Assurance responsabilité cybernétique - Couverture des violations de données

Votre entreprise utilise-t-elle des données électroniques? Si la réponse est oui, vous pourriez avoir besoin d'une assurance responsabilité civile ? Une politique de responsabilité cybernétique protège votre entreprise contre les pertes de données causées par les cyber-attaques, les virus et autres menaces. Il couvre également les poursuites contre votre entreprise qui résultent de violations de données ou de votre incapacité à protéger les informations sensibles qui appartiennent à quelqu'un d'autre.

Qui en a besoin?

La couverture de la responsabilité en matière de cyber-responsabilité peut bénéficier à toute entreprise qui utilise un équipement électronique pour mener ses opérations.

Vous pouvez avoir besoin de cette couverture si vous faites l'une des choses suivantes:

• Communiquez avec vos clients par e-mail, SMS ou médias sociaux
• Envoyez ou recevez des documents par voie électronique
• Annoncez votre entreprise via des supports électroniques tels que un site Web ou un média social
• Stockez les données de votre entreprise sur un réseau informatique. Des exemples de données comprennent les projections de ventes, les registres comptables, les documents fiscaux et les secrets commerciaux.
• Stocker les données appartenant à d'autres personnes (telles que les employés ou les clients) sur un réseau informatique. Les exemples incluent les noms et adresses des clients, les numéros de cartes de crédit des clients, les dates de naissance des employés et les numéros de sécurité sociale.
• Vendre des produits ou services via un site Web

Ces activités peuvent permettre à votre entreprise de fonctionner plus efficacement, mais elles génèrent également des risques. Les données que vous stockez sur votre système informatique pourraient être violées, entraînant des poursuites judiciaires contre votre entreprise. Les données pourraient également être endommagées en raison d'un virus, d'une attaque de pirate ou d'une autre cause.

La restauration ou la réparation des données peut être très coûteuse.

Couvre les réclamations non couvertes par la police CGL

L'assurance responsabilité civile couvre les poursuites découlant d'événements tels que les violations de données et les attaques par déni de service. Ces poursuites ne sont pas couvertes par une police d'assurance responsabilité civile commerciale (CGL) standard.

D'une part, les dommages causés aux données électroniques ne sont pas considérés comme des dommages matériels en vertu d'une police CGL.

C'est parce que les données électroniques ne sont pas considérées comme des biens corporels. Deuxièmement, la plupart des polices CGL contiennent une exclusion de données électroniques spécifique. Cette exclusion élimine la couverture pour les réclamations basées sur la perte, les dommages, la corruption ou l'impossibilité d'utiliser les données.

Par exemple, supposons que votre entreprise fournisse des services de tenue de livres. Un virus envahit votre réseau informatique et endommage les données d'un client. Le client est incapable d'accéder aux documents dont il a besoin pour obtenir un prêt. Il vous poursuit pour les dommages causés à ses données. Le costume ne sera pas couvert par votre police CGL. Les dommages causés aux données de votre client ne sont pas considérés comme des dommages matériels.

Politiques en matière de cyber-responsabilité

Les politiques en matière de cyber-responsabilité protègent les entreprises contre les poursuites intentées par les clients et d'autres parties à la suite de violations de la sécurité ou de la confidentialité.Les politiques varient considérablement d'un assureur à l'autre. Certains couvrent les réclamations alléguant la diffamation ou la calomnie, l'invasion de la vie privée, ou la violation des droits de propriété intellectuelle (tels que le droit d'auteur). Pratiquement toutes les politiques de responsabilité cybernétique s'appliquent sur la base des réclamations.

En plus de la responsabilité civile, la plupart des cyber-polices couvrent diverses dépenses de première partie. Voici quelques exemples:

• Revenu d'entreprise et frais supplémentaires Couvre le revenu que vous perdez et les dépenses que vous engagez en raison d'une fermeture totale ou partielle de votre système informatique en raison d'une attaque, d'un virus ou d'un autre péril assuré. Ces pertes ne sont pas couvertes par l'assurance des revenus et des dépenses supplémentaires disponible en vertu d'une police d'assurance commerciale.
• Perte de données Couvre le coût de la restauration ou de la reconstruction des données perdues ou endommagées suite à un virus, une attaque de pirate informatique ou autre cause couverte
• Coûts associés Coûts liés à une violation de données . Des exemples sont le coût de la notification des clients concernés conformément à la loi et le coût de la surveillance du crédit pour les clients concernés.
• Cyber ​​extorsion Couvre les coûts associés à une menace d'extorsion, y compris les rançongiciels. Par exemple, un extorqueur installe ransomware votre système informatique. L'extorqueur refuse de divulguer vos données à moins que vous ne lui payiez une somme d'argent.
• Gestion de crise Couvre les frais d'embauche de consultants en relations publiques, juridiques et informatiques

Certains assureurs ont mis au point des politiques spéciales de cyberresponsabilité pour certains types d'entreprises, comme les entreprises technologiques ou de santé.

De nombreux assureurs offrent des garanties à la carte, de sorte que les clients n'ont besoin que d'acheter ceux qu'ils veulent.

Comment obtenir une couverture

Votre agent ou courtier peut vous aider à obtenir une assurance responsabilité cybernétique en soumettant une demande en votre nom à un assureur qui offre la couverture. L'application est susceptible de poser des questions détaillées sur le système informatique de votre entreprise et sa sécurité. Voici le type de renseignements que les assureurs recherchent habituellement:

• Pare-feu Votre système est-il protégé par un pare-feu?
• Analyses antivirus Analysez-vous les e-mails, les données téléchargées ou les périphériques portables à la recherche de virus?
• Personne responsable Qui est responsable de la sécurité du réseau?
• Politique de sécurité Avez-vous une politique de sécurité écrite?
• Logiciel de protection Votre système est-il protégé par un logiciel anti-virus? Utilisez-vous un logiciel de détection d'intrusion? Mettez-vous à jour régulièrement votre logiciel?
• Accès à distance Les employés, clients ou autres utilisateurs accèdent-ils à distance à votre système? Si oui, quel système est en place pour authentifier les utilisateurs?
• Données sensibles Quels types de données sensibles (numéros de sécurité sociale, informations de carte de crédit, etc.) stockez-vous sur votre système informatique? Les données sont-elles chiffrées?
• Accès Comment contrôlez-vous l'accès aux données sensibles?
• Test des contrôles de données Testez-vous périodiquement vos mesures de contrôle des données?
• Sauvegarde et stockage de données Sauvegardez-vous vos données quotidiennement?Où sont sauvegardées les sauvegardes?
• Sous-traitance Est-ce que vous sous-traitez des fonctions de l'ordinateur (telles que le stockage de données) à d'autres?
• Récupération Avez-vous un plan écrit de reprise après sinistre que vous suivriez en cas d'incident informatique?

Si vous souhaitez souscrire une assurance responsabilité civile, contactez votre agent ou votre courtier.

Article édité par Marianne Bonner