Assurabilité des systèmes - AFDIT › media › pdf › 3 avril 2014 › Pratiques...
Transcript of Assurabilité des systèmes - AFDIT › media › pdf › 3 avril 2014 › Pratiques...
Document confidentiel – Ne pas diffuser sans autorisation 1
Jeudi 3 avril 2014 – 9h – 17 h
CONSEIL NATIONAL DES BARREAUX
Auditorium 22, rue de Londres 75009 PARIS – FRANCE
Assurabilité des systèmes d’information
Problématiques juridiques et pratiques contractuelles à l’heure des cyber risques
2 04/04/2014
Pratiques contractuelles Président de séance : Alexandre MENAIS, Directeur Juridique ATOS 14h00 Assurer le financement d’un projet ERP : la pratique contractuelle de BNP PARIBAS Rental Solutions Philippe JOUGLARD Directeur des Services chez BNP Paribas Rental Solutions 14h30 Assurance et réassurance du monde digital : la pratique contractuelle de MUNICH Ré Patrick POUILLOT Corporate Insurance Partner chez Munich Ré 15h15 Pause – Break
Document confidentiel – Ne pas diffuser sans autorisation
NAME OF FIRM / SPECIALTIES
Assurer le financement d’un projet ERP
La pratique contractuelle de BNP Paribas Rental Solutions
Philippe Jouglard
3
4 04/04/2014
BNP Paribas Rental Solutions est l’entité spécialisée de BNP Paribas
commercialisant des solutions de location avec services et de gestion
de parc auprès des entreprises.
• Un des leaders européens de la location
d’équipements avec services,
• Un accompagnement de ses clients tout
au long du cycle de vie de l’actif, depuis le
choix de l’équipement jusqu’à sa
restitution,
• Spécialisé sur le marché des équipements
technologiques (informatique, téléphonie,
bureautique, logiciels, équipements
spécialisés).
A propos
5 04/04/2014
Plusieurs centaines de
constructeurs et d’éditeurs…
Infrastructure Infrastructure
Informatique
Télécoms
Distribués
Sécurité
Périphériques
Mobile
Bureautique
Impression
Audio-Visuel
Spécialisés
Industrie
Distribution
Audio-Visuel Pro
Médical
Logiciels
Gestion
Bureautique
Professionnels
Systèmes
Nous sommes experts des actifs technologiques
6 04/04/2014
OPTIMISATION
TCO
PROCUREMENT
MASTERISATION
CONFIGURATION
GESTION
DE PARC
ASSURANCE
HELP DESK
MAINTENANCE
FIN DE VIE
FACTURATION
CONTINUITE
L’accompagnement tout au long du cycle de vie de l’actif
Le métier
7 04/04/2014
SERVICES
LOCATIFS
SERVICES
DÉLÉGUÉS SERVICES
OPÉRATIONNELS
Masterisation
& Déploiement
Helpdesk
& Support
Maintenance
& Continuité
Procurement
Gestion de Parc
Assurance
Facturation
Corporate
Remarketing
Location Evolutive
Ingénierie Financière
Une gamme complète de services de Gestion de Parc
L’optimisation du parc des actifs technologiques
8 04/04/2014
Une décision stratégique
pour l’entreprise
ERP
Infocentre CRM
Gestion RH
BI
Nouveau
Complexe
Consommateur
de ressources
Structurant
Déployer un nouveau projet logiciel, c’est pour l’entreprise
9 04/04/2014
Analyse des dépassements budgétaires
Dépassement de budget de plus de
27%
Dépassement de budget de 16% à
27%
Dépassement de budget de 1% à
16%
Conforme ou inférieur aux
budgets
28,00%
40,00%
26,00%
6,40%
Constat marché
Des dépassements récurrents (budget, coûts, délais)
Disponibilité réelle
des équipes internes
Modification
du périmètre fonctionnel
initial lors du déploiement
10 04/04/2014
Les coûts sont supérieurs aux bénéfices
pendant la phase d’implémentation du
projet
Les coûts sont difficiles à maîtriser
Franchise jusqu’à 12 mois possible
pendant la phase initiale
Paiements et bénéfices sont alignés
Les coûts sont contrôlés
Le ROI est accéléré
Avec LeasePark ERP Sans solution de financement
Coûts
Bénéfices
Déploiement :
paiements
progressifs
ou franchise
Comment améliorer la rentabilité d’un projet ERP
Déploiement d’un nouveau projet ERP
11 04/04/2014
Les constituantes d’un projet LeasePark ERP
Offre LeasePark ERP
Exemplaires de logiciel(s)
Core System
Logiciel(s) « compagnon »
Prestations externes :
Etudes préliminaires
Installation et paramétrage
Développement
Accompagnement (AMOA)
Maintenance 1ère année
Formation
…
Et parfois du hardware
Serveurs
Stockage
…
12 04/04/2014
Mise en place périodique des opérations par lot, suivant leur recette
Consolidation en fin de projet des contrats mis en place pour garantir la
constitution de l’actif immatériel
Objectif : constituer in fine l’actif en gardant la maîtrise du projet
La méthodologie de mise en place des opérations immatérielles
Offre LeasePark ERP
13 04/04/2014
Pratique contractuelle
P.I.C. (Protection de l’Intérêt
de la Clientèle)
Certifications
Politique de
Crédit et de
Risques
Analyse des
risques
Méthodologies de
couverture
Accord cadre
encadrant le
projet
AMOA de
surveillance
La pratique contractuelle de BNP Paribas Rental Solutions
Encadrée par
14 04/04/2014
Pour sécuriser les
projets ERP
RISQUES
INTEGRATEURS
& TIERS
PRESTATAIRES
RISQUES
PROJET
RISQUES
EDITEUR(S)
RISQUES
BUDGETAIRES
RISQUE DE
CONTREPARTIE
Analyse des risques et mécanismes de couverture
15 04/04/2014
Analyse des risques et mécanismes de couverture
RISQUE DE
CONTREPARTIE
Le projet n’est il pas
trop ambitieux ?
Le plan financier prévisionnel
permet il de couvrir dans la
durée un tel investissement ?
16 04/04/2014
Analyse des risques et mécanismes de couverture
RISQUES
EDITEUR(S)
Le choix de l’Editeur
est il le bon ?
L’éditeur est il pérenne ?
Le montage est il conforme ?
17 04/04/2014
Analyse des risques et mécanismes de couverture
RISQUES
INTEGRATEURS
& TIERS
PRESTATAIRES
Le choix des prestataires
est il le bon ?
Sont ils pérennes ?
Les responsabilités sont elles
définies?
18 04/04/2014
Analyse des risques et mécanismes de couverture
RISQUES
PROJET
Le projet est il cadré
correctement ?
Le projet est il « complet » ?
Avons-nous les ressources
internes adéquates ?
19 04/04/2014
Analyse des risques et mécanismes de couverture
RISQUES
BUDGETAIRES
Les budgets sont ils
dimensionnés correctement ?
La couverture des aléas est elle
prise en compte?
La gouvernance intègre t’elle
les aspects financiers ?
20 04/04/2014
Contractualisation
Encadre le déploiement du projet ERP
Permet la mise en place périodique
des opérations locatives
Il intègre :
- Le cadrage du projet ERP
- Le lotissement et la planification
- L’identification des acteurs
- Les périmètres de responsabilité
- La gouvernance projet
- L’accord d’intervention de l’éditeur
- Tarification et indexation
- …
Accord Cadre Avenant(s)
Met à jour l’Accord Cadre
Afin de :
- Couvrir toutes les évolutions du projet
- Permettre le maintien de la couverture des
risques pendant la durée du déploiement du
projet
- …
La documentation juridique de référence
Les opérations locatives
Un lot recetté du projet => un contrat de location
21 04/04/2014
Déploiement et surveillance
Accord Cadre signé • Le Projet est
cadré
• La Couverture des risques est en place
Est-ce suffisant ?
AMOA de surveillance • Contrôles au fil
de l’eau
• Mise à niveau de la couverture des risques
22 04/04/2014
Et pourtant …
Aujourd’hui Et pourtant …
ASSURABILITE !
Document confidentiel – Ne pas diffuser sans autorisation
Corporate Insurance Partners
Assurabilité des systèmes d’information
Assurer le monde digital Patrick Pouillot
23
3 avril 2014 CONSEIL NATIONAL
DES BARREAUX
24 04/04/2014
Wikipédia Préfixe à la mode à partir de la deuxième moitié du XXe siècle ; il est tiré
du mot grec Kubernêtikê signifiant « gouvernail ».
De quoi parlons-nous ?
Locutions • Cyber espace ,Cyber-criminel
• Air Force Cyber Command • Control Data Cyber 72 • Cyber (comics) • Cyber Age • Cyber City Oedo
808 • Cyber Cop • Cyber Estate Tower • Cyber Idol Mink • Cyber Noël • Cyber Palestine • Cyber
Press Publishing • Cyber Weapon Z • Cyber fest noz • Cyber-base • Future GPX Cyber Formula •
Geno cyber • Sony Cyber-shot • WWE Cyber Sunday • World Cyber Games…
Larrousse Locution servant à former de très nombreux mots relatifs à l’utilisation du réseau
Internet
Parlons plutôt de
25 04/04/2014
OFFRE D’ORIGINE CALIFORNIENNE
TOURNEE VERS L’INDEMNISATION DES DOMMAGES CAUSES AUX TIERS
APRES DIVULGATION DE DONNEES OU CONTAMINATION VIRALE
DANS UN ENVIRONNEMENT CULTUREL
QUI FAIT PEU DE PLACE AU DOMMAGE (PAS D’INTERET POUR LA PE, PEU DE CAPACITES VIRUS)
AUTOUR D’UNE REGLEMENTATION
ET D’UNE CONCURRENCE ETABLIES
ELOBOREE AUTOUR DE FONDEMENTS
JURIDIQUES « COMMON LAW »
AVEC DES POLICES DEVELOPPEES PAR
DES COMPAGNIES ANGLO-SAXONNES
ET DIFFUSEES PAR LEURS FILIALES OU
SUCCURSALES EUROPEENNES
AYANT ADOPTE UN FORMAT “PACKAGE” PEU MODULABLES
COMBINANT DOMMAGES ET RESPONSABILITE CIVILE
POUR DES CAPACITES FAIBLES ET PLUTOT DESTINEES AUX ETI, AVEC DES SOUS-LIMITES
IMPOSEES SUR LES RISQUES A CARACTERE PENDEMIQUE OU SERIEL
IMPOSANT UNE COASSURANCE POUR TOUT PROJET “GRAND COMPTE”.
2008
Depuis 2011
2003
2007
26 04/04/2014
DESTRUCTION
CONTAMINATION
EXTORSION
DIVULGATION
INVESTIGATION
INTERVENTION
OPTIMISATION
FA
CT
EU
RS
EN
DO
GE
NE
S
27 04/04/2014
TECHNOLOGIES
EXTERNALISATION
DEPENDANCE
ETHIQUE
REGULATION
SANCTION
SAVOIR-FAIRE
FA
CT
EU
RS
EX
OG
EN
ES
28 04/04/2014
FA
CT
EU
RS
EN
DO
GE
NE
S
FA
CT
EU
RS
EX
OG
EN
ES
TECHNOLOGIES
EXTERNALISATION
DEPENDANCE
ETHIQUE
REGULATION
SANCTION
SAVOIR-FAIRE
DESTRUCTION
CONTAMINATION
EXTORSION
DIVULGATION
INVESTIGATION
INTERVENTION
OPTIMISATION
29 04/04/2014
Atteinte aux programmes
et aux données
Pertes d’exploitation
Atteinte aux données
personnelles (Dommages)
Atteinte aux données personnelles
(Responsabilité civile)
Chantage & extorsion
Carence directe : infogérance,
informatique dans les nuages &
partenaires
Atteinte à la réputation
PCI-DSS - Payment Card Industry
Data Security Standard
Protection des archives digitales
Carence indirecte d’origine digitale
Dommages matériels liés à un risque
digital & Pertes d’exploitation
Frais de prévention / protection liés à la
sécurité du système d’information
(avant sinistre)
Responsabilités civiles,
Propriété intellectuelle…
*Contraction de dématérialisation et d’informatique, la dématique correspond à l’action de
dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la
dématérialisation des échanges et des processus métier en y incluant la composante légale.
30 04/04/2014
Sites industriels centrales hydro-électriques
Centrales nucléaires iraniennes
FA
CT
EU
RS
EN
DO
GE
NE
S
FA
CT
EU
RS
EX
OG
EN
ES
Reprogrammation des automates de Siemens
Plusieurs vulnérabilités « 0-day » conjointes
Programmation en langage mixte C / C++
Découvert en Biélorussie en juin 2010
45 000 systèmes infectés dans le monde
(dont plus de 30 000 en Iran)
Certains programmes touchés étaient utilisés
pour des centrales hydro-électriques ou
nucléaires, et d’autres pour la distribution
d’eau potable et les oléoducs
31 04/04/2014
SE
CU
RIT
E
DSI et RSSI en
fonctions
Autorité de
tutelle
BCP
formalisé et
testé
Politique de
sécurité
formalisée
SI certifié
ISO 27000 Audits internes
et externes
Les patches
arrivent…
quand ?
Structure
mutante
avec botnet
Nouvelle
souche
virale
Répliques
pendant 6
semaines
Choix d’une
solution
manuelle
Editeurs
anti-virus
à l’épreuve
PE
RF
OR
MA
NC
E
32 04/04/2014
PIL
OT
ER
D
EL
EG
UE
R
Début 2012
Dans le cadre des lois SOPA et PIPA en vigueur aux Etats-Unis, le
gouvernement, par l’intermédiaire du FBI, ordonne la fermeture des
serveurs américains de partage de fichiers de MegaUpload, basée à
Hong Kong. un quart d'heure après l'annonce officielle émanant du
gouvernement américain, le mouvement Anonymous lance l'opération
de protestation #OpMegaupload.
L'attaque par déni de service bloque l'accès aux sites internet de la
justice américaine, d'Universal Music, de la Recording Industry
Association of America, de la Motion Picture Association of America, de
l'U.S. Copyright Office, de l'Hadopi, de l’Elysée, de la SACEM, de la
Warner Music Group, du FBI et de Sony (encore…)
Tous les utilisateurs ayant développés des bibliothèques de fichiers
partagés ont perdu leurs droits d’accès et d’échanges. C’est notamment
le cas des entreprises qui mutualisaient en toute légalité leurs savoirs-
faires en les mettant à la disposition de leur communauté
professionnelle (brochures, catalogues,…) .
Le site MegaUpload représentait 4% du trafic mondial sur Internet et
150 millions d’utilisateurs inscrits.
33 04/04/2014
S’intéresser à la
gouvernance des risques
et à la continuité
d’activités
S’entourer de partenaires
spécialisés (souscription ET
sinistres)
Adresser les scénarios à
forte gravité
Passer de la
« confection » au
« sur-mesure »
Mobiliser des capacités
adaptées aux enjeux
Etre un partenaire et
s’engager sur le long
terme
AS
SU
RE
UR
S
EN
TR
EP
RIS
ES
Admettre l’exposition
permanente aux risques
digitaux, quelles que soient
les mesures de sécurité en
place
Préparer les actions
prioritaires en cas d’attaques
logiques ET AUTRES
Identifier les scénarios
d’expositions majeures
Adresser spécifiquement le
risque Privacy (procédures de notification)
Identifier les garanties
« immatérielles » dans les
contrats en vigueur (déjà assuré … ou pas)
34 04/04/2014
Après investigations menées chez un des hébergeurs de
l’entreprise par des consultants externes spécialisés, la
présence du malicicel est confirmée.
Conçu spécifiquement pour attaquer l’entreprise et exploitant
une faille de sécurité développée par ingénièrie sociale, ce
maliciel unique était par nature impossible à identifier.
Analysées, les fonctions de ce maliciel revendiqué par une
organisation hacktiviste, auraient permis la fuite automatisée
d’une importante quantité d’informations, pendant plusieurs
mois.
La rumeur circule rapidement sur Internet; quelques salariés
sont interrogés par des journalistes et donnent plusieurs
versions des faits; les médias se font immédiatement l’écho “à
leur manière” de la situation.
Des réclamations de clients inquiets commencent à voir le jour;
la CNIL diligente une enquête, et impose à l’entreprise de
notifier l’incident à toutes les personnes concernées.
Constatant des mesures de sécurité innaproriées durant l’audit,
notamment autour de la sécurité déployée pour protéger des
données financières, la CNIL inflige de lourdes amendes.
L’impact médiatique s’avère important et l’entreprise est
confrontée à une baisse de son activité commerciale, mais
aussi du nombre de ses clients. Certains partenaires et
prestataires se manifestent.
L’entreprise est sanctionnée par les marchés financiers.
UN HACKER DEMANDE UNE RANÇON SUITE À L’INSTALLATION PRÉSUMÉE D’UN PROGRAMME MALVEILLANT
DANS LE SYSTÈME D’INFORMATION D’UN GRAND DISTRIBUTEUR, EN PARTIE EXTERNALISÉ.
35 04/04/2014
Patrick Pouillot Senior Underwriter
Special Enterprise Risks 65/67 rue de la Victoire
75009 Paris
Telephone: +33 (1) 4312-4166
Mobile : +33 (6) 8115-0596
C’est fini
Merci de votre
attention
36 04/04/2014
15h30 Assurance et services en matière de violation de sécurité des données à caractère personnel : la pratique contractuelle des Lloyd’s de Londres Jimaan SANE Underwriter Beazley Breach Response (BBR) 16h00 Assurance de la Responsabilité Civile Professionnelle des Prestataires Informatiques – l’assurance du Cloud : la pratique contractuelle du Syntec Numérique Assurance Nicolas HELENON Directeur Associé chez Néotech Assurances 16h30 Débat et questions avec la salle Clôture des débats par Hervé CAUSSE, Professeur de droit commercial, économique et financier
37
Assurance et services en matière de violations de sécurité des données à caractère personnel Pratique contractuelle de Beazley Beazley Group Jimaan Sané
38
En chiffres …
D’où viennent les risques ?
39
Besoin d’une garantie spécifique ?
• Polices traditionnelles
o Polices Responsabilité Civile Générale
Exclusion du virus informatique
Exclusion de la perte de données
Exclusion de la divulgation d’informations
confidentielles
o Polices Responsabilité Civile Professionnelle
Base réclamation
o Police Dommages
Dommage matériel direct
• Evolutions réglementaires
o Directive Européenne
o Action collective
o OIV
Tous risques
individuels
RC
Après
livraison
RC
générale
Assurance
Cyber
RC
professionnelle
Fraude Kidnapping
&
Rançon
Dommage
Rapports sociaux
Indemnisation :
• Aide financière
• Faible maitrise des coûts
Service :
• Séparation des rôles
• Accompagnement
• Franchises et limites ?
• Prestataires
o Forensics
o Avocats spécialisés
o Notification
o Centre d’appel
o Veille internet
o Relations Publiques
Service vs Indemnisation
41
42
• d
En pratique : une solution de bout en bout
Data Breach Implication
Légales Impact sur la Réputation
Impact Financier
Gestion de Crise et
Management de Réputation
Communication Call Centre
ID Monitoring
Réclamations Amendes
Pertes d’Exploitation
1 2 3 4
Crise Sécurité
Informatique
Forensics Frais Légaux Notification
CNIL
Plan d’action sur mesure
Minimiser les Réclamation
Chiffrer l’impact
Pertes Directes o Notification o Centre d’appel o Identity Monitoring o Forensics o Reconstitution o Temps de travail
Pertes Indirectes
o Mesures correctives o Réclamations o Amendes o Perte de clients o Perte de financement
52 €
122 € la “donnée”
© Ponemon Institute 2012
70€
Périmètre assurable
• Responsabilité Civile
• Frais de Notification & Gestion de Crise
• Défense dans le cadre d’une Procédure Règlementaire et Amendes ?
• Responsabilité liée au contenu d’un site internet
• Pénalités PCI
• Menace d’extorsion
• Reconstitution des Médias
• Perte d’exploitation
45
Conclusion :
Le service avant tout
En conclusion …
46
46
Questions ?
Document confidentiel – Ne pas diffuser sans autorisation
L’assurance de RCP des prestataires informatiques
L’assurance du cloud : la pratique contractuelle de Syntec Numérique Assurances
Nicolas Hélénon
Directeur Associé de NeoTech Assurances
47
48 04/04/2014
Positionnement de nos assurés par rapport au Cloud
• Nos assurés prestataires informatiques sont :
– Éditeurs
– Hébergeurs
• Ils sont parfois eux-mêmes prestataires de clouds et engagent leur RCP à ce titre,
parfois ils fournissent leurs services aux clients via des sous-traitants prestataires
de cloud.
• Ils ont les mêmes besoins d’assurance dans les deux cas, mais ils sont plus en
risque lorsqu’ils sous-traitent les prestations de cloud car ils dépendant de tiers.
• Ils sont aussi utilisateurs de cloud mais ce n’est pas le sujet ici. Ce point mérité
d’être approfondi lors d’une autre intervention
49 04/04/2014
Définition du Cloud Computing
• National Institue of Standars and Technology
Le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-
service, à des ressources informatiques [au sens large : plateforme matérielle et logicielle y
compris les applications métiers] partagées configurables. Il s'agit donc d'une dématérialisation
de l'infrastructure informatique.
• Autre définition intéressante :
En France, la Commission générale de terminologie et de néologie précise qu'il s'agit d'une
forme particulière de gérance de l’informatique, dans laquelle l'emplacement et le
fonctionnement dans le nuage ne sont pas portés à la connaissance des clients (JORF n°0129
du 6 juin 2010 page 10453 texte n° 42).
50 04/04/2014
Définition du Cloud Computing
Le Cloud c’est :
• Externalisation (hébergement + infogérance)
• ASP/SaaS
→ Ces notions existent et sont déjà adressées par les assurances même s’il existe de
nombreuses exclusions qui ne datent pas du cloud.
51 04/04/2014
Evolution des risques
Editeur mode
licence Editeur mode SaaS
Cloud Les hébergeurs et éditeurs
n’ont pas les mêmes
besoins : contrefaçon ,
panne télécom, panne
mécanique ou électrique,
données personnelles,
confidentialité, engagement
de performance,
disponibilité, délai etc.
Les courtiers doivent
désormais aligner les
garanties éditeurs et
hébergeurs, à la marge
pour Syntec approche
transverse dès le départ
Problèmes
renvoyés au
CYBER ou
non traités
Problèmes non
traités sont amplifiés
Problème SLA
devient fondamental
Problème data
International
Emergence du SaaS Emergence du Cloud
Complexité
accrue Risques
systémiques
Externalisation :
Infogérance
Hébergement
52 04/04/2014
Alerte sur certaines exclusions
• Exclusions sur « les engagements de résultat, de performance etc. »
53 04/04/2014
Alerte sur certaines exclusions
- Exclusion « Propriété Intellectuelle et/ ou Industrielle. »
54 04/04/2014
Alerte sur certaines exclusions
- Exclusion « sur le site de l’hébergeur »
- Exclusion « sur le site d’exploitation »
55 04/04/2014
Alerte sur certaines exclusions
- Exclusion « Protection des données personnelles »
- Exclusion « Sauvegarde des données »
56 04/04/2014
Alerte sur certaines exclusions
- Exclusion « sur la disponibilité des données »
- Exclusion « sur la fraude informatique »
57 04/04/2014
L’approche de Syntec Numérique Assurances
- L’objet de SNA
Syntec Numérique Assurances a pour objet de regrouper des sociétés membres de
Syntec Numérique pour leur permettre de bénéficier d’un ou de plusieurs contrats
d’assurance :
– Adaptés aux spécificités de leur secteur d’activité
– Compétitifs en terme de prix
– Pérennes
- Approche de SNA
- Mise en place dés le début d’un contrat qui répond aux besoins de tous les métiers de l’informatique
- Un contrat en rédigé en « tous risques sauf » et absence des exclusions spécifiques à l’un ou
l’autres des métiers du numérique
- Volonté de mettre en place la garantie la plus large avec des moyens de défense appropriés
58 04/04/2014
Pourquoi le Cloud Computing est il un amplificateur de risque
- Par construction, on ne sait pas où sont situées les ressources (même si certains
contrats permettent de les cantonner dans un pays ou une zone), ce qui peut poser
de graves problèmes juridiques au titre des données personnelles (nécessité d’un
accord transfrontalier)
- Complexification des technologies
- Les problèmes systémiques non traités en SaaS continuent : un besoin de capacité
d’assurance
- Les SLA deviennent le centre de tout le système alors qu’ils sont mal adressés par
les assurances
59 04/04/2014
Le cas des SLA dans les assurances de RCP
- L’exclusion des pénalités contractuelles sauf à concurrence des préjudices
réellement subis par le tiers :
• sont exclues les pénalités coercitives
• seules les pénalités indemnitaires sont assurables
60 04/04/2014
Le cas des SLA dans les assurances de RCP
- Le cas des SLA
- Les SLA sont un moyen de servir l’amélioration continue du service et non un seul outil
de sanction
- Ils ne pas sont corrélés avec le préjudice. La SLA ci-dessus porte par exemple sur une
disponibilité contractuellement très élevée 24/24 mais susceptible de causer un préjudice
seulement à certaines périodes.
- Clients et prestataires du cloud trouvent leur intérêt à la définir ainsi, mais les SLA ne
peuvent être achetés par l’exclusion des pénalités
Préjudice 0 0 0 100 0 0 0 0 0
Pénalité SLA 20 20 20 20 20 20 20 20 20
61 04/04/2014
Les aspects internationaux du Cloud et la territorialité des contrats d’assurances
- Sur le marché, les contrat de RCP couvre monde entiers sauf pour l’export USA/
Canada (sur étude)
- Comment définir l’export USA/ Canada :
- Définition non retenue : un marché avec une clause attributive de juridiction américaine ou
canadienne et de droit applicable américain ou canadien
- Définition admise retient les critères de « destination » ou « lieu de réalisation de la prestation » :
inadaptée au Cloud
62 04/04/2014
CONTACT
CONTACT
Nicolas Helenon
Directeur Associé
LSN Assurances (NeoTech Assurances)
Tel. +33 6 06 64 77 74
Fax. +33 1 53 20 51 42
Benoit Lemaire
Directeur Associé
LSN Assurances (NeoTech Assurances)
Tel. +33 6 06 67 70 36
Fax. +33 1 53 20 51 42
63 04/04/2014
Clôture des débats par Hervé CAUSSE, Professeur de droit commercial, économique et financier