Perte de données informatiques : que faire ?

Mis à jour le 17 février 2020 par Antoine Fruchard 

Avec l’essor de la mobilité et d’Internet, le nombre de données échangées, conservées ou utilisées est devenu phénoménal. Et c’est une immense opportunité pour les pirates informatiques ! Pourtant, une fuite de données en entreprise, qu’il s’agisse d’une simple intrusion ou d’un vol suivi d’un chantage, peut avoir de graves répercussions quant à l’image de votre marque. Vos assurances professionnelles vous couvrent-elles ? L’indemnisation sera-t-elle suffisante ? Faisons ensemble le tour de la question :

Quelle assurance prend en charge la perte de données ?

Avant toutes choses, précisons que ne sont pris en charge par vos assurances professionnelles, que les sinistres et les causes indiqués clairement au contrat. Ainsi, si le fait générateur causant la perte de vos données (attaque, erreur humaine, incendie, virus…) n’y est pas inscrit, votre assurance ne prendra pas en charge ce dommage.

Une assurance dommages informatiques remboursera le matériel informatique de votre entreprise en cas, pour la plupart des contrats, d’incendie et de vol.
Cependant, les dommages aux données suite à un sinistre sont rarement couverts car, par définition, il ne s’agit pas de dégâts matériels.

Une assurance tous risques informatiques couvrira encore plus largement les dégâts matériels sur votre système informatique. Généralement, cela inclura les cas d’incendie, de vols mais également foudre, d’explosions, de dégât des eaux, ou encore de défaut de conception.
Si vous avez souscrit cette option, votre assureur peut garantir les frais de reconstitution des données, mais souvent sous conditions liées à des systèmes de sauvegardes. Elle est donc loin d’être automatique.

L’assurance Responsabilité Civile joue lorsque votre entreprise est mise en cause par un tiers (un client, un prestataire ou même un salarié) victime d’une erreur, d’une faute, d’un défaut de conseil ou de service, ou encore d’une malfaçon. Elle couvrira les dommages matériels comme immatériels en cas de responsabilité avérée de votre société.
Cependant, la majeure partie des Responsabilité Civile classiques ne prendront pas en charge une mise en cause suite à un vol de données provenant d’une attaque via Internet.
Les cyber menaces font en effet partie des exclusions de ce type de polices, compte tenu de l’importance de ces attaques et de leurs conséquences financières. Vous resterez donc redevable des dommages et intérêts que pourront exiger les victimes dont les données personnelles ont été volées, utilisées ou encore revendues.

Une assurance fraude va couvrir les conséquences financières causées par des agissements malhonnêtes provenant de tiers. Il peut s’agir de falsifications de documents ou de chantage.
De même que pour la Responsabilité Civile, une couverture fraude classique ne jouera pas en cas de perte de vos données suite à une cyber fraude (usurpation d’identité via un vol de données suite à un phishing, par exemple).

Quelles assurances pro couvrent la perte de vos données ?

Suite à un événement particulier *Suite à une cyber attaque *
Dommages informatiquesNonNon
Tous risques informatiquesOption Non
Responsabilité Civile ProOuiNon
FraudeOuiNon
Cyber risquesOuiOui

* Si notifié(e) au contrat.

À quelle assurance recourir pour protéger ses données informatiques ?

Nous l’avons vu, toutes les assurances professionnelles classiques sont importantes, mais leur couverture est incomplète : aucune d’entre elle ne garantit les – nombreux – risques de perte de données provenant du web. Citons l’assurance tous risques informatiques, qui porte bien mal son nom : de nombreuses entreprises ont fait les frais de cette confusion suite à une attaque web ayant entraîné une perte de leurs données !

En 2019, l’immense majorité des attaques aux données viennent d’Internet. En effet, les cyber criminels ne manquent pas de créativité pour utiliser à des fins malveillantes des informations personnelles et confidentielles, compromettant ainsi l’activité et la pérennité de l’entreprise qui les héberge ou les utilise.

Citons quelques cyber attaques malheureusement très courantes :

  • Virus ou vers informatiques s’introduisant dans votre système et donc ayant accès à vos données,
  • Ransomware suivi d’une demande de rançon pour récupérer (ou pas) vos données,
  • Attaque DDoS bloquant votre serveur web, et donc vos données,
  • Atteinte à l’e-réputation causant une perte d’exploitation grâce à l’utilisation de vos données.

Une cyber assurance peut couvrir l’ensemble de ces situations. Parmi tous les cyber dommages, la perte de données est une garantie comprise dans toutes les polices cyber risques du marché.

Une cyber-assurance est donc une protection complémentaire et essentielle. Elle est incontournable si votre entreprise héberge et/ou utilise des données confidentielles et/ou sensibles.

Comment choisir la meilleure assurance perte de données ?

1. Identifiez et analysez les risques que court votre entreprise pour connaître vos besoins spécifiques en matière de cyber assurance. En effet, il faut qu’elle soit adaptée à votre secteur d’activité, à votre chiffre d’affaires, à votre système informatique et au budget que vous allouez déjà à sa sécurité, ainsi qu’au nombre et à la sensibilité des données que vous conservez ou que vous utilisez.
L’analyse des risques peut être effectuée par les chefs d’entreprise et leurs responsables informatiques, par une entreprise d’audit en sécurité informatique, ou encore par un cyber assureur (avec l’aide de votre courtier et avant signature d’un quelconque contrat).

Notre conseil : n’hésitez pas à faire un bilan assurantiel. Cela vous permettra d’évaluer les garanties que vous avez déjà souscrites via vos couvertures pro actuelles et déterminer celles qui manquent. Ainsi, vous éviterez de payer plusieurs fois pour les mêmes garanties.

2. Choisissez un bon courtier en cyber assurance. Cet intermédiaire est un professionnel du marché, il saura vous conseiller l’assurance correspondant le mieux aux besoins de votre entreprise et vous accompagner efficacement. Pour trouver un bon courtier, jugez-le sur son expertise cyber, sa disponibilité ainsi que le nombre et la qualité des assureurs qu’il saura vous proposer. Les avis en ligne de ses clients sont une bonne méthode pour vous aiguiller !

3. Comparez les contrats proposés par votre courtier. Ce dernier vous aidera à définir les garanties nécessaires et le plafond de garanties qui convient aux risques que court votre société. Il est possible qu’il vous propose des solutions de couplage d’assurance si votre entreprise a besoin d’être couverte par un plafond supérieur à celui de la moyenne des offres du marché. Enfin, il sera attentif à ce que vous bénéficiez de la meilleure prime et des meilleures modalités (montant des franchises, conditions générales, exclusions prévues, flexibilité de votre assureur…).

cyber-assurance-comparateur

Quelle indemnisation en cas de perte de données informatique ?

Les contrats d’assurance cyber risques incluent généralement 3 volets. La grande majorité d’entre eux sont personnalisables selon les besoins et la typologie de votre entreprise (vous pouvez choisir de n’en souscrire qu’un).
Cependant, le vol de données d’une entreprise est généralement concerné par les garanties des 3 volets (selon les contrats, toutes ne sont pas forcément proposées) :

Volet 1 – Assistance et gestion de crise :

  • Mise à disposition d’experts dans la restauration et la sécurisation des données perdues ainsi que de conseillers en communication, si l’image de votre société a été atteinte.
  • Prise en charge de l’ensemble des frais et honoraires de ces acteurs.

Volet 2 – Dommages aux biens :

  • Indemnisation des préjudices subis suite à la fuite de données.
  • Remboursement des pertes de chiffre d’affaires générées par le vol de données (e-réputation entachée donc baisse probable de ventes).

Volet 3 – Responsabilité Civile (en cas de mise en cause par des tiers) :

  • Prise en charge des frais de défense juridique consécutive à la violation de données.
  • Remboursement des dommages et intérêts dus aux tiers victimes du vol de données.

C’est vous qui, en accord avec votre assureur (et avec l’aide de votre courtier, si nécessaire), définissez les garanties incluses et surtout le montant des plafonds d’indemnisation au moment de la souscription du contrat de cyber assurance.

N’oubliez pas qu’au même titre que pour toute autre assurance, des délais de notification sont posés. Autrement dit, si vous ne prévenez pas votre assureur très rapidement (généralement sous 5 jours, selon l’article L113-2 du Code des assurances) du vol de vos données, d’une intrusion dans votre système ou d’une tentative de cyber vol, vous risquez de vous voir refuser la prise en charge de vos garanties !

Généralement, c’est votre assurance qui se chargera de prévenir la CNIL du vol de vos données. Nous vous rappelons que l’en informer, ainsi que l’ensemble de vos clients victimes, est obligatoire depuis 2018. Les sanctions financières, extrêmement lourdes si vous n’avez pas respecté les conditions du RGPD en matière de protection des données, sont rarement prises en charge par les cyber assureurs.

Combien coûte une cyber assurance perte de données ?

La prime d’une assurance cyber risques est calculée selon :

Des critères liés à votre entreprise :

  • Son chiffre d’affaires : c’est la variable la plus importante dans le calcul du coût.
  • Son secteur activité (médical, commercial, juridique…).
  • La masse des données utilisées ou stockées et leur nature (c’est à dire le niveau de sensibilité des informations).
  • La politique de sécurité informatique déjà mise en place au sein de la société.

Des critères liés à votre contrat :

  • Le nombre de garanties souscrites influera sur le prix de votre cyber assurance. Plus elles sont nombreuses et qualitatives, plus le coût des cotisations sera élevé.

Le choix de la compagnie d’assurance choisie :

Les assurances restent, rappelons-le, des sociétés commerciales. Elles sont libres de leurs tarifs comme de leurs conditions ! Un courtier saura vous aider à trouver la cyber-assurance la moins onéreuse selon vos besoins et la typologie de votre entreprise. Dans tous les cas, nous vous invitons fortement à ne pas souscrire au premier contrat venu et à comparer les contrats proposés, tant il peut exister d’amplitudes tarifaires !

Il est impossible de dresser un tableau comparatif du prix des assurances du marché. En effet, étant donné le nombre de critères liés à votre entreprise et la nature évolutive des cyber risques, ce ne serait ni juste ni honnête. Cependant, nous avons constaté que montant de la prime annuelle variait généralement entre 0,5 % et 5 % du plafond des garanties souscrites.

Notre conseil : une prime d’assurance cyber risque est négociable ! Si votre entreprise réalise un chiffre d’affaires élevé mais ne détient que peu de données sensibles, ou que vous avez mis en place une politique de sécurisation des données efficace, revendiquez-le pour faire diminuer le montant de vos cotisations !

Quelles sont les entreprises concernées par le vol de données informatiques ? 

Aujourd’hui, toutes les entreprises exploitent des données personnelles ou confidentielles. La question n’est donc pas de savoir si un vol de données peut arriver, mais plutôt quand !
Pour autant, certaines sont plus exposées que d’autres au piratage de leurs données. Il s’agit de celles qui :

  • Utilisent ou conservent une base importante de données. Plus elle est grande, plus elle est exposée aux hackers.
  • Ont accès à des données à caractère sensible (secteur financier, médical, de la grande distribution, des télécommunications, du conseil…). Plus c’est le cas, plus l’entreprise attire les cyber-criminels.
  • Font preuve d’une faiblesse de protection (faille ou négligence). C’est logique : tout le monde sait qu’il ne faut pas laisser son sac ouvert dans le métro. Il est bon de rappeler qu’en informatique, c’est le même concept. Citons notamment les professions libérales : ces professionnels, exerçant souvent seuls, n’ont pas forcément le temps ni les compétences pour sécuriser leurs données.

Quelques exemples de cas de cyber vols de données très importants :

MarqueNombre de victimesAnnée
Secteur de l’électroniqueSonny (Playstation)77 millions de comptes utilisateurs2011
Secteur de la grande distributionTarget40 millions de comptes clients2013
Secteur de la communicationYahoo1 milliard de comptes2016

La suppression, copie ou modification frauduleuse par voie informatique de données personnelles est, depuis 2015, considérée comme un crime. Le vol de données informatiques, d’après le Code pénal, est donc punissable. Les contrevenants s’exposent à de lourdes sanctions financières et à des peines de prison.

Particuliers, que faire en cas de perte de données informatiques ?

En cas de perte de vos données, il existe des solutions pour les récupérer, qu’il s’agisse d’un ordinateur, d’une tablette, d’un smartphone, d’un disque dur ou d’une clé USB :

  • Avant toute chose, vérifiez que vous n’avez pas sauvegardé ces informations sur un disque dur externe, une clé USB ou encore un service d’hébergement en ligne (Google Drive, Dropbox…).
  • Si ce n’est pas le cas, vous pouvez faire appel à un expert qualifié en restauration de données. De nombreuses sociétés en ont fait leur commerce.
  • Peu d’assurances pour particuliers couvrent la perte vos données. Vérifiez tout de même que votre Responsabilité Civile ne comporte pas une garantie de ce type. Elle ne prendra cependant en charge ce dommage que si quelqu’un a porté atteinte à votre matériel informatique (volontairement ou de manière accidentelle), et que cette personne est identifiable.

Notre conseil : si vous tentez de récupérer vos données grâce à un logiciel « spécialisé » trouvé sur Internet, pensez à faire une copie de votre disque dur avant ! En effet, certains sont malveillants – ou mauvais – et pourraient aggraver la panne.

En cas de vol et si vos vidéos ou documents sont utilisés par autrui :

  • Portez plainte auprès de la police, qui mènera une enquête pour retrouver le malfaiteur.
  • Si vous avez souscrit une assurance e-réputation pour particulier, prévenez-la immédiatement. Celle-ci pourra faire intervenir un expert spécialisé dans le nettoyage du contenu informatique. En cas de demande de rançon ou de harcèlement lié à des documents sensibles, elle vous aidera dans vos démarches et / ou procès.
Il est nécessaire de remplir ce champs.
Votre nom est requis.