontée des statistiques de sinistralité.

En France, la législation sur la protection des données personnelles a d’abord ciblé les opérateurs des télécoms qui doivent notifier une faille de sécurité à la Cnil (Commission nationale de l’informatique et des liber­tés), puis informer leurs clients, conformément à l’article 34 bis de la loi Informatique et Libertés. En décembre 2015, le Conseil d’État, confirmant la sanction infligée par la Cnil à Orange, a rappelé que les exigences de sécurité concernaient également les sous-traitants d’une entreprise. En 2014, c’est ainsi que 1,3 million d’informations sur les clients et prospects de l’opérateur avaient été dérobés chez un fournisseur de rang 2. Mais les problématiques de fuites de données personnelles sont loin de ne concerner que les opérateurs télécoms en France. Pour l’ensemble de l’Union européenne, les pertes financières annuelles sont estimées entre 260 et 340 Md€ par l’Agence européenne chargée de la sécurité des réseaux et de l’infor­mation (Enisa). Les « 28 » ont donc lancé une réflexion globa­le, multisectorielle, pour améliorer la sécurité informatique et l’infor­mation des usagers en cas de faille.

Une stratégie en deux temps

Comme souvent sur la thématique du risque cyber, il faut d’abord tourner les yeux vers les États-Unis. Le marché de la cyber-assurance a décollé dès les années 2000, avec l’obligation de notification en cas de violation des données personnelles, voire dès le début du moindre soupçon. La réglementation, entrée en vigueur en 2003 en Californie, s’est étendue à 45 des 50 états. L’Europe, de son côté, a choisi d’encadrer les données personnelles par deux actions distinc­tes : un règlement, qui s’applique tel quel, et une direc­tive, qui doit être transposée en droit national. Le premier étage de la fusée européenne, le règlement sur la protection des données personnelles, entrera en vigueur le 25 mai 2018. Il concerne tous les organismes qui collectent et gèrent des données à caractère privé. Soit les données clients, mais aussi tout simplement les informations personnelles des collaborateurs, par exemple. En cas de fuite, s’il est prouvé que l’entreprise ne s’est pas mise en conformité avec la réglementation, les amendes pourront s’élever à 10 M€ ou l’équivalent de 2 % du chiffre d’affaires annuel mondial. En cas de violation d’un des principes fondamentaux de l’Auto­rité de contrôle européenne, la facture sera portée à 20 M€ ou 4 % du chiffre. Soit un risque financier d’envergure…

Enfin le second étage se focalise sur les entreprises qui fournissent des services essentiels comme l’énergie, les transports, le secteur bancaire, la santé, mais aussi, dans une moindre mesure, les moteurs de recherche, les sites de e-commerce et les fournisseurs de cloud. La proposition de directive NIS (pour Network and Information Security) est au menu du Parlement européen du 4 au 7 juillet. Toutefois, la France a pris les devants avec la loi de programmation militaire 2014-2019, actualisée en juillet 2015, qui oblige les OIV (Opérateurs d’importance vitale) à remonter les incidents de sécurité à l’agence nationale de sécurité des systèmes d’information ou Anssi. L’agence, fortement engagée dans la sensibilisation des entreprises au risque cyber, espère un effet de capillarité, en partant des OIV jusqu’au bout de leur chaîne d’approvisionnement.

Tous opérateurs deviendront-ils des OIV ?

Du côté du marché de l’assurance, la principale attente concerne la remontée des statistiques sinis­tres. « Nous discutons avec l’Anssi car la loi de programmation militaire ouvre une fenêtre d’opportunité intéressante en obligeant les entreprises concernées à notifier leurs incidents », explique Bénédic­te Dolfus, ex-déléguée générale de l’Apref (Association des professionnels de la réassurance en France). Les notifications, remontées à l’assurance via un processus sécurisé, pourraient permettre de mieux modéliser leurs risques.

Emploi

SIACI

Gestionnaire Sinistres Construction H/F

Postuler

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Proposé par   Marchés Online

Commentaires

Sécurité cyber, réformes en vue

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié