Le management du digital
Rechercher

Assurance du système d’information : les fondamentaux

Pour Jean-Laurent Santoni, directeur de Marsh Risk Consulting France, le département intégré d’ingénierie de prévention et de conseil en gestion des risques de Marsh (*), « la prévention ne parviendra jamais à prendre en compte l’ensemble des aléas, dont le facteur humain. Se pose alors la question du choix entre prévention et assurance dans le cadre d’une approche de la sécurité et du budget qui lui est consacré. »

BPSI Dans quelle mesure l’évolution des systèmes d’information génère-t-elle de nouveaux risques ?

Jean-Laurent Santoni On parle de plus en plus de concepts tels que le « patrimoine informationnel », démontrant par-là la reconnaissance du poids grandissant de la valeur des informations par rapport aux supports d’information ou, plus généralement, aux seuls actifs physiques. Les composantes du patrimoine informationnel sont essentiellement les données (logiciel, base de données, informations) et les traitements (flux et échanges). L’environnement numérique se caractérise par trois spécificités. D’abord, les réseaux numériques sont totalement ouverts par conception, accessibles à tous ceux qui sont connectés. Le nombre d’utilisateurs est a priori illimité. Ensuite, on observe une dématérialisation des échanges et des biens avec un commerce sans échange physique entre acheteur et vendeur. Troisième spécificité : le réseau n’appartient à personne en tant que tel (seule l’extrémité, la tête du réseau, appartient à une entreprise). C’est également un univers sans autorité centrale, ni juridiction au niveau international.

Dans ce contexte, on comprendra que les aspects liés à la sécurité, à l’intégrité et à la confidentialité de l’information y seront de fait plus importants que dans un environnement plus fermé, à l’image d’un environnement physique. La défaillance de tout ou partie de l’ensemble peut entraîner des pertes graves pour l’entreprise, comme pour les collectivités appelées à développer l’e-administration.

BPSI Dans quels domaines estimez-vous que les risques sont amplifiés ?

Jean-Laurent Santoni Ces caractéristiques de l’environnement numérique se traduisent par un risque d’amplification ou de contagion par un effet domino. En considérant les risques en termes de fréquence et de gravité, il est possible de mettre en évidence au moins quatre domaines où les technologies numériques et les biens incorporels amplifient l’exposition aux risques : l’augmentation du nombre potentiel des réclamations (le nombre d’acteurs et de connectés s’accroît de manière exponentielle), l’augmentation de la gravité potentielle des sinistres, la multiplication des mises en cause potentielles avec une démultiplication du nombre d’intervenants ayant une implication directe ou indirecte dans les technologies numériques et, enfin, l’augmentation de la complexité des risques traditionnels et des procédures juridiques : le caractère international d’Internet et, par voie de conséquence, du commerce électronique, implique un risque accru de conflit de lois. Une fois l’information ou l’offre émise sur le réseau, sa diffusion peut échapper totalement au contrôle de son auteur.

De fait, il paraît impossible de respecter l’intégralité des législations nationales au niveau mondial. Ce que l’on observe de vraiment nouveau concerne l’évolution de la preuve dématérialisée, en particulier avec l’explosion des e-mails. D’ailleurs, c’est un domaine que les assureurs regardent avec circonspection, puisqu’en réalité on peut se demander s’il s’agit d’une problématique liée à la force probante de l’information ou de celle de l’informatisation de la preuve. En d’autres termes, il faut savoir s’il s’agit d’un problème de dommage informatique à la preuve, ou d’une responsabilité liée à la perte de force probante de l’information. Cela se matérialise par la notion de e-discovery. C’est une étape fondamentale des procédures judiciaires américaines permettant à chacune des parties à un procès d’obtenir de chacune des autres parties la divulgation de ses éléments de preuve et plus largement « des informations et éléments susceptibles de conduire à la découverte de telles preuves justificatives ». Plusieurs méthodes de e-discovery permettent à chacune des parties d’obtenir des informations de la part des autres parties au procès (y compris défavorables à ces dernières), voire de la part de tiers extérieurs à la procédure (par exemple : tiers archiveurs, tiers certificateurs,...). La notion de « documents » a toujours été entendue très largement dans le cadre des procédures américaines mais elle a pris une tout autre ampleur avec le développement des e-mails et autres données électroniques : 300 000 documents sont communicables aujourd’hui dans une procédure judiciaire « moyenne » aux états-Unis contre 50 000 avant l’avènement de la e-discovery. Par exemple, dans le procès antitrust AMD contre Intel, plusieurs dizaines de millions de documents ont été communiqués par Intel.

Les règles fédérales de procédure civile (FRCP) ont été modifiées (depuis décembre 2006) pour tenir compte du développement des informations stockées électroniquement (« ESI »). La règle 34 (a) des FRCP précise ainsi la notion de documents relevant de la discovery : « tous documents ou informations stockées électroniquement (ESI)... ». Les sanctions sont sévères, voire très sévères, avec des frais adverses à supporter, des pénalités financières... Des faits contestés par la partie sanctionnée peuvent être réputés admis par décision du juge, ou une recommandation défavorable donnée par le juge au jury (« adverse inference »). à cela s’ajoute le risque de condamnation à des « Punitive Damages » (dommages-intérêts punitifs). En outre, un jugement d’office peut même être prononcé en faveur de la partie adverse. Une entreprise peut ainsi perdre un procès aux Etats-Unis pour défaut de réponse à une requête en discovery, ou pour dissimulation de preuve (même non intentionnelle). Dans le « e » contexte actuel, ce risque est plus grand qu’auparavant, si l’entreprise ne s’est pas, par avance, préparée, structurée et dotée des moyens adaptés pour faire face à une e-discovery. à mon avis, c’est un sujet majeur dont on reparlera rapidement.

BPSI Comment assurer ces e-risques ?

Jean-Laurent Santoni Les systèmes d’information font heureu­sement l’objet de mesures de sécurité préventives. Les estimations réalisées montrent que le budget affecté à la prévention constitue 10 à 20 % du budget informatique qui représente souvent lui-même 1 à 2 % du chiffre d’affaires. Mais, au-delà d’un certain niveau, les investissements supplémentaires dans la prévention perdent de leur efficacité. En outre, celle-ci ne parviendra jamais à prendre en compte l’ensemble des aléas, dont le facteur humain. Se pose alors la question du choix entre prévention et assurance dans le cadre d’une approche globale de la sécurité et du budget qui lui est consacré. Les couvertures d’assurances doivent donc intégrer le « capital information » indispensable à l’activité des entreprises, c’est-à-dire les données nécessaires à la transaction commerciale et le patrimoine constitué par le système d’information. Les données publiques constituent également un enjeu majeur pour l’état et les collectivités.

Les assureurs ont une vision par pays et par branches (l’assurance-vie, les dommages, la responsabilité civile...) et ces découpages, d’origine historique, se prêtent mal à des visions transversales face à des risques immatériels et protéiformes. Les réponses des assureurs en matière de couvertures immatérielles sont donc longtemps restées morcelées, les garanties proposées étant soit des extensions dans le cadre de contrats « tous risques informatiques » excluant systématiquement les risques logiques, soit des extensions « sabotage informatique » à partir de protections « fraude » excluant alors toute autre forme de malveillance. Enfin, le montant des garanties accordées ne reposait pas sur une valorisation préalable de la matière assurée et s’avérait la plupart du temps très insuffisant. Ces dommages sont aujourd’hui assurables à partir des polices d’assurance dédiées, proposant des capacités croissantes. Ce nouveau concept d’assurance accorde aux entreprises une protection financière contre l’ensemble des vulnérabilités internes ou d’origine externe, pouvant affecter l’intégrité et la disponibilité de leur système d’information.

BPSI Que trouve-t-on dans les contrats ?

Jean-Laurent Santoni Généralement de type « tous risques sauf », les contrats couvrent les frais supplémentaires d’exploitation informatique, permettant notamment de financer un plan de secours, les frais supplémentaires additionnel, et les pertes d’exploitation, avec notamment la prise en charge des frais engagés pour reconstituer les programmes et données informatiques, même en l’absence de sauvegardes exploitables. Cette garantie peut être mise en jeu lorsque l’information a été détruite, altérée, volée ou perdue, et ce quels que soient le type de sinistre (incendie, dégât des eaux, sabotage, virus, intrusion par les réseaux ouverts tels que Internet, carence de réseaux externes...), la nature de l’information (progiciels, développements spécifiques, CAO-DAO, bases de données, paramétrages...) et le support utilisé (disques, bandes,...). Les compagnies d’assurances considèrent comme dommages immatériels informatiques les atteintes à la disponibilité et à l’intégrité d’un système d’information pouvant entraîner des pertes pécuniaires qu’il y ait ou non atteinte à l’intégrité physique de l’outil informatique ou d’un support d’informations, et que les événements dommageables résultent d’une erreur de manipulation ou de pupitrage des supports de données ou d’un acte de malveillance En fait, il s’agit de couvrir plusieurs types de pertes : les frais de reconstitution des informations détruites ou altérées, les frais supplémentaires d’exploitation informatique, les pertes d’exploitation ou de marge brute d’exploitation, les pertes indirectes (intérêts débiteurs, intérêts créditeurs, pénalités contractuelles), les frais de recherche, d’expertise, de décontamination des données infectées, les pertes de valeurs suite à fraude, les pertes d’image et la gestion de crise

BPSI Par quoi le DSI doit-il commencer ?

Jean-Laurent Santoni De la même manière que les années 1980 qui ont connu le développement de la méthode Marion aux fins de servir de base à l’assurabilité des risques de fraude, de détournement et de malveillance informatique, la clé réside aujourd’hui dans une approche objective de la problématique des vulnérabilités liées aux technologies de l’information. Chaque assureur, ainsi que chaque réassureur, a son approche d’évaluation des risques. Pour aller à l’essentiel, on peut dire que le dénominateur commun de ces approches est d’établir un benchmarking du risque à partir de la construction d’un référentiel sur les sinistres, avec une corrélation des techniques de sécurité mises en œuvre et des présomptions de menaces. Cela favorise l’assurabilité des risques par le partage de connaissances avec l’assureur sur la base d’une approche commune, en référence aux standards français et internationaux. Reste le vrai problème de l’indemnisation, car, qu’ils soient financiers ou informationnels, les flux « on line » échangés à l’échelle planétaire créent ou accentuent les risques dans des proportions telles que les assureurs et les réassureurs tardent encore aujourd’hui à élargir leurs couvertures aux e-risques. Faute de pouvoir mesurer objectivement l’impact financier d’un virus adressé accidentellement à des milliers de destinataires, d’une erreur technique dans un catalogue publié sur un site Web ou d’une indisponibilité d’un serveur interdisant tout commerce pendant une période indéterminée, les compagnies d’assurances privilégieront les entreprises ayant fait l’objet d’une évaluation objective en situation réelle du niveau de risque de leurs architecture et organisation Internet. En outre, cette évaluation peut être intégrée dans les démarches d’audit et de communication financière imposée par un nombre croissant de régulations (Sarbanes Oxley, LSF, NRE, LCEN, Bâle 2, ...).

BPSI Qu’en est-il de l’assurance des clients des sociétés de services ou les hébergeurs ?

Jean-Laurent Santoni Par la numérisation, l’information devient fongible, tout comme les billets que vous retirez à la banque ne sont pas les mêmes que ceux que vous avez déposés. Cela signifie que, par exemple, chez les hébergeurs, on ne peut distinguer à qui appartient l’information au sens de « propriétaire ». La notion de dommage pour compte correspond à l’assurance que l’hébergeur disposera des moyens techniques et financiers afin de reconstituer et restituer l’information de ses clients.

Une évolution récente du concept d’assurance des risques immatériels informatiques a permis d’envisager la couverture des entreprises utilisatrices de produits et services diffusés par la société assurée :

  • sur des bases contractuelles dites de « dommages pour compte », le prestataire ayant transféré à l’assurance pour financement les risques encourus par ses clients dans le cadre d’une rupture de services ;
  • en dehors de toute nécessité immédiate de recherche en responsabilité du prestataire à l’origine des préjudices subis ;
  • dans des délais rapides ;
  • en combinaison les cas échéant avec des couvertures responsabilité civile pour augmenter la capacité indemnitaire en cas de faute avérée.

L’objectif recherché n’est pas tant la sécurisation du client final en lui garantissant la bonne fin de l’opération réalisée ou de la prestation délivrée que la préservation de l’image de marque de la société prestataire. à partir d’une couverture d’assurance dédiée à la relation contractuelle « prestataire/client », le prestataire peut articuler et, le cas échéant, étendre sa limitation contractuelle d’indemnité en proposant, dans le cadre de son contrat commercial, le financement de solutions palliatives matérielles et informationnelles dans l’hypothèse où la technologie informatique ou le service associé est détruit ou indisponible. •

(*) Marsh est le numéro un mondial du conseil en gestion des risques et du courtage d’assurances.

Contrôle préventif des risques : les best practices

Pour les risques directs :

  • Sécuriser les procédures
  • Sécuriser la disponibilité du système :
    - assurer la redondance des composants (matériels, logiciels, données, télécommunications, conditionnement d’air, énergie, personnel...) de manière à éviter que la défaillance de l’un d’eux n’entraîne la neutralisation de tout le système ;
    - mettre en place d’un plan de survie.
  • Sécuriser l’intégrité des données :
    - former et sensibiliser le personnel pour réduire les erreurs éventuelles de saisie de données ;
    - procéder à des sauvegardes...
  • Sécuriser la confidentialité des données :
    - mettre en œuvre des procédures de contrôle des accès ;
    - mettre en place de procédures d’enregistrement des connexion dans un journal d’accès ;
    - procéder à la classification des informations en fonction de leur degré de confidentialité ;
    - chiffrer les données sensibles transférées.

Pour les risques de responsabilité :

  • Il s’agit de déterminer les risques internes en fonction de leur nature et de remédier aux risques internes :
    - vérifier la conformité d’exploitation des logiciels aux licences ;
    - sensibiliser et former le personnel à la gestion des droits de propriété intellectuelle ;
    - prévoir des contrats de transmission des droits d’auteur des salariés à l’entreprise.
  • Mettre en œuvre des stratégies de protection des actifs immatériels :
    - effectuer le dépôt des éléments susceptibles de protection ;
    - sécuriser les échanges ayant recours à la signature électronique ;
    - préconstituer et sécuriser des preuves : recours à l’horodatage, à l’archivage par des tiers certificateurs, à la signature électronique...
  • Sécuriser les contrats : définition précise des obligations des parties, prévision des modes de preuve...

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Philippe Rosé

Philippe Rosé

Docteur en sciences économiques et auteur d’une vingtaine d’ouvrages sur le management des systèmes d’information, Philippe Rosé est rédacteur en chef des publications Best Practices.

Nos Ouvrages

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

  • La cybersécurité 
en 250 questions

    Les cyberattaques n’ont jamais occasionné autant de dégâts dans les entreprises. Et les perspectives n’encouragent pas à l’optimisme. Comment nmieux se protéger ? Ce guide pratique regroupe les 250 questions que doivent se poser les responsables sécurité, les DSI et les directions générales. Avec des
    réponses concrètes…

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris