/medias/image/13596903275d1f1a62ce717.jpg
Retour aux actualités
Article suivant Article précédent

Flash DGSI : Attention aux pratiques des assurances en matière de confidentialité des données

Information

-

25/11/2016

Ce « flash » de l’ingérence économique relate un fait dont une entreprise française a récemment été victime. Ayant vocation à illustrer la diversité des comportements offensifs susceptibles de viser les sociétés, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité au sein de votre entreprise.
Vous êtes libres de le partager avec vos salariés.
Dans un souci de discrétion, le récit ne comporte aucune mention permettant d’identifier l’entreprise visée.
Pour toute question relative à ce « flash » ou si vous souhaitez nous contacter, merci de nous écrire à l’adresse :
securite-economique@interieur.gouv.fr

Certaines pratiques assurantielles peuvent induire
des vulnérabilités en termes d’ingérence économique

En cas de sinistre, les assurances, qu’elles soient facultatives ou obligatoires, contribuent à préserver la pérennité des entreprises. Au-delà de la protection des actifs corporels, la gestion des risques, indissociable du processus assurantiel, aide les entreprises à adapter leurs prises de décision dans un environnement incertain.
Dresser la cartographie des risques de l’entreprise assurée nécessite l’acquisition d’une connaissance fine de son « business model » et un diagnostic précis de ses vulnérabilités. Or, ces informations, utiles dans une démarche d’assurance et de gestion des risques, relèvent de la stratégie de l’entreprise.
En outre, face à l’émergence de risques nouveaux, certaines compagnies d’assurances n’hésitent pas, lors de la souscription, à effectuer des audits et à demander des informations très sensibles aux entreprises.
Ainsi, une vigilance particulière doit être portée au maintien de la confidentialité de ces informations, eu égard aux différents traitements dont elles pourraient faire l’objet.

Vous trouverez ci-dessous deux exemples représentatifs de scénarii de menaces :

Exemple 1 : Proposition d’externalisation de la gestion du risque entreprise
Une entreprise française en restructuration a récemment été démarchée, avec insistance, par un courtier en assurances qui proposait l’externalisation de la fonction gestion des risques, elle-même à la base de l’évaluation des besoins assurantiels de la société. Un engagement dans cette démarche aurait permis aux prestataires extérieurs d’avoir une connaissance approfondie de la société induisant, de fait, un risque de captation de ces informations stratégiques par des acteurs tiers.

Exemple 2 : Audits des réseaux informatiques lors de la souscription d’une « assurance-cyber »
Victime de plusieurs tentatives de faux ordres de virements bancaires déjouées, une entreprise française s’est récemment intéressée aux assurances nouvellement proposées contre les cyberescroqueries.
Elle constate cependant que sont exigés par les compagnies d’assurances, à l’appui de ces contrats, des audits poussés des réseaux informatiques des entreprises assurées. Ces dispositions inquiètent d’autant plus que les assureurs recommandent des audits effectués par des sociétés de services et d’équipements informatiques qui, pour beaucoup, sont étrangères.


Commentaire :
Si le recours aux assurances est indispensable pour la pérennité de l’entreprise, notamment face à la montée de risques émergents, il convient de s’assurer du respect de la confidentialité des échanges et des données transmises.

Préconisations de la DGSI :
  • Prévoir avec soin le périmètre des données qui seront transmises et éventuellement protéger celles-ci par une clé de chiffrement connue seulement de l’entreprise ;
  • S’enquérir des éventuelles transmissions externes de ces données que le prestataire de services pourrait être amené à faire ;
  • Signer, avec l’appui du service juridique, un accord de confidentialité précisant les modalités d’accès et de traitement des données, assorti d’un état nominatif - et évolutif - des personnes autorisées ;
  • S’assurer des conditions de stockage et de sécurité des données transmises ;
  • Lorsqu’un audit est nécessaire, recourir à un Prestataire d’audit de la sécurité des systèmes d’information (PASSI) qualifié par l’ANSSI ou, a minima, à un prestataire n’ayant aucun lien avec une activité de vente de matériels ou de services informatiques.
 

1098 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Information

Grâce à votre cotisation, aidez les étudiants à financer leurs études

User profile picture

Chan-Thaï LAM

29 août

Information

Liste de soutien : magazine 50 ans de Polytech Lille

User profile picture

Chan-Thaï LAM

01 juillet

Information

Venez tester la navette autonome sur le campus Cité scientifique

User profile picture

Chan-Thaï LAM

06 mars