E-commerce : le risque de pertes de données clients s’intensifie en Europe

L’engouement pour l’achat en ligne croît chaque année , sans que le risque de se voir voler ses informations personnelles et bancaires ne diminue pour autant. Dans ce contexte, les e-commerçants sont de plus en plus nombreux à solliciter leur assureur pour étendre leur couverture aux pertes de données en ligne.

    

Le dark web se nourrit de données personnelles, plus nombreuses chaque année…

Les dernières statistiques relatives aux données personnelles identifiées sur le dark web attestent de l’ampleur du phénomène. Au cours de la dernière année, plus de 287 millions de données personnelles y ont été recensées par notre partenaire CSID[1], un des principaux fournisseurs de solutions et de technologies de détection de fraude. Dans le détail, ces données confidentielles sont autant de numéros de cartes de crédit, de sécurité sociale, d’informations médicales, d’adresses email, de comptes bancaires et de permis de conduire.

Dans ce marché de la donnée, les revendeurs occupent une cible de premier choix. Dans un rapport récent concernant une sélection d’importants revendeurs britanniques, CSID a confirmé que dans les 12 derniers mois, près de 600 employés ont eu leurs adresses emails professionnelles et leurs mots de passe échangés sur des forums secrets. Comme l’illustre le récent piratage informatique de Sony Pictures, ces moyens d’authentification peuvent donner accès aux conversations électroniques des employés et ainsi compromettre leur employeur mais également constituer un moyen d’obtenir plus d’informations sensibles.

Le piratage de données augmente année après année. En 2013, « l’année de la méga fuite », selon Symantec, 552 millions d’identités auraient été exposées sur la toile[2].

… non sans répercussion sur la santé économique d’une entreprise 

A l’abri - pour l’instant - d’une réglementation sur la protection des données informatiques personnelles, les entreprises européennes s’exposent malgré tout à de graves répercussions sur leur réputation et la viabilité de leur activité en cas de violation des données de leurs clients.

Notre expérience aux Etats-Unis, où nous avons géré près de 2 000 cas de violation de données, a, en effet, montré les conséquences catastrophiques que pouvait engendrer une fuite d’informations sur l’image de marque d’une entreprise, le cours des actions et la confiance de ses clients.

L’un de nos clients, revendeur international de vêtements féminins, a été victime d’un piratage de son système de paiement. Les identités bancaires de certains de ses clients ont ainsi été subtilisées. Le montant total du préjudice a dépassé les 300 000 euros.

 

Des Etats-Unis à l’Europe, il n’y a qu’un pas

En matière d’intrusion informatique, les pays européens tendent à suivre le même chemin que les Etats-Unis. Les profils d’entreprises déjà victimes d’une fuite significative de données ou d’une cyber-attaque sont semblables : principalement des revendeurs, des institutions, des établissements d’enseignement, d’hébergement, de santé et des services publics.

Si bien qu’aujourd’hui, de plus en plus d’entreprises dans ces secteurs changent d’approche. La question qu’elles se posent n’est plus de savoir « si » elles vont être victimes d’une attaque, mais bien « quand » elles le seront. Cela implique dès lors une réflexion sur les moyens à mettre en œuvre pour garantir leur viabilité. La leçon que nous tirons de notre expérience outre-Atlantique est qu’une fuite de donnée n’est pas toujours un désastre, si elle est bien anticipée et gérée. Nous avons constaté que les entreprises qui géraient efficacement et professionnellement les fuites d’informations, conformément à leur obligations légales, et proposaient à leur client aide pratique et assistance, avaient plus de chances de ressortir de cette situation indemne.

A ce titre, les polices cyber-assurance intégrant l’assistance en situation de crise constituent de précieux alliés. Dès que la fuite se produit, elles prévoient la mise en place d’une cellule de crise, coordonnant un réseau d’experts éprouvés en matière juridique, informatique et de gestion de crise. Elles sont devenues aujourd’hui incontournables pour réagir vite et limiter les dégâts.

Le temps presse

Certains signes ne trompent pas. Le marché de la perte de données et de la cyber-assurance commence à prendre de la vitesse en Europe, tandis que nous enregistrons une hausse des demandes de cotation de la part des entreprises et en particulier des e-commerçants. Une fois que la législation européenne sur la protection des données prendra effet, la demande  s’intensifiera.

Nous avons aussi besoin de mieux appréhender la nature transfrontalière des fuites de données, et notre capacité, en tant qu’assureur, à adresser ce risque. Avec la délocalisation des données à l’international, le risque de violation du système s’intensifie et s’élargit géographiquement. En février 2013, un groupe de hackers situé en Ukraine a ainsi collecté des informations sur plusieurs millions de cartes de crédit, les a postées sur un site de partage de données, avant d’en faire une annonce sur Twitter !

La progression de la vente en ligne implique l’augmentation des quantités de données personnelles stockées, et de fait, le risque de violation. Vis-à-vis de ce secteur, le marché de l’assurance a un rôle significatif à jouer, à la fois pour sensibiliser les assurés et pour les aider à mettre en place des solutions fiables et adaptées de gestion des risques et des mesures de mitigation.

Indépendamment de toute réglementation, il est en effet de la responsabilité des entreprises de mettre tout en œuvre en cas d’atteinte à la sécurité de leur système informatique pour garantir la traçabilité et la confidentialité des informations relatives à leurs clients et usagers.

Le risque d’une fuite de données est devenu trop grand pour être aujourd’hui ignoré. L’assurance est, dans ce cas, un élément essentiel pouvant faire la différence entre succès et échec.