Sur le podium des cyberattaques, la fuite de données figure en bonne place. Pour preuve : la CNIL a reçu 5037 notifications de violations de données en 2021, soit une hausse de 79 % par rapport à 2020. La fuite de données est l’un des incidents de sécurité les plus fréquents en entreprise, avec des conséquences graves sur l’activité, la réputation, mais aussi de possibles poursuites juridiques lorsque la responsabilité civile de l’entreprise et de son dirigeant est engagée. C’est pour cela que les assurances cyber intègrent à leurs offres une garantie “responsabilité civile” en cas de fuite de données. Que couvre cette garantie ? Faisons le point.
Qu’est-ce qu’une fuite de données ?
Fuite de données : définition
On parle de “fuite de données” lorsque des informations confidentielles ou considérées comme sensibles sont diffusées de manière non autorisée. Les fuites de données sont fréquentes et coûteuses, elles font le plus souvent suite à une cyberattaque réalisée par des hackers isolés ou en groupe. Dans le langage de l’assurance cyber, la fuite de données est désignée comme une “atteinte aux données avérée par un tiers”.
Comment surviennent les fuites de données ?
Les fuites ou “violations” de données font généralement suite à une cyberattaque : un attaquant ayant réussi à s’introduire dans le système informatique d’une entreprise accède aux données confidentielles et les met vente ou en libre accès sur le darknet.
Quels types de données intéressent les hackers ?
Il peut s’agir de différents types de données, aussi bien des données propres à l’entreprise (données internes des collaborateurs, par exemple) que des données concernant des partenaires, fournisseurs, prestataires, ou encore des données d’entreprises clientes ou de particuliers clients.
La typologie de données potentiellement concernées par une fuite de données est dense. En voici quelques exemples :
- Adresses email et mots de passe permettant de se connecter à la messagerie professionnelle, aux logiciels métier, etc.
- Données bancaires (de l’entreprise comme de ses clients),
- Données financières,
- Données RH relatives aux salariés,
- Brevets industriels,
- Données stratégiques concernant le développement de l’entreprise, etc.
Une fois récupérées par l’attaquant, les données volées peuvent être revendues sur le darkweb ou utilisées comme chantage dans le cadre d’un ransomware ou rançongiciel.
Quelles sont les entreprises concernées par les fuites de données ?
Si les fuites de données relatives aux grands groupes ou aux entreprises connues sont les plus médiatisées, aucune entreprise n’est à l’abri. Les grandes structures ayant relevé leur niveau de sécurité ces dernières années, les TPE et PME, moins bien protégées et donc considérées comme faciles à pirater, sont désormais dans le viseur des cyber-attaquants.
Pour certains secteurs d’activité, une fuite de données peut mener à l’arrêt de l’activité, voici quelques exemples :
- le secteur médical qui ne peut travailler sans avoir accès aux données des patients ;
- le secteur de la vente en ligne pour qui il est impossible de continuer de vendre des produits à une base de données inexistante ;
- les entreprises de services du numérique (ESN) qui sont à l’arrêt si elles ne peuvent plus accéder à leurs données clients.
Quelles sont les conséquences et les risques d’une fuite de données ?
Une atteinte globale à l’entreprise
Les fuites de données représentent un coût pour les entreprises, qui doivent détecter et gérer la crise, repérer et réparer la faille technique le cas échéant, notifier les personnes concernées et les organismes comme la CNIL. En parallèle, l’entreprise essaye de maintenir son activité, mise en péril par la fuite de données, et d’empêcher les incidents en cascade comme des tentatives d’usurpation d’identité ou de phishing grâce aux données récupérées.
Une fuite de données porte également atteinte à l’image et à la réputation d’une entreprise, considérée comme incapable de protéger ses données et celles qui lui sont confiées. Autant d’éléments qui peuvent nuire à la confiance de ses investisseurs et clients.
Des risques juridiques en cas de poursuites
Sur le plan juridique, une fuite de données peut entraîner des sanctions et des frais de justice, voire la mise en cause de la responsabilité personnelle (civile et pénale) du dirigeant. Il s’agit alors de régler des amendes et de gérer des contentieux juridiques.
Une fuite de données peut également avoir des conséquences sur l’écosystème d’une entreprise, et impacter ses salariés, clients, partenaires ou fournisseurs, qui peuvent se retourner contre elle. Il s’agit alors d’une question de responsabilité civile suite à une fuite de données.
Quel est le contenu de la garantie “responsabilité civile” d’une assurance cyber en cas de fuite de données ?
La responsabilité civile d’une assurance cyber couvre les différentes conséquences (qu’elles soient avérées ou possibles) d’une atteinte aux données. On parle également d’assurance cyber-responsabilité.
Les démarches à effectuer dans le cadre du Règlement Général sur la Protection des Données (RGPD)
1. L’assurance cyber se charge de notifier la fuite de données aux personnes et entités concernées (en cas de divulgation de données personnelles des salariés, l’employeur est par exemple tenu de les prévenir).
Lorsque la fuite de données est avérée, les experts juridiques de l’assureur s’occupent de la notification à la CNIL (comme l’exige le RGPD). L’assurance prend également en charge les frais de notification aux clients et fournisseurs.
2. L’assurance cyber prend aussi en charge les frais de monitoring et de surveillance pour détecter une éventuelle utilisation non conforme des données qui ont fuité (tentative d’ouverture de compte bancaire ou de souscription d’assurance avec des données personnelles volées, par exemple).
La responsabilité civile en cas de fuite de données : une garantie incontournable
Dans le cas d’une cyberattaque menant à une fuite de données, différentes entités peuvent être concernées, au-delà de l’entreprise elle-même : salariés, clients, fournisseurs, actionnaires, etc. Toutes ces entités tierces peuvent engager des poursuites juridiques contre l’entreprise victime, au motif que celle-ci n’a pas assuré correctement la protection de leurs informations confidentielles, a fait preuve de négligence, etc.
Concrètement, si un client ou fournisseur se retourne contre l’entreprise victime de la fuite de données et porte plainte contre elle, l’assureur cyber prend en charge les frais de défense et les conséquences pécuniaires des réclamations intentées contre l’entreprise. Il met à disposition de l’entreprise des experts juridiques. Sans assurance cyber, ces frais sont à la charge de l’entreprise. Il s'agit d'une garantie nécessaire et incontournable pour se protéger des conséquences d'une attaque cyber.
La responsabilité civile professionnelle peut-elle être utile dans le cas d’une fuite de données ?
Il s’agit d’une assurance obligatoire pour les entreprises, mais elle ne couvre pas la responsabilité civile en cas de fuite de données. C’est justement le rôle d’une assurance cyber.
Foire aux questions
Qu’est-ce que le risque cyber ?
Le risque cyber fait figure de risque numéro 1 pour les entreprises. Il désigne l’ensemble des risques susceptibles d’affecter les données et les systèmes d’information suite à une cyberattaques (intrusion dans un appareil, un système ou un réseau informatique) : fuites de données, chiffrement de données, piratage de site, perte d’exploitation, transmission de virus, etc…
Qui est à l’origine des cyberattaques ?
Les cyberattaques peuvent émaner d’un hacker isolé ou, plus généralement, d’un groupe de pirates informatiques organisé. Cette meilleure organisation leur permet de cibler un plus grand nombre d’entreprises. L’expression “black hats” est également utilisée pour désigner les cybercriminels, mais leur point commun est de garder l’anonymat.
Existe-t-il un rapport sur la cyber-assurance ?
Oui, le Haut Comité Juridique de la Place Financière de Paris a par exemple publié le 28 janvier 2022 un rapport sur l’assurabilité des risques cyber. Certains assureurs publient également leur rapport annuel sur l’assurance cyber.
Sources :
- https://www.cnil.fr/fr/la-cnil-publie-son-rapport-dactivite-2021
- https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-quand-faut-il-notifier-une-violation-de-donnees-la-cnil
- https://www.lebigdata.fr/fuite-de-donnees
- https://www.cnil.fr/fr/la-recherche-sur-internet-de-fuites-dinformations-rifi
- https://www.appvizer.fr/magazine/services-informatiques/protection-donnees/fuite-de-donnees
- https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-quand-faut-il-notifier-une-violation-de-donnees-la-cnil
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article24
- https://www.banque-france.fr/sites/default/files/rapport_45_f.pdf
- https://2021.forum-fic.com/Data/DO/tgBloc/29904/en/params/file/BAROMETRE-DATA-BREACH-VDEF.pdf
- https://www.banque-france.fr/sites/default/files/rapport_45_f.pdf