Trouver un ...




Devis
Devis Automobiles
Voiture
Devis Habitation
Habitation
Devis Sante
Santé
Devis Professionel
Professionnel
Conseils
08
Juil
2018
Typologie risques assurance / Les questionnaires : quelles fonctions impliquer au sein des organisations pour l’axe conformité ?

Sur cette nouvelle typologie de risques, l’assureur a de nouveaux partenaires potentiels au sein de chaque organisation. Il noue des partenariats objectifs avec la Fonction Systèmes d’Information et la Fonction Capital Humain et renforce ses liens avec la Fonction Conformité et la Fonction Risque.

Une variété de lois et de règlements en France et au niveau Européen ainsi que des standards de marché ont émergé. Ils visent à protéger les consommateurs des conséquences des incidents cybernétiques et des violations de données. Ces lois, règlements et normes sont largement adressés dans les questionnaires de souscription des contrats cyber.

La mise en conformité s’appuie sur des obligations légales tel que GDPR, des obligations contractuelles tels que PCI DSS pour toutes les entreprises connectées au système de paiement/monétique ou sur des démarches engageantes telle que la norme ISO 27001.

L’instanciation de ces règles au sein d’une organisation peut avoir une portée organisationnelle ou une portée technique.

Dans la plupart des questionnaires, la conformité règlementaire est considérée comme acquise, l’assureur a tendance à vouloir mesurer la maturité de l’organisation sur le sujet et les moyens déployés.

Pour la mise en conformité à d’autres standards, une demande de déclaration est faite mais en général aucune liste n’est proposée.

Il est à souligner que dans le droit des assurances, une question ouverte engendrant une réponse « insuffisante » n’est pas opposable aux assurés. Les assureurs souhaitent davantage apprécier les initiatives de l’organisation et il est souhaitable de participer à cette cartographie de bonnes pratiques pour en sélectionner, dans le temps, les meilleures et en faire bénéficier les autres organisations.

Règlement Général sur la Protection des Données (RGPD)

RGPD précise que les données à caractère personnel doivent être traitées de manière à assurer un niveau de sécurité optimal.

Ceci implique que des mesures techniques et organisationnelles doivent être prises, telles que celles visant à la protection des données contre :

  • le traitement non autorisé ou illégal,
  • la perte accidentelle,
  • la destruction,
  • l’endommagement.

Au sein d’une organisation, les fonctions en charge du traitement des données ainsi que leurs sous-traitants sont tenues de prendre toutes les mesures nécessaires pour éviter des incidents avec les conséquences susmentionnées.

Ces fonctions sont des partenaires objectifs des assureurs car elles sont censées évaluer les risques susceptibles de se produire pendant le traitement des données à caractère personnel et les atténuer en mettant en œuvre des mesures techniques et organisationnelles convenables.

A titre d’illustration, les organisations se trouvent incitées à :

  • procéder au cryptage et la pseudonymisation des données personnelles,
  • adopter des instruments pour restaurer la disponibilité et l’accès à ces données en cas d’incident physique ou technique
  • créer des processus d’évaluation de l’efficacité mesures de sécurité des données.

Outre les standards techniques à surveiller de près, il est intéressant de souligner que de telles mesures engendrent des coûts de mise en œuvre à étudier en fonction de la nature des données personnelles en question, leurs traitements et les risques identifiés.

Quand c’est possible, en cas d’une violation de données à caractère personnel, les organisations sont tenues de notifier l’autorité de surveillance compétente dans les 72 heures suivant la découverte de cette violation.

Ceci dit, si l’organisation peut démontrer qu’une violation n’est pas susceptible de porter atteinte aux droits et libertés des personnes, la notification de cette violation peut être évitée.

Le non-respect du RGPD peut engendrer des pénalités conséquentes mais cela ne constitue aucune opportunité pour les assureurs français car le paiement des pénalités n’entre pas dans le champ des évènements assurables.

 

Charte sécurité informatique

La sécurité des systèmes d’information est une priorité majeure dans les agendas des DSI. Ces derniers font face au développement de l’IOT (Internet Of Things) du BYOD (Bring Your Own Device), du COPE (Corporate Owned Personally Enabled), et à la multiplication  des risques qui y sont inhérents avec des conséquences financières,  des impacts sur l’image voire des conséquences pénales.

Les organisations instaurent des chartes informatiques en leur donnant soit une dimension de simple mode d’emploi, soit constituent des documents créateurs d’obligations pour l’employé. Ces chartes participent aux efforts de sensibilisation des salariés.

Dans tous les cas, la Charte Sécurité Informatique a deux objectifs majeurs :

  • elle fixe les règles d’utilisation des ressources numériques et de communication dans l’entreprise en vue de les protéger,
  • elle permet par ailleurs de valider et de mettre en conformité les opérations de cybersurveillance et de cyber-protection des employés.

En cohérence avec l’adage « dans le référentiel des risques cyber, le risque majeur est celui situé entre la chaise et le clavier »,les assureurs apprécient le mécanisme de charte de sécurité informatique car il s’agit d’un moyen de protection juridique pour l’organisation en cas de dommages commis par un employé.

De telles chartes ne sont cependant obligatoires que pour les entreprises qui collectent des données à caractère personnel sur leurs salariés.

A titre d’illustration, les principaux points définis dans une charte Sécurité Informatique :

  • Objet et champs d’application de la Charte
  • Règles d’utilisation de la messagerie et d’internet
  • Administration des accès internet et aux réseaux de l’entreprise
  • Protection des ressources sous la responsabilité de l’entreprise
  • Règles relatives à l’installation de hardware et de software
  • Contrôle
  • Entrée en vigueur de la charte informatique

Le DSI, à l’instar des responsables des risques et de la conformité, sont désormais des alliés objectifs des assureurs.

CRI4DATA - 07 juillet 2018