, Rédactrice : Inès Le Lay, sous la direction de Maître Eric Caprioli « Cyber-Risques et Cyber-Assurance », Master de droit du Multimédia et de l'Informatique, Dirigé par Monsieur le Professeur Jérôme Passa, 2015.
, L'évolution du cadre légal et réglementaire dans son ensemble va dans le sens de l'exercice de nouvelles responsabilités des opérateurs et d'une nouvelle gouvernance
, Loi informatique et liberté (LI&L), nouveaux articles ?
, concerne le monde de l'assurance. A la suite de Bâle II, il s'agit de mieux adapter les fonds propres exigés des compagnies d'assurance et de réassurance aux risques que celles-ci encourent dans leurs activités, directive 2006/138/CE du Parlement européen et du Conseil du 25 novembre, 2009.
, Si l'assurance doit en effet être capable de justifier de ce qui est souscrit en face de ce qui est indemnisé, les acteurs de la réassurance doivent développer leur compréhension de la quantification -la valorisation pour maîtriser l'agrégation du risque cyber à l
, Voir également la liste des décrets d'application. L'article 22 « relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » du 18 décembre 2013 qui intègre un article L.1332-6-2 au Code de la défense qui prévoit à la charge des Opérateurs d'importance vitale et « des opérateurs publics ou privés qui participent à ces systèmes » l'obligation de respecter à leurs frais des règles de sécurité particulières, mais surtout l'obligation de notifier sans délai au Premier ministre « des incidents affectant le fonctionnement ou la sécurité, -1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2016 introduit des mesures générales de sécurité pour les SI pour les Opérateurs d'importance vitale (OIV), 2013.
, Sécurité des réseaux et de l'Information) résulte d'une initiative de la Commission de 2013 (accord entre le Parlement et le Conseil en 2015) qui a pour objectif d'accroître la sécurité de l'Internet et des réseaux et systèmes informatiques privés sur lesquels reposent les services. La directive imposera aux opérateurs de prendre des mesures de sécurités appropriées afin de gérer le cyber-risque (art. 14). Les acteurs concernés par la directive sont « les opérateurs fournissant des services essentiels
, UE) n°10/2014 du Parlement européen et du Conseil sur l'identification et les services de confiance pour les transactions électroniques a été adopté le 23 juillet 2014, 2016.
,
,
, La directive Protection des secrets d'affaires 2016/943 du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulguées a été adoptée le 8 juin 2016 et doit être transposée en France d'ici le 9, 2018.
, La Loi Sapin 2 du 9 décembre 2016 -sur l'action en responsabilité pour insuffisance d'actif
, Néanmoins les exigences de la CNIL étant très fortes , des régulateurs tels que l'AMF? ainsi que la réglementation bancaire -l'arrêté du 3 novembre 2013 : les entreprises soumises au contrôle de l'ACPR -autorité de contrôle prudentiel et de résolution -ont des obligations de sécurisation de leurs SI (contrôles réguliers (art. 89) et plan de continuité d'activité art.215), de nombreux points doivent figurer au contrat : un niveau de qualité de service, des mécanismes de secours
, UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur impose des exigences en matière de gouvernance de la sécurité, l'évaluation des risques
, Standards Council a développé la norme PCI DSS -Payment Card Industry Data Security le 15 avril, 2015.
, sur « Liability and IoT » Staff Working Document on: Liability for emerging digital 67, 2018.
, Annexe 3 -Assurance d'une infraction ou d'une sanction : la réponse en droit français
, En l'espèce, un dirigeant avait été sanctionné par l'AMF pour manquement à l'obligation d'information du public par diffusion d'informations inexactes. La Cour de cassation a validé l'interprétation des juges du fond (confirmée par la cour d'appel) en ce qu'ils avaient considéré que la faute intentionnelle était « exclusive du caractère aléatoire du contrat d'assurance » afin de conclure que la garantie n'était pas due. Il pourrait être soutenu que le fondement est intéressant, dans la mesure où il pourrait marquer une brèche dans le principe de l'inassurabilité d'ordre public qui, jusqu'alors, ressortait de la jurisprudence, vol.367, pp.11-17, 2012.
, Seul le caractère intentionnel de la faute de l'assuré était débattu. La Haute juridiction n'a pas pu répondre à une question qui ne lui était pas posée. On comprend d'ailleurs aisément que l'assureur pour dénier sa garantie n'a pas soutenu lui-même la nullité de son contrat ; il aurait ainsi signalé qu'il propose des garanties inapplicables en France
, En effet, en cette matière, il existe un principe intangible de personnalité de la peine repris à l'article 121-1 du code pénal qui dispose que « nul n'est responsable pénalement que de son propre fait ». Dès lors qu'un contrat contrevient au principe selon lequel la personne déterminée qui doit subir la peine ne peut se voir substituer aucune autre, Il semble impossible d'assurer les conséquences pénales des fautes commises car la sanction pénale doit rester personnelle
, Si l'on exclue que l'assureur puisse fournir un substitut à la peine, la question centrale est, alors, de savoir si la prise en charge d'une amende civile par un assureur constitue l'accomplissement d'une peine par substitution
, Aux peines d'emprisonnement et d'amende se sont adjointes d'autres formes de privations ou de restrictions de liberté, telle que par exemple la suspension du permis de conduire (Y. Mayaud, Droit pénal général, 5e éd., PUF, 2015, n° 503)
, Or la question de l'assurabilité d'une peine n'est pas nouvelle en assurance, p.142, 2008.
, La cour d'appel avait estimé que l'assureur de responsabilité civile devait les prendre en charge (Ibid.). La Haute juridiction a censuré les juges du fond en indiquant clairement que les décimes additionnels à l'amende pénale constituaient une peine accessoire qui prenait donc la nature d'une peine (Ibid.). Par ailleurs, Traité de droit des assurances, p.246, 1960.
, Cyber Insurance as a Contribution to IT Risk Management, An analysis of the Market for Cyber Insurance in Germany, 2015.
, E-reputation : la réputation à l'épreuve du numérique : la gestion en entreprise, les atteintes aux contenus état des lieux, gestion pratique, recours légaux, pp.29-2015
, Revue de la stabilité financière, Le risque numérique : défi stratégique et opportunité de développement pour les assureurs, vol.20, 2016.
, Etude sur les « cyber risques » et leur (ré)assurabilité », juin 2016
, « Les données, une mine d'or pour le contrôle de gestion », Finances et Gestion, la revue d'échanges des dirigeants financiers, p.342, 2016.
, Optimisation des dépenses et cyber-assurance, pp.14-2016
, sous la direction de Maître Eric Caprioli « Cyber-Risques et Cyber-Assurance », Master de droit du Multimédia et de l'Informatique, Dirigé par Monsieur le Professeur Jérôme Passa, vol.58, 2015.
, Valoriser les données de l'entreprise 2020 : maturité, pratiques et modèles
, Rapport de force, une collection dirigée par Eric Delbeque et Christian Arbulot, « Cybersouveraineté, Mythe ou défit ?, 2016.
, Stéphane Sollat, François-Xavier Vincent, « Comment débloquer le marché de l'assurance cyber en France ?, 2017.
, Les sanctions pécuniaires prononcées par les autorités administratives
, « Le guide vers la compliance, un éclairage complet sur la cybersécurite, HEXATRUST Cybersecurity & Digital Trust, 2017.
, sous la direction de Maître Eric Caprioli, Master du droit du Multimédia et de l'informatique, dirigé par Mr le Professeur Jerôme Passa, 2015.
, essentiel de la sécurité numérique pour les dirigeants, 2017.
, Données personnelles, les enseignements de la délibération HERTZ, 2017.
, Rapport de recherche de l'Institut Ponemon, Date de publication, « Etude annuelle sur la cyber-résilience -1ère édition pour la France, p.2017
, Chocs Futurs, 2017.
, , 2018.
, le Club des Juristes, commission ad hoc Cyber Risk, 2018.
, Le projet de loi adopté par l'assemblée nationale, 2018.
, , 2018.
, Increasing cybersecurity investments in private sector firms, Journal of Cybersecurity, 2015.
, Article 29 Data Protection Working Party, 16/EN WP243, « Guidelines on Data Protection Officers, Advancing Human Security Through Artificial Intelligence, 2016.
, Commonality of risk assessment language in cyber insurance. Recommandations on Cyber Insurance, 2017.
, Lloyd's, Emerging Risk Report, « Costing the Cost, Cyber Exposure decoded, vol.29, 2017.
, It's time to quantify cyber risk exposure
, « Getting to grips with a complex risk, issue.1, 2015.
, Commercial insurance: innovating to expand the scope of insurability, 2017.
, Future of Digital Economy and Society Systel Initiative, « Advancing Cyber resilience, Principles and Tools for the Board », in collaboration with the Boston Consulting Group and Hewlett Packard Enterprise, 2017.
, Future of Digital Economy and Society System Initiative, « Cyber Resilience
, Tudor Dumitras, « Before we Knew It An Empirical Study of Zero-Day Attacks In The Real World, Cyber Incident Taxonomy Proposition USA 38. ACM Conference and Communication, Leyla Bilge, 2012.
, Cyber Claims Insight, 2016.
, Cap sur l'avenir !, 2016.
, How Organizations are adopting innovative safeguards to manage threats and achieve competitive advantages in a digital area, Key findings from the Global State of Information Security Survey, 2017.
, Beneath the surface of a cyberattack A deeper look at business impacts
, Association of Corporate Counsel, « Privacy and Data Security : Updates in Privacy and Data Security form 2017 and to Prepare for the Year ahead, Content Analysis of Cyber Insurance Policies: How do carriers write policies and price cyber risk ?, 2017.
, Agences de notation 46. A report by Lloyds', « Facing the Cyber Risk Challenge, vol.22, 2016.
, Best comments on New York States New and Revised Regulation on Cybersecurity, Regulatory Review, 2017.
, Moody's Investor Service, Investor Service, Issuer Comment, « PlayStation Security Breach is Credit negative for Sony, vol.3, p.pages, 2011.
, Moody's Investor Service, Issuer Comment, « Sony's second Hack Attack and Security Breach are credit negative, vol.3, p.pages, 2011.
, Moody's Investor Service, Investor Service, Global Credit Research, Announcement, « Moody's sees slow recovery in Sony's profitability as a concern, vol.3, p.pages, 2011.
, Moody's Investor Service, Investor Service, Global Credit Research, « USIS security breach is credit negative for Alterity; no impact on rating if federal agencies restore business in short term, 2014.
, Moody's Investor Service, Global Credit Research, Rating Action, « Moody's Downgrade Alterity CFR to Caa3, outlook negative, p.12, 2014.
, Moody's Investor Service, Sector in Depth, « In a major Cyber Attack the Likelihood of Government relief is High, vol.15, 2015.
, Moody's Investor Service, Sector in Depth, Cyber Insurance: High Risk Product with Potential to Grow, vol.14, 2015.
, Moody's Investor Service, Sector in Depth, Cross Sector Global « Cyber Risk of Growing Importance to Credit Analysis, vol.17, 2015.
, Moody's Investor Services, Sector Comment « US Regulator Approves Cybersecurity Standards, a Credit Positive for Regulated Utilities, 2016.
, Moody's Investor Services, Sector In-Depth, « Survey: Bank Boards Engage Growing Cyber Threat, Employ Security-Solution Vendors, vol.12, 2016.
, Moody's Investor Service, Sector in Depth -Cross Sector Global, « Cyber Risk of Growing Importance to Credit Analysis, vol.9, 2017.
, Moody's Investor Service, Sector in-Depth, US and Canada Survey « North American Insurers Step up Cyber Security Initiatives, Technology and Industry Working, vol.9, p.3, 2013.
, Gestion du Risque de Sécurité Numérique pour la Prospérité Économique et Sociale, 2015.
, Report for the G7 Presidency, « Supporting an effective cyber insurance market, 2017.
, OECD, Working Party on Security and Privacy in the Digital Economy, « Review of Surveys on Digital security risk management practices in business, p.19
, « A Reference Model of Information Assurance & Security», 2003.
, Est-ce que la condition d'octroi de la garantie -la maintenance du système existe ? Dans la réalisation de l'évènement est-ce que le non maintien est un élément déterminant dans le sinistre. Corrélativement, est-ce que l'on est en règle proportionnelle de causalité ? Si on est dans la condition d'octroi, pas de garantie, puisque l'assuré ne répond pas aux obligations. Si l'assuré est dans la règle proportionnelle de code prime, le jour du sinistre le constat fait est que le système n'est pas celui qui aurait dû être et donc, cette circonstance-là, a entraîné un sinistre tel que si l'assureur avait connu cette situation soit il n, L'assuré utilisant un logiciel obsolète peut-il utiliser sa garantie ou non
, Quel est le lien avec le questionnaire rempli par le client ? On retombe sur les conditions, faut-il faire des octrois de condition de garantie ? Ou bien sommes-nous sur le questionnaire et si la question n'a pas été posée, l'assuré peut engager sa garantie
, Soit c'est une faille 0day, il est donc difficile de l'opposer à l'assuré. À l'impossible nul n'est tenu et en l'absence de disposition dans le contrat la garantie serait nulle. Soit on est sur un défaut de sécurité, parce que l'assuré n'a pas patché
, La définition d'une garantie sans définition de l'objet n'est pas tenable devant le juge. L'intercalaire de Marsh sera challengé
, De nombreux assureurs proposent des services d'aide d'urgence technique à la gestion de la crise aux assurés. Est-ce que ce genre de prestations a été déclenché durant WannaCry ?
, Les prestations d'assistance des assureurs ont été sollicitées. La prestation d'assistance a été activée. L'assistance technique et juridique mise à disposition par les assureurs de ressources chez le client
, ? aux autorités nationales de disposer d'une photographie instantanée de la réponse de leur marché d'assurance à ce risque
, ? aux organisations internationales de disposer d'une meilleure vision du sujet. Cette matrice peut effectivement devenir également le support à un benchmark international en comparant la réponse des différents marchés nationaux à cette même exposition
, Cette matrice pourra être exploitée par l'ensemble des acteurs, sans exclusive ni obligation, notamment dans le cadre de benchmarks internationaux. Elle pourra être simplifiée pour être plus facilement utilisable par de petites
, Concernant la gestion de la confidentialité dans le dialogue pour l'information de souscription et la gestion du sinistre, la mise en place d'une plateforme neutre et sécurisée de communication et d'échange d'information entre les assurés et les assureurs est indispensable pour améliorer le dialogue. Un meilleur dialogue permettra aux assurés de donner une meilleure visibilité sur leur exposition et gestion du risque cyber pour une meilleure adéquation de la souscription par les assureurs des couvertures souhaitées. Elle permettra un meilleur échange en cas de
, Trois types de structure peuvent être envisagés : ? une extension, dont les contours juridiques restent à définir, de la « plateforme d'assistance aux victimes de cyber malveillance », mise en place par l'ANSSI avec le ministère de l'Intérieur (annoncée dans la Stratégie Nationale pour la sécurité numérique 70
, ? une autre plateforme neutre d'échange d'information entre l'assureur et l'assuré. Elle serait opérée par un tiers de confiance. Cette « Plateforme mutualiste sécurisée pour la maîtrise et l'assurance du risque cyber » serait à but non commercial
, Un modèle possible est l'Observatoire National des Risques Naturels 71 . Cette structure pourrait permettre par un processus d'anonymisation, la mise en place de statistiques fiables qui aideront la meilleure quantification d'une tarification adaptée du risque. Il s'agirait également de réfléchir à la qualification de l
, Recommandation 5
, Un travail de normalisation du dialogue doit être engagé. Il s'agit de poursuivre l'exercice de convergence des vocabulaires techniques, assurantiels et juridiques
, En particulier pour atténuer le recours au contentieux, il s'agit de créer le continuum et la convergence entre les éléments techniques, assurantiels et juridiques pour définir le périmètre du contrat, les champs de responsabilité et leurs limites
, Il faut, pour cela, conduire un exercice de compilation des définitions contractuelles et réglementaires et proposer des définitions, probablement médianes (sur le modèle du PPP Britannique Cambridge University), adaptées à la dimension internationale des entreprises
,
, Annexe 12 -La lettre d'invitation
, Dans le cadre de son projet EIC 72 (Environnement pour l'Interopérabilité et l'Intégration en Cybersécurité), l'IRT-SystemX mène des travaux sur la maîtrise du risque cyber dans une approche pluridisciplinaire croisant sciences mathématiques et informatiques avec sciences économiques
, SystemX anime depuis novembre 2015 un groupe de travail sur « La maîtrise du risque cyber sur l'ensemble de la chaîne de sa valeur et son transfert vers l'assurance ». Il réunit des spécialistes de l'assurance et de la réassurance, des courtiers, des juristes, des actuaires, des industriels (risk managers), des experts de l'OCDE sous l'égide de la fédération française de l'Assurance (FFA), de The Federation of European Risk Management Associations (FERMA), Sous l'impulsion d'Airbus et de l'ANSSI, l'IRT
, Le travail collectif de ces spécialistes a permis d'examiner : ? les critères communs de définition, de qualification et de quantification du risque cyber
, ? sa couverture assurantielle et les informations de souscription
, ? la gestion du scénario catastrophe
, Une grille d'analyse a également été consolidée. Un premier rapport de recherches 73 a été rédigé et publié fin juillet 2016
, Nous vous invitons à approfondir ces réflexions en participant à un deuxième cycle de séminaires sur la thématique de la valorisation des biens intangibles selon le calendrier proposé en Annexe, Les experts d'Airbus, M. Philippe Cotelle (Risk Management and Insurance Airbus Defence and Space en charge du risque cyber pour le groupe)
, Airbus Defence and Space, R&T and Innovation Coordination) avec l'appui de M. Philippe Wolf (Chef du projet EIC) conduiront ces réunions pour en exploiter les résultats. Ces échanges resteront confidentiels
, Plus généralement, la maîtrise, la quantification et l'assurance du risque numérique deviennent un impératif pour l'ensemble de la société et donc un facteur de différenciation pour le tissu économique et les entreprises qui le nourrissent. Cela touche aussi bien à la protection du savoir-faire et des biens informationnels des entreprises qu'à la pérennité de leurs activités menacées par des attaques de plus en plus ciblées. C'est pourquoi nous cherchons de nouveaux partenaires pour un projet de recherche dédié entre acteurs de la recherche publique et industrielle
, Dans l'attente de vous rencontrer, je vous prie d'agréer, Madame, Monsieur, l'assurance de ma sincère considération
,
,
,
,
,
, Oger Severine severine.oger[at]ssi.gouv.fr
,
,
,
, Ronchi Elettra
,
, Simonel Laurent-Xavier lx.simonel[at]kga.fr
, Spalacci Stéphane s.spalacci[at]ffsa.fr
,
,
, Warzee Didier didier.warzee[at]acpr.banque-france.fr
,
,