Questionnaire Cybercriminalité Insurance

La société exerce-t-elle son activité dans les domaines suivants ? :

- Institutions financières et services financiers
- Assurances (agents, courtiers ou tout autre intermédiaire),
- Agences de notation
- Réseaux sociaux
- Fournisseur d’utilités (énergie, eau, électricité, gaz, etc.)
- Parcs d’attractions
- Portails et processeurs de paiement
- Edition ou exploitation de logiciels de contrôle de process industriels (type SCADA –
- Contrôle de surveillance et acquisition de données , DCS – Système de contrôle distribué, ICS – Solutions informatiques intégrées)
- Etablissement de santé comptant plus de 15 praticiens
- Aérospatial et/ou défense ;
- Transport aérien ;
- Jeux et paris en ligne ;
- Logistique & entrepôts, transport de marchandises;

Sauvegarde.
La Société est-elle dans toutes les situations suivantes ?

- Absence de sauvegardes hebdomadaires de ses données et systèmes critiques consistant en une sauvegarde physique maintenue déconnectée de ses systèmes à un moment donné
- Absence de sauvegardes hebdomadaires de ses données et systèmes critiques utilisant l’une des solutions cloud Microsoft OneDrive, Google Drive, iCloud, Azure Recovery Services Vault, AWS Infrequent Access, AWS Glacier ou Veeam Backup & Replication.

Hébergement.
En cas d’hébergement externalisé la société est-elle dans toutes les situations suivantes :

- L’un de ses prestataires ne fait partie de la liste suivante : AWS, Google, IBM, Alibaba, Salesforce, Microsoft, Oracle, OVH.
- Son hébergeur n’est pas au minimum de niveau Tier 3 et certifié ISO 27001, et si le preneur d’assurance traite des données de santé, son hébergeur n’est pas certifié HDS.

Sécurité IT.
La Société est-elle dans une des situations suivantes :

- Absence de mise à jour des logiciels et des systèmes (y compris anti-virus et pare-feu) qu’il utilise dans les 30 jours suivants la mise à disposition de patchs par le fabricant
- Utilisation de systèmes d’exploitation dont les mises à jour ne sont plus supportées par leur fabricant (par exemple Windows XP et Windows 7)

Administrateurs.
Si la Société réalise un chiffre d’affaires supérieur à 1 million d’euros, est-elle dans une des situations suivantes :

- Absence de limitation des privilèges administrateur aux seuls utilisateurs qui en ont besoin
- En cas de filiales /entités affiliées, une ou plusieurs de ses filiales ne suivent pas les mêmes politiques, procédures et processus en matières de cyber-sécurité
- Non recours à la vérification en deux étapes - A2F/MFA – pour gérer tous les accès à distance à vos systèmes informatiques y compris télétravail, accès à des applications, cloud ressources (par exemple, Gsuite, Microsoft365, Azure, AWS, etc.) ainsi que les accès aux sauvegardes dans le cloud
- Si le preneur d’assurance réalise un chiffre d’affaires supérieur à 10 Millions d’euros, les administrateurs réseau, systèmes et entrepreneurs individuels ne possèdent pas de comptes différents pour leurs missions d’administrateurs et leurs usages quotidiens (par exemple - traitement des emails)

Accès aux systèmes informatiques.
Si la Société réalise un chiffre d’affaires supérieur à 1 million d’euros, est-elle dans une des situations suivantes :

- Gère-t-elle les accès administrateurs d’un ou plusieurs clients (création, suppression, modification des droits d'accès) ?
-En cas d’accès aux systèmes informatiques d’un ou de plusieurs clients, elle n’utilise pas la vérification en deux étapes (A2F/MFA) pour se connecter.

En cas de souscription de la garantie optionnelle cyber fraude.
La Société est-elle dans l’une des situations suivantes ?

- Absence de mise à jour des logiciels et des systèmes (y compris anti-virus et pare-feu) qu’il utilise dans les 30 jours suivants la mise à disposition de patchs par le fabricant
- Utilisation de systèmes d’exploitation dont les mises à jour ne sont plus supportées par leur fabricant (par exemple Windows XP et Windows 7)

Exposition géographique.
La Société est-elle dans une des situations suivantes ?

- Son siège social ou au moins un établissement, filiale, succursale, point de vente est situé en Polynésie Française ou en Nouvelle Calédonie.
- Au moins une filiale qui souhaite assurer au contrat est située en dehors de l’Espace économique Européen.
- La Société a un chiffre d’affaires à l’export aux Etats-Unis et Canada supérieur à 25% de son chiffre d’affaires total ?

Antécédents du risque.
La Société a-t-elle ?

- Subi un sinistre cyber d'un coût total supérieur à 1.500 euros au cours des 5 dernières années, que celui-ci ait été indemnisé ou non.
- Fait l'objet d'une ou plusieurs enquête(s) administrative(s)?
- Connaissance d’évènements ou circonstances pouvant donner lieu à la mise en jeu de la garantie?