L'intérêt et les attitudes des entreprises de toute taille à l'égard de la cyber-assurance ont changé, de plus en plus de risk managers, de directeurs financiers, de chefs d’entreprises, reconnaissant que l’assurance cyber fait à présent partie d'une stratégie globale de sécurité. 5 choses à savoir à ce sujet.
Bien que le marché Français de l’assurance cyber soit encore en retard pour ne peser que 80 M€ de prime (source FFFA rapport 2018), les compagnies d’assurance notent une progression importante des adhésions en France, le marché ayant connu une forte accélération depuis l’entrée en vigueur du RGPD.
Le marché mondial devrait être multiplié par 10 d’ici à 2027 (Hiscox rapport Cyber sinistre), ce qui illustre parfaitement la part importante de croissance à venir et d’entreprises à convaincre.
Voici quelques points clés à connaître au sujet de la cyberassurance.
Si votre organisation n'a pas déjà un contrat de cyber assurance, elle en aura une.
Les organisations investissent de plus en plus dans la cyberassurance simplement parce qu'elles n'ont pas le choix. Les clients (ETI, grandes entreprises, administrations) insistent pour que leurs partenaires soient assurés aux fins de la conformité et des exigences réglementaires. De plus en plus, la cyberassurance fait partie des exigences contractuelles imposées.
En ce qui concerne les petites et moyennes entreprises, les ETI qui s'inscrivent dans une démarche visant à renforcer leur cybersécurité, la cyberassurance s’impose comme essentielle et logique sur le plan financier afin de couvrir le risque résiduel.
Le coût d’un contrat de cyberassurance reste actuellement extrêmement accessible au regard des garanties offertes (autour de 100 € / mois pour une PME réalisant un CA d’environ 10 M€). Il devient alors judicieux de prendre un contrat d'assurance cyber dédié pour la part de risque résiduel trop couteuse à sécuriser.
Si votre entreprise est victime d’une violation des données personnelles, quelle que soit sa taille, vous trouverez immédiatement le bénéfice d’avoir souscrit un contrat de cyber assurance par les services annexes proposés par les nouveaux contrats de cyber assurance, au-delà de la prise en charge des conséquences financières :
- gestion de la cyberattaque avec une équipe d’experts en cyber sécurité
- experts juridiques spécialisés dans la protection des données personnelles pour vous assister dans vos démarches liés à l’entrée en application du RGPD
- transfert du risque financier non couvert par les contrats d'assurance traditionnel
La couverture d'assurance cyber ne remplace pas un programme de cybersécurité
Vous ne conduiriez pas imprudemment une voiture simplement parce que vous avez souscrit une assurance automobile. De la même manière, le fait de souscrire un contrat de cyberassurance pour votre entreprise ne doit pas justifier une diminution de vos investissements informatiques liés à la cybersécurité de votre entreprise.
En parallèle à la souscription d’un contrat de cyberassurance, votre organisation doit continuer à investir du temps et de l'argent dans un solide programme de sécurité informatique.
Bien que la cyberassurance rembourse une part importante des conséquences financières d’une cyberattaque, l'assurance ne rétablira pas la confiance fragilisée de vos clients après une violation de votre système d’information.
Enfin c'est parce que votre entreprise s'inscrit dans une démarche de cyber-résilience que votre risque sera accepté par les compagnies d'assurance et correctement tarifé.
Associer les équipes en charge de sécurité informatique dans le processus de sélection d’un contrat de cyber assurance
Bien que les sujets d’assurance soient généralement traités au sein de la direction financière ou de la direction générale, le service en charge de la sécurité informatique devrait être impliqué dès le départ dans l’évaluation des polices cyber et des niveaux de couverture offerts par les compagnies d’assurance.
Il ne faut pas hésiter à communiquer les conditions particulières et les conditions générales des contrats d’assurance cyber proposés, afin de recueillir l’avis de vos équipes. Demandez-leur également de vous aider à compléter le questionnaire Cyber préalable à la tarification de votre contrat d’assurance. Si votre courtier d’assurance vous dit qu’il n’est pas nécessaire d’en parler à vos équipes informatiques et qu’il se charge de compléter le questionnaire, c’est mauvais signe…..
Vos équipes informatiques, votre RSSI comprendront certains termes techniques qui pourraient échapper à d’autres personnes moins au fait des questions relatives aux cyber-risques. Vos équipes responsables de la sécurité informatique de votre entreprise seront également plus qualifiées pour identifier les exclusions importantes qui pourraient être présentes dans votre contrat d’assurance ; Elles pourront également vous conseiller en conséquence et vous indiquer les modifications, ajouts spécifiques à votre organisation à apporter à votre contrat d’assurance cyber.
S'assurer que votre entreprise respecte les critères d’éligibilité afin que les garanties de votre contrat puissent s’exercer.
Vous avez une police d'assurance cyber et maintenant vous êtes couvert, n'est-ce pas ?
N’oubliez pas que vous êtes tenu de remplir et de mettre en place un certain nombre d'exigences afin que cette police d’assurance vous couvre en cas de violation de votre système d’information, ou autre incident de sécurité informatique. Ces critères sont rappelés dans votre contrat et relèvent d’une bonne hygiène informatique (sauvegarde hebdomadaire déconnectée du Système d’information, antimalware et logiciels mis à jour, procédure de restauration des données …).
Cela nous ramène à l'importance de l'implication de vos équipes en charge de la sécurité informatique dans le processus de sélection et de décision, et à une compréhension approfondie de la couverture et des détails de la police.
Qu'est-ce que votre organisation doit avoir mis en place qu'elle ne peut négliger ? Si votre contrat d’assurance exige certaines mesures préventives, assurez-vous qu’elles soient opérationnelles.
Se préparer à une cyberattaque.
La question n’est pas de savoir si votre entreprise va être victime de hackers ou de cybercriminels mais quand elle sera attaquée. Selon le dernier baromètre 2019 publié par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 80 % des entreprises interrogées ont été victimes d’une cyberattaque au cours des 12 derniers mois.
Il est essentiel de préparer votre entreprise à une cyberattaque, indépendamment de l’assistance qui vous sera apportée par les experts informatiques missionnés par la Compagnie d’assurance rattaché à votre contrat de cyberassurance.
Il est important de lister certaines étapes du plan d'intervention en cas d'incident et notamment la procédure de restauration des données, indispensable si votre entreprise est victime d’une attaque par ramsonware (ou rançongiciel). L’anticipation, la création de procédures à appliquer en cas d’attaque informatique constitue votre meilleure garantie de limiter les impacts d’une cyber crise, l’assurance prenant en charge les conséquences financières. Ce plan devra être mis à l’essai, afin de vérifier son efficacité. Êtes-vous sûr que le vôtre est à la hauteur en cas de violation de votre système d’information ?
En conclusion
Vous en savez à présent davantage sur la cyber assurance qui doit être perçu comme un pilier de la cybersécurité. N’hésitez pas à prendre contact avec nos conseillers pour un devis personnalisé ou si vous avez d’autres questions. Vous pouvez également vous rendre sur notre site internet www.cyber-cover.fr où vous pourrez prendre connaissance des spécificités apportées à nos contrats, des services complémentaires apportés en tant que spécialiste de la cyber assurance en France.
