L’assureur Britannique Staysure notifie 100 000 clients du vol de leurs données personnelles

assurancesStaysure a confirmé que les noms et adresses de presque 100 000 clients ont été volés à l’occasion du hacking de son système d’information. En plus des données nominales, les hackers ont pu récupérer également les données bancaires, les numéros de cartes de crédits ainsi que les numéros CCV (les 3 chiffres au dos des cartes de crédits) des clients ayant souscrits des contrats d’assurances avant mai 2012

Ryan Howsam, PDG de Staysure, indiquait dans une lettre adressé aux 93 389 clients concernés, “avoir  immédiatement engagé des experts en cybersécurité  pour déterminer pleinement l’ampleur du problème”. Cependant les faits tendent à penser le contraire. En effet, alors que l’attaque a été menée en octobre de l’année 2013, la compagnie d’assurances Staysure, n’en a eu connaissance qu’a partir du 14 Novembre, et les premiers clients n’ont été informés qu’un mois plus tard.

On sait pourtant que la réactivité est primordiale pour ce type de sinistre. Réactivité pour colmater la branche. Réactivité pour informer les organismes réglementaires, et réactivité pour informer les autres victimes du vols: les titulaires des données nominatives et des comptes bancaires.

Staysure a-t-elle voulu jouer la montre auprès de ses clients?  Ce qui est certain, c’est que sa responsabilité est engagé dans cette affaire (ne serait ce que par le non respect de la norme PCI DSS qui spécifie expressement de ne pas stocker les numéros CCV,  tout le contraire de ce qui a été fait jusqu’en 2012). Il faut noter cependant que les données étaient chiffrées, les rendant a priori inutilisables, et atténuant ainsi les conséquences désastreuses pour sa responsabilité et son image .

A ce jour, pour dédommager ses clients, et améliorer sa réputation, l’assureur britannique offre un accès gratuit à Data Patrol, un service de monitoring pour les risques de fraude identitaire.

Staysure avait-elle souscrit une assurance Cyber? Tout laisse a penser que non. Avec un contrat Cyber, l’assureur aurait pu réagir immédiatement, dès la connaissance de la violation de données. Le contrat Cyber n’est pas une solution a posteriori, comme la plupart des contrats d’assurances classiques. Il s’agit avant tout d’une offre de services, capable de mettre à disposition de la victimes, des experts informatiques, juridiques, et en communication de crise, qui atténuent les conséquences de l’atteintes aux données.

Avec une hausse constante des attaques des systèmes d’informations, et surtout leurs divulgations auprès du grand public, les entreprises doivent aujourd’hui réfléchir aux impact financiers que ces nouvelles menaces ont sur leurs bilans. Les coûts ne se traduisent plus uniquement en investissements dans des solutions de sécurité onéreuses, mais en chute du cours des actions, en perte d’image et de confiance des clients. Même si l’assurance Cyber ne pourra pas empêcher le hacker de faire des dégâts, elle permettra à minima d’en atténuer les conséquences financières.  Nous avons atteint un point où les violations de données sont inévitables.  Les entreprises doivent non seulement le comprendre, mais surtout prendre les mesures nécessaires pour minimiser les dommages financiers et de réputation que ces événements génères.

Pour de plus amples informations sur les produits d’assurances disponibles, ou pour une étude, contactez nous 

source bbc