Document confidentiel – Ne pas diffuser sans autorisation 1

Jeudi 3 avril 2014 – 9h – 17 h

CONSEIL NATIONAL DES BARREAUX

Auditorium 22, rue de Londres 75009 PARIS – FRANCE

Assurabilité des systèmes d’information

Problématiques juridiques et pratiques contractuelles à l’heure des cyber risques

2 04/04/2014

Pratiques contractuelles Président de séance : Alexandre MENAIS, Directeur Juridique ATOS 14h00 Assurer le financement d’un projet ERP : la pratique contractuelle de BNP PARIBAS Rental Solutions Philippe JOUGLARD Directeur des Services chez BNP Paribas Rental Solutions 14h30 Assurance et réassurance du monde digital : la pratique contractuelle de MUNICH Ré Patrick POUILLOT Corporate Insurance Partner chez Munich Ré 15h15 Pause – Break

Document confidentiel – Ne pas diffuser sans autorisation

NAME OF FIRM / SPECIALTIES

Assurer le financement d’un projet ERP

La pratique contractuelle de BNP Paribas Rental Solutions

Philippe Jouglard

3

4 04/04/2014

BNP Paribas Rental Solutions est l’entité spécialisée de BNP Paribas

commercialisant des solutions de location avec services et de gestion

de parc auprès des entreprises.

• Un des leaders européens de la location

d’équipements avec services,

• Un accompagnement de ses clients tout

au long du cycle de vie de l’actif, depuis le

choix de l’équipement jusqu’à sa

restitution,

• Spécialisé sur le marché des équipements

technologiques (informatique, téléphonie,

bureautique, logiciels, équipements

spécialisés).

A propos

5 04/04/2014

Plusieurs centaines de

constructeurs et d’éditeurs…

Infrastructure Infrastructure

Informatique

Télécoms

Distribués

Sécurité

Périphériques

Mobile

Bureautique

Impression

Audio-Visuel

Spécialisés

Industrie

Distribution

Audio-Visuel Pro

Médical

Logiciels

Gestion

Bureautique

Professionnels

Systèmes

Nous sommes experts des actifs technologiques

6 04/04/2014

OPTIMISATION

TCO

PROCUREMENT

MASTERISATION

CONFIGURATION

GESTION

DE PARC

ASSURANCE

HELP DESK

MAINTENANCE

FIN DE VIE

FACTURATION

CONTINUITE

L’accompagnement tout au long du cycle de vie de l’actif

Le métier

7 04/04/2014

SERVICES

LOCATIFS

SERVICES

DÉLÉGUÉS SERVICES

OPÉRATIONNELS

Masterisation

& Déploiement

Helpdesk

& Support

Maintenance

& Continuité

Procurement

Gestion de Parc

Assurance

Facturation

Corporate

Remarketing

Location Evolutive

Ingénierie Financière

Une gamme complète de services de Gestion de Parc

L’optimisation du parc des actifs technologiques

8 04/04/2014

Une décision stratégique

pour l’entreprise

ERP

Infocentre CRM

Gestion RH

BI

Nouveau

Complexe

Consommateur

de ressources

Structurant

Déployer un nouveau projet logiciel, c’est pour l’entreprise

9 04/04/2014

Analyse des dépassements budgétaires

Dépassement de budget de plus de

27%

Dépassement de budget de 16% à

27%

Dépassement de budget de 1% à

16%

Conforme ou inférieur aux

budgets

28,00%

40,00%

26,00%

6,40%

Constat marché

Des dépassements récurrents (budget, coûts, délais)

Disponibilité réelle

des équipes internes

Modification

du périmètre fonctionnel

initial lors du déploiement

10 04/04/2014

Les coûts sont supérieurs aux bénéfices

pendant la phase d’implémentation du

projet

Les coûts sont difficiles à maîtriser

Franchise jusqu’à 12 mois possible

pendant la phase initiale

Paiements et bénéfices sont alignés

Les coûts sont contrôlés

Le ROI est accéléré

Avec LeasePark ERP Sans solution de financement

Coûts

Bénéfices

Déploiement :

paiements

progressifs

ou franchise

Comment améliorer la rentabilité d’un projet ERP

Déploiement d’un nouveau projet ERP

11 04/04/2014

Les constituantes d’un projet LeasePark ERP

Offre LeasePark ERP

Exemplaires de logiciel(s)

Core System

Logiciel(s) « compagnon »

Prestations externes :

Etudes préliminaires

Installation et paramétrage

Développement

Accompagnement (AMOA)

Maintenance 1ère année

Formation

…

Et parfois du hardware

Serveurs

Stockage

…

12 04/04/2014

Mise en place périodique des opérations par lot, suivant leur recette

Consolidation en fin de projet des contrats mis en place pour garantir la

constitution de l’actif immatériel

Objectif : constituer in fine l’actif en gardant la maîtrise du projet

La méthodologie de mise en place des opérations immatérielles

Offre LeasePark ERP

13 04/04/2014

Pratique contractuelle

P.I.C. (Protection de l’Intérêt

de la Clientèle)

Certifications

Politique de

Crédit et de

Risques

Analyse des

risques

Méthodologies de

couverture

Accord cadre

encadrant le

projet

AMOA de

surveillance

La pratique contractuelle de BNP Paribas Rental Solutions

Encadrée par

14 04/04/2014

Pour sécuriser les

projets ERP

RISQUES

INTEGRATEURS

& TIERS

PRESTATAIRES

RISQUES

PROJET

RISQUES

EDITEUR(S)

RISQUES

BUDGETAIRES

RISQUE DE

CONTREPARTIE

Analyse des risques et mécanismes de couverture

15 04/04/2014

Analyse des risques et mécanismes de couverture

RISQUE DE

CONTREPARTIE

Le projet n’est il pas

trop ambitieux ?

Le plan financier prévisionnel

permet il de couvrir dans la

durée un tel investissement ?

16 04/04/2014

Analyse des risques et mécanismes de couverture

RISQUES

EDITEUR(S)

Le choix de l’Editeur

est il le bon ?

L’éditeur est il pérenne ?

Le montage est il conforme ?

17 04/04/2014

Analyse des risques et mécanismes de couverture

RISQUES

INTEGRATEURS

& TIERS

PRESTATAIRES

Le choix des prestataires

est il le bon ?

Sont ils pérennes ?

Les responsabilités sont elles

définies?

18 04/04/2014

Analyse des risques et mécanismes de couverture

RISQUES

PROJET

Le projet est il cadré

correctement ?

Le projet est il « complet » ?

Avons-nous les ressources

internes adéquates ?

19 04/04/2014

Analyse des risques et mécanismes de couverture

RISQUES

BUDGETAIRES

Les budgets sont ils

dimensionnés correctement ?

La couverture des aléas est elle

prise en compte?

La gouvernance intègre t’elle

les aspects financiers ?

20 04/04/2014

Contractualisation

Encadre le déploiement du projet ERP

Permet la mise en place périodique

des opérations locatives

Il intègre :

- Le cadrage du projet ERP

- Le lotissement et la planification

- L’identification des acteurs

- Les périmètres de responsabilité

- La gouvernance projet

- L’accord d’intervention de l’éditeur

- Tarification et indexation

- …

Accord Cadre Avenant(s)

Met à jour l’Accord Cadre

Afin de :

- Couvrir toutes les évolutions du projet

- Permettre le maintien de la couverture des

risques pendant la durée du déploiement du

projet

- …

La documentation juridique de référence

Les opérations locatives

Un lot recetté du projet => un contrat de location

21 04/04/2014

Déploiement et surveillance

Accord Cadre signé • Le Projet est

cadré

• La Couverture des risques est en place

Est-ce suffisant ?

AMOA de surveillance • Contrôles au fil

de l’eau

• Mise à niveau de la couverture des risques

22 04/04/2014

Et pourtant …

Aujourd’hui Et pourtant …

ASSURABILITE !

Document confidentiel – Ne pas diffuser sans autorisation

Corporate Insurance Partners

Assurabilité des systèmes d’information

Assurer le monde digital Patrick Pouillot

23

3 avril 2014 CONSEIL NATIONAL

DES BARREAUX

24 04/04/2014

Wikipédia Préfixe à la mode à partir de la deuxième moitié du XXe siècle ; il est tiré

du mot grec Kubernêtikê signifiant « gouvernail ».

De quoi parlons-nous ?

Locutions • Cyber espace ,Cyber-criminel

• Air Force Cyber Command • Control Data Cyber 72 • Cyber (comics) • Cyber Age • Cyber City Oedo

808 • Cyber Cop • Cyber Estate Tower • Cyber Idol Mink • Cyber Noël • Cyber Palestine • Cyber

Press Publishing • Cyber Weapon Z • Cyber fest noz • Cyber-base • Future GPX Cyber Formula •

Geno cyber • Sony Cyber-shot • WWE Cyber Sunday • World Cyber Games…

Larrousse Locution servant à former de très nombreux mots relatifs à l’utilisation du réseau

Internet

Parlons plutôt de

25 04/04/2014

OFFRE D’ORIGINE CALIFORNIENNE

TOURNEE VERS L’INDEMNISATION DES DOMMAGES CAUSES AUX TIERS

APRES DIVULGATION DE DONNEES OU CONTAMINATION VIRALE

DANS UN ENVIRONNEMENT CULTUREL

QUI FAIT PEU DE PLACE AU DOMMAGE (PAS D’INTERET POUR LA PE, PEU DE CAPACITES VIRUS)

AUTOUR D’UNE REGLEMENTATION

ET D’UNE CONCURRENCE ETABLIES

ELOBOREE AUTOUR DE FONDEMENTS

JURIDIQUES « COMMON LAW »

AVEC DES POLICES DEVELOPPEES PAR

DES COMPAGNIES ANGLO-SAXONNES

ET DIFFUSEES PAR LEURS FILIALES OU

SUCCURSALES EUROPEENNES

AYANT ADOPTE UN FORMAT “PACKAGE” PEU MODULABLES

COMBINANT DOMMAGES ET RESPONSABILITE CIVILE

POUR DES CAPACITES FAIBLES ET PLUTOT DESTINEES AUX ETI, AVEC DES SOUS-LIMITES

IMPOSEES SUR LES RISQUES A CARACTERE PENDEMIQUE OU SERIEL

IMPOSANT UNE COASSURANCE POUR TOUT PROJET “GRAND COMPTE”.

2008

Depuis 2011

2003

2007

26 04/04/2014

DESTRUCTION

CONTAMINATION

EXTORSION

DIVULGATION

INVESTIGATION

INTERVENTION

OPTIMISATION

FA

CT

EU

RS

EN

DO

GE

NE

S

27 04/04/2014

TECHNOLOGIES

EXTERNALISATION

DEPENDANCE

ETHIQUE

REGULATION

SANCTION

SAVOIR-FAIRE

FA

CT

EU

RS

EX

OG

EN

ES

28 04/04/2014

FA

CT

EU

RS

EN

DO

GE

NE

S

FA

CT

EU

RS

EX

OG

EN

ES

TECHNOLOGIES

EXTERNALISATION

DEPENDANCE

ETHIQUE

REGULATION

SANCTION

SAVOIR-FAIRE

DESTRUCTION

CONTAMINATION

EXTORSION

DIVULGATION

INVESTIGATION

INTERVENTION

OPTIMISATION

29 04/04/2014

Atteinte aux programmes

et aux données

Pertes d’exploitation

Atteinte aux données

personnelles (Dommages)

Atteinte aux données personnelles

(Responsabilité civile)

Chantage & extorsion

Carence directe : infogérance,

informatique dans les nuages &

partenaires

Atteinte à la réputation

PCI-DSS - Payment Card Industry

Data Security Standard

Protection des archives digitales

Carence indirecte d’origine digitale

Dommages matériels liés à un risque

digital & Pertes d’exploitation

Frais de prévention / protection liés à la

sécurité du système d’information

(avant sinistre)

Responsabilités civiles,

Propriété intellectuelle…

*Contraction de dématérialisation et d’informatique, la dématique correspond à l’action de

dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la

dématérialisation des échanges et des processus métier en y incluant la composante légale.

30 04/04/2014

Sites industriels centrales hydro-électriques

Centrales nucléaires iraniennes

FA

CT

EU

RS

EN

DO

GE

NE

S

FA

CT

EU

RS

EX

OG

EN

ES

Reprogrammation des automates de Siemens

Plusieurs vulnérabilités « 0-day » conjointes

Programmation en langage mixte C / C++

Découvert en Biélorussie en juin 2010

45 000 systèmes infectés dans le monde

(dont plus de 30 000 en Iran)

Certains programmes touchés étaient utilisés

pour des centrales hydro-électriques ou

nucléaires, et d’autres pour la distribution

d’eau potable et les oléoducs

31 04/04/2014

SE

CU

RIT

E

DSI et RSSI en

fonctions

Autorité de

tutelle

BCP

formalisé et

testé

Politique de

sécurité

formalisée

SI certifié

ISO 27000 Audits internes

et externes

Les patches

arrivent…

quand ?

Structure

mutante

avec botnet

Nouvelle

souche

virale

Répliques

pendant 6

semaines

Choix d’une

solution

manuelle

Editeurs

anti-virus

à l’épreuve

PE

RF

OR

MA

NC

E

32 04/04/2014

PIL

OT

ER

D

EL

EG

UE

R

Début 2012

Dans le cadre des lois SOPA et PIPA en vigueur aux Etats-Unis, le

gouvernement, par l’intermédiaire du FBI, ordonne la fermeture des

serveurs américains de partage de fichiers de MegaUpload, basée à

Hong Kong. un quart d'heure après l'annonce officielle émanant du

gouvernement américain, le mouvement Anonymous lance l'opération

de protestation #OpMegaupload.

L'attaque par déni de service bloque l'accès aux sites internet de la

justice américaine, d'Universal Music, de la Recording Industry

Association of America, de la Motion Picture Association of America, de

l'U.S. Copyright Office, de l'Hadopi, de l’Elysée, de la SACEM, de la

Warner Music Group, du FBI et de Sony (encore…)

Tous les utilisateurs ayant développés des bibliothèques de fichiers

partagés ont perdu leurs droits d’accès et d’échanges. C’est notamment

le cas des entreprises qui mutualisaient en toute légalité leurs savoirs-

faires en les mettant à la disposition de leur communauté

professionnelle (brochures, catalogues,…) .

Le site MegaUpload représentait 4% du trafic mondial sur Internet et

150 millions d’utilisateurs inscrits.

33 04/04/2014

S’intéresser à la

gouvernance des risques

et à la continuité

d’activités

S’entourer de partenaires

spécialisés (souscription ET

sinistres)

Adresser les scénarios à

forte gravité

Passer de la

« confection » au

« sur-mesure »

Mobiliser des capacités

adaptées aux enjeux

Etre un partenaire et

s’engager sur le long

terme

AS

SU

RE

UR

S

EN

TR

EP

RIS

ES

Admettre l’exposition

permanente aux risques

digitaux, quelles que soient

les mesures de sécurité en

place

Préparer les actions

prioritaires en cas d’attaques

logiques ET AUTRES

Identifier les scénarios

d’expositions majeures

Adresser spécifiquement le

risque Privacy (procédures de notification)

Identifier les garanties

« immatérielles » dans les

contrats en vigueur (déjà assuré … ou pas)

34 04/04/2014

Après investigations menées chez un des hébergeurs de

l’entreprise par des consultants externes spécialisés, la

présence du malicicel est confirmée.

Conçu spécifiquement pour attaquer l’entreprise et exploitant

une faille de sécurité développée par ingénièrie sociale, ce

maliciel unique était par nature impossible à identifier.

Analysées, les fonctions de ce maliciel revendiqué par une

organisation hacktiviste, auraient permis la fuite automatisée

d’une importante quantité d’informations, pendant plusieurs

mois.

La rumeur circule rapidement sur Internet; quelques salariés

sont interrogés par des journalistes et donnent plusieurs

versions des faits; les médias se font immédiatement l’écho “à

leur manière” de la situation.

Des réclamations de clients inquiets commencent à voir le jour;

la CNIL diligente une enquête, et impose à l’entreprise de

notifier l’incident à toutes les personnes concernées.

Constatant des mesures de sécurité innaproriées durant l’audit,

notamment autour de la sécurité déployée pour protéger des

données financières, la CNIL inflige de lourdes amendes.

L’impact médiatique s’avère important et l’entreprise est

confrontée à une baisse de son activité commerciale, mais

aussi du nombre de ses clients. Certains partenaires et

prestataires se manifestent.

L’entreprise est sanctionnée par les marchés financiers.

UN HACKER DEMANDE UNE RANÇON SUITE À L’INSTALLATION PRÉSUMÉE D’UN PROGRAMME MALVEILLANT

DANS LE SYSTÈME D’INFORMATION D’UN GRAND DISTRIBUTEUR, EN PARTIE EXTERNALISÉ.

35 04/04/2014

Patrick Pouillot Senior Underwriter

Special Enterprise Risks 65/67 rue de la Victoire

75009 Paris

Telephone: +33 (1) 4312-4166

Mobile : +33 (6) 8115-0596

C’est fini

Merci de votre

attention

36 04/04/2014

15h30 Assurance et services en matière de violation de sécurité des données à caractère personnel : la pratique contractuelle des Lloyd’s de Londres Jimaan SANE Underwriter Beazley Breach Response (BBR) 16h00 Assurance de la Responsabilité Civile Professionnelle des Prestataires Informatiques – l’assurance du Cloud : la pratique contractuelle du Syntec Numérique Assurance Nicolas HELENON Directeur Associé chez Néotech Assurances 16h30 Débat et questions avec la salle Clôture des débats par Hervé CAUSSE, Professeur de droit commercial, économique et financier

37

Assurance et services en matière de violations de sécurité des données à caractère personnel Pratique contractuelle de Beazley Beazley Group Jimaan Sané

38

En chiffres …

D’où viennent les risques ?

39

Besoin d’une garantie spécifique ?

• Polices traditionnelles

o Polices Responsabilité Civile Générale

Exclusion du virus informatique

Exclusion de la perte de données

Exclusion de la divulgation d’informations

confidentielles

o Polices Responsabilité Civile Professionnelle

Base réclamation

o Police Dommages

Dommage matériel direct

• Evolutions réglementaires

o Directive Européenne

o Action collective

o OIV

Tous risques

individuels

RC

Après

livraison

RC

générale

Assurance

Cyber

RC

professionnelle

Fraude Kidnapping

&

Rançon

Dommage

Rapports sociaux

Indemnisation :

• Aide financière

• Faible maitrise des coûts

Service :

• Séparation des rôles

• Accompagnement

• Franchises et limites ?

• Prestataires

o Forensics

o Avocats spécialisés

o Notification

o Centre d’appel

o Veille internet

o Relations Publiques

Service vs Indemnisation

41

42

• d

En pratique : une solution de bout en bout

Data Breach Implication

Légales Impact sur la Réputation

Impact Financier

Gestion de Crise et

Management de Réputation

Communication Call Centre

ID Monitoring

Réclamations Amendes

Pertes d’Exploitation

1 2 3 4

Crise Sécurité

Informatique

Forensics Frais Légaux Notification

CNIL

Plan d’action sur mesure

Minimiser les Réclamation

Chiffrer l’impact

Pertes Directes o Notification o Centre d’appel o Identity Monitoring o Forensics o Reconstitution o Temps de travail

Pertes Indirectes

o Mesures correctives o Réclamations o Amendes o Perte de clients o Perte de financement

52 €

122 € la “donnée”

© Ponemon Institute 2012

70€

Périmètre assurable

• Responsabilité Civile

• Frais de Notification & Gestion de Crise

• Défense dans le cadre d’une Procédure Règlementaire et Amendes ?

• Responsabilité liée au contenu d’un site internet

• Pénalités PCI

• Menace d’extorsion

• Reconstitution des Médias

• Perte d’exploitation

45

Conclusion :

Le service avant tout

En conclusion …

46

46

Questions ?

Document confidentiel – Ne pas diffuser sans autorisation

L’assurance de RCP des prestataires informatiques

L’assurance du cloud : la pratique contractuelle de Syntec Numérique Assurances

Nicolas Hélénon

Directeur Associé de NeoTech Assurances

47

48 04/04/2014

Positionnement de nos assurés par rapport au Cloud

• Nos assurés prestataires informatiques sont :

– Éditeurs

– Hébergeurs

• Ils sont parfois eux-mêmes prestataires de clouds et engagent leur RCP à ce titre,

parfois ils fournissent leurs services aux clients via des sous-traitants prestataires

de cloud.

• Ils ont les mêmes besoins d’assurance dans les deux cas, mais ils sont plus en

risque lorsqu’ils sous-traitent les prestations de cloud car ils dépendant de tiers.

• Ils sont aussi utilisateurs de cloud mais ce n’est pas le sujet ici. Ce point mérité

d’être approfondi lors d’une autre intervention

49 04/04/2014

Définition du Cloud Computing

• National Institue of Standars and Technology

Le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-

service, à des ressources informatiques [au sens large : plateforme matérielle et logicielle y

compris les applications métiers] partagées configurables. Il s'agit donc d'une dématérialisation

de l'infrastructure informatique.

• Autre définition intéressante :

En France, la Commission générale de terminologie et de néologie précise qu'il s'agit d'une

forme particulière de gérance de l’informatique, dans laquelle l'emplacement et le

fonctionnement dans le nuage ne sont pas portés à la connaissance des clients (JORF n°0129

du 6 juin 2010 page 10453 texte n° 42).

50 04/04/2014

Définition du Cloud Computing

Le Cloud c’est :

• Externalisation (hébergement + infogérance)

• ASP/SaaS

→ Ces notions existent et sont déjà adressées par les assurances même s’il existe de

nombreuses exclusions qui ne datent pas du cloud.

51 04/04/2014

Evolution des risques

Editeur mode

licence Editeur mode SaaS

Cloud Les hébergeurs et éditeurs

n’ont pas les mêmes

besoins : contrefaçon ,

panne télécom, panne

mécanique ou électrique,

données personnelles,

confidentialité, engagement

de performance,

disponibilité, délai etc.

Les courtiers doivent

désormais aligner les

garanties éditeurs et

hébergeurs, à la marge

pour Syntec approche

transverse dès le départ

Problèmes

renvoyés au

CYBER ou

non traités

Problèmes non

traités sont amplifiés

Problème SLA

devient fondamental

Problème data

International

Emergence du SaaS Emergence du Cloud

Complexité

accrue Risques

systémiques

Externalisation :

Infogérance

Hébergement

52 04/04/2014

Alerte sur certaines exclusions

• Exclusions sur « les engagements de résultat, de performance etc. »

53 04/04/2014

Alerte sur certaines exclusions

- Exclusion « Propriété Intellectuelle et/ ou Industrielle. »

54 04/04/2014

Alerte sur certaines exclusions

- Exclusion « sur le site de l’hébergeur »

- Exclusion « sur le site d’exploitation »

55 04/04/2014

Alerte sur certaines exclusions

- Exclusion « Protection des données personnelles »

- Exclusion « Sauvegarde des données »

56 04/04/2014

Alerte sur certaines exclusions

- Exclusion « sur la disponibilité des données »

- Exclusion « sur la fraude informatique »

57 04/04/2014

L’approche de Syntec Numérique Assurances

- L’objet de SNA

Syntec Numérique Assurances a pour objet de regrouper des sociétés membres de

Syntec Numérique pour leur permettre de bénéficier d’un ou de plusieurs contrats

d’assurance :

– Adaptés aux spécificités de leur secteur d’activité

– Compétitifs en terme de prix

– Pérennes

- Approche de SNA

- Mise en place dés le début d’un contrat qui répond aux besoins de tous les métiers de l’informatique

- Un contrat en rédigé en « tous risques sauf » et absence des exclusions spécifiques à l’un ou

l’autres des métiers du numérique

- Volonté de mettre en place la garantie la plus large avec des moyens de défense appropriés

58 04/04/2014

Pourquoi le Cloud Computing est il un amplificateur de risque

- Par construction, on ne sait pas où sont situées les ressources (même si certains

contrats permettent de les cantonner dans un pays ou une zone), ce qui peut poser

de graves problèmes juridiques au titre des données personnelles (nécessité d’un

accord transfrontalier)

- Complexification des technologies

- Les problèmes systémiques non traités en SaaS continuent : un besoin de capacité

d’assurance

- Les SLA deviennent le centre de tout le système alors qu’ils sont mal adressés par

les assurances

59 04/04/2014

Le cas des SLA dans les assurances de RCP

- L’exclusion des pénalités contractuelles sauf à concurrence des préjudices

réellement subis par le tiers :

• sont exclues les pénalités coercitives

• seules les pénalités indemnitaires sont assurables

60 04/04/2014

Le cas des SLA dans les assurances de RCP

- Le cas des SLA

- Les SLA sont un moyen de servir l’amélioration continue du service et non un seul outil

de sanction

- Ils ne pas sont corrélés avec le préjudice. La SLA ci-dessus porte par exemple sur une

disponibilité contractuellement très élevée 24/24 mais susceptible de causer un préjudice

seulement à certaines périodes.

- Clients et prestataires du cloud trouvent leur intérêt à la définir ainsi, mais les SLA ne

peuvent être achetés par l’exclusion des pénalités

Préjudice 0 0 0 100 0 0 0 0 0

Pénalité SLA 20 20 20 20 20 20 20 20 20

61 04/04/2014

Les aspects internationaux du Cloud et la territorialité des contrats d’assurances

- Sur le marché, les contrat de RCP couvre monde entiers sauf pour l’export USA/

Canada (sur étude)

- Comment définir l’export USA/ Canada :

- Définition non retenue : un marché avec une clause attributive de juridiction américaine ou

canadienne et de droit applicable américain ou canadien

- Définition admise retient les critères de « destination » ou « lieu de réalisation de la prestation » :

inadaptée au Cloud

62 04/04/2014

CONTACT

CONTACT

Nicolas Helenon

Directeur Associé

LSN Assurances (NeoTech Assurances)

Tel. +33 6 06 64 77 74

Fax. +33 1 53 20 51 42

nhelenon@lsngroupe.com

Benoit Lemaire

Directeur Associé

LSN Assurances (NeoTech Assurances)

Tel. +33 6 06 67 70 36

Fax. +33 1 53 20 51 42

blemaire@lsngroupe.com

63 04/04/2014

Clôture des débats par Hervé CAUSSE, Professeur de droit commercial, économique et financier