Cyber Diagnostic Devis Contact

Filtrer par

Assurance

Assurance cyber pour votre entreprise : comment choisir ?

Assurance cyber pour votre entreprise : comment choisir ?

Toutes les entreprises sont sous la menace quasi constante de toute une série d'agressions en ligne, en provenance d’une cybercriminalité aux moyens informatiques toujours plus développés.
Des cybercriminels « voleurs » à la recherche de profit facile, en passant par les activistes politiques, sans oublier les hackers agissant pour le compte de gouvernement se livrant à des actes d'espionnage, les menaces potentielles pour la sécurité des données de votre entreprise ne manquent pas. Pas une entreprise n’échappe à cette cybercriminalité, même les PME qui concentrent à ce jour 70 % des attaques recensées.
L’assurance cyber s’impose peu à peu au sein des entreprises comme un complément à des actions de cyber sécurité. Comment choisir sa police d’assurance cyber ? Quelles sont les garanties d’assurance proposées ? Quel est votre profil de risque et quelles sont les questions à vous poser ?


Qu'est-ce que l’assurance cyber ?

Le DSI a en général une assez bonne définition des polices d'assurance cybercriminalité : "Une police d'assurance cyber, également appelée assurance cybercriminalité ou assurance cybersécurité est conçue pour aider une organisation à réduire son exposition aux risques cyber. Elle permet d’absorber les coûts liés au rétablissement du système d’information post cyber-attaque ou les conséquences d’une violation des données personnelles".

En résumé, il s'agit d'une police d'assurance qui se déclenche en cas d’incident de cybersécurité ou d’atteinte aux données personnelles et qui aide les entreprises à faire face aux conséquences financières des dits événements.

Toute entreprise collectant, stockant ou traitant de la donnée,  que cette information concerne des informations de personne physique ou personne morale, toute entreprise pour laquelle l’arrêt du système d’information peut avoir des conséquences financières importantes sur son outil de production ou sur la mise à disposition d’un service, devrait envisager de souscrire un contrat d’assurance cyber.

Assurance cybercriminalité : comment se préparer ?

Une bonne première étape consiste à créer votre profil de risque cyber pour votre entreprise et à dresser une liste des dépenses que vous souhaitez faire couvrir en cas d'incident par votre contrat d’assurance cyber.
N’oubliez pas d’estimer les pertes pécuniaires que vous pourriez causer à des tiers du fait de l’atteinte à votre système d’information ou d’une violation des données personnelles même involontaire.
Vous pouvez apprécier votre profil de risque selon la probabilité de survenance des différents risques, la probabilité de survenance étant classifiée en 3 catégories : improbable, possible et probable.


Exemple de conséquences liés aux risques cyber 

- Décès et blessures corporelles
- Cyber extorsion (cyber attaque par Ramsomware)
- Dommages physiques
- Dommages aux données/logiciels
- Vol de données / destruction de données
- Mise en cause de votre responsabilité en matière de sécurité des réseaux
- Interruption de l'activité
- Perte de réputation
- Pertes d’exploitation
- Perte de clients
- Atteinte aux données personnelles / atteinte à la vie privée (responsabilité et réaction aux incidents)
- Cyber Fraude
- Fraude par usurpation (Fraude au président)

Le niveau de risque pour chacun de ces éléments peut varier en fonction de la nature de votre organisation.
Il est peu probable qu'une atteinte aux données de votre entreprise puisse entraîner la mort ou des blessures corporelles si un tel incident arrivait à un Cabinet d’avocats, mais la perte de dossiers importants par un hôpital ou un autre prestataire de soins (laboratoire de biologie médicale) pourrait causer un préjudice réel voire une « perte de chance » à une personne déjà souffrante.

Pour établir votre niveau de risque spécifique, vous pouvez vous appuyer sur des experts en cybersécurité, des risks managers, mais également suivre les conseils qui suivent qui vous aideront à traduire votre profil de risque en un plan d'action pratique.


Conseils afin de déterminer votre profil

1- Identifiez les risques réels
2- Définissez vos profils en vous appuyant sur vos équipes opérationnelles qui auront une vision complémentaire des risques
3- Identifiez quelles sont vos informations les plus importantes à protéger, qui a vraiment besoin d'y avoir accès
4- Examinez le paysage des menaces au sens large pour comprendre où votre entreprise est la plus vulnérable
5- Protégez vos données et vos programmes les plus importants
6- Rendez tous vos collaborateurs responsables de la sécurité informatique au travers de la mise en place de campagne de sensibilisation aux risques cyber.
7- Veillez à ce que la cybersécurité reste une priorité et identifiez vos faiblesses en termes de gouvernance de votre sécurité informatique (outil de cyberdiagnostic).
8- Établissez des objectifs en termes de cybersécurité pour votre entreprise.
9- Prenez des mesures afin de garantir une application cohérente de la cybersécurité à tous les niveaux de votre organisation et non aux seuls départements jugés critiques.
10-Faites appel à un prestataire en cybersécurité si nécessaire. Il saura vous accompagner dans la mise en œuvre de solutions techniques.

cyber_assurance

Assurances cybercriminalité : que peuvent-elles couvrir ?

De nombreuses entreprises ne le savent pas, mais il existe de nombreux frais remboursables que les polices d'assurance cyber peuvent couvrir.

Un contrat de cyber assurance possède généralement deux volets de garantie :

  • assurance en cas d’atteinte au système d’information (cyber attaque, cyber intrusion)
  • assurance contre une atteinte aux données personnelles (diffusion de données personnelles même accidentelle), risque financier important notamment avec l’entrée en application du RGPD (assurance RGPD).

Principaux frais couverts

- Gestion de crise (frais d’experts en cybersécurité, cellule de crise, plateforme d’appel..)
- Enquêtes sur la cause de l'infraction (analyses forensic)
- Frais de restauration du système d’information
- Accompagnement juridiques (déclaration CNIL RGPD)
- Pertes d'exploitation résultant de l'atteinte au système informatique
- Frais de notification RGPD
- Frais juridiques (formalités de déclaration CNIL lié au RGPD, frais de défense en cas de recours de tiers)
- Protection de la vie privée et notification des violations (RGPD)
- Cyber extorsion


Le volet assurance responsabilité civile cyber

L'assurance responsabilité civile cyber a vocation à couvrir la responsabilité de l’entreprise des pertes pécuniaires causées à des tiers résultant  d’une atteinte aux données de l’entreprise ou d’une atteinte au système d’information.
Quand le contrat d’assurance RC professionnelle présente des exclusions ou des limitations importantes sur les risques cyber, l’assurance cyber vient couvrir les pertes pécuniaires causées à des tiers, consécutive à une atteinte au système d’information. Elle couvre ainsi les dépenses liées à la protection de l'identité de ses clients ainsi que les frais de notification imposés par la CNIL en cas de violation des données personnelles.
Ce type d'assurance peut également couvrir les conséquences aux tiers liés à la destruction ou à la perte de données confiées, la fraude informatique consécutive à une intrusion dans le système d’information, la cyber extorsion (assistance et paiement de la rançon).


Questions à vous poser lors de la mise en place d'une assurance cyber

Les garanties assurance

Quels sont les types d'événements et de dépenses couvertes par la compagnie d'assurance face aux risques cyber ? Quels sont les principales exclusions ? Quel est le périmètre informatique couvert et la définition proposée par la Compagnie ? Quelle est la politique de la compagnie à l’égard des objets connectés, des nouvelles pratiques liées au télétravail et du BYOD en particulier ? Quel est l’élément déclencheur de la garantie (date de découverte, fait générateur) ? L’ensemble de mon périmètre est-il assurable ?  ….. Liste non exhaustive.


Le choix du courtier / conseil en assurance

Votre courtier en assurance ou agent général est-il familier avec ces questions ? A-t-il une bonne compréhension des risques cyber, de votre exposition ?
Est-il capable de répondre à vos questions sans avoir à faire appel à la compagnie d’assurance ? Est-il capable de vous accompagner dans la durée face aux risques cyber ?
Il est essentiel que l’intermédiaire en assurance comprenne parfaitement votre exposition aux risques cyber car c’est lui qui doit garantir que le contrat d’assurance proposé vous protège efficacement contre ces risques.  N’oubliez pas également que votre exposition aux risques cyber va évoluer… Vous devez sur ce point avoir la certitude que le contrat d’assurance s’adaptera à cette évolution des risques.
Il est bon de vous poser ces questions afin de choisir le bon interlocuteur qui défendra vos intérêts et mettra en place un contrat d’assurance cybercriminalité adapté à votre exposition. Le recours à un courtier en assurance cyber peut s’avérer particulièrement utile.

 

Choisir une assurance cyber : les questions à se poser.

La compagnie d'assurance propose-t-elle un ou plusieurs types de polices de cyberassurance ? La couverture cyber proposée est-elle simplement une extension d'une police existante ? Dans la plupart des cas, une police autonome est souvent plus complète qu’une simple extension. Renseignez-vous également afin de savoir si la police est adaptable à votre organisation (télétravail, territorialité…).
Quel est le montant de garantie proposé ? Pourquoi ce montant ? Quelles sont les franchises proposées ? La police couvre-t-elle également les sous-traitants ? Vos préposés ? Sur ce point, renseignez-vous également afin de savoir si vos prestataires de services ont souscrit un contrat de cyberassurance et comment cette police est susceptible d’affecter votre contrat.
La police couvre-t-elle les erreurs humaines ou les actes de malveillance commis par un employé ? Quid des attaques par Ransomware ? La police couvre-t-elle la fraude ? Quel type de fraude ?
Dans l’éventualité où votre entreprise serait victime d’une menace persistante avérée (« APT »), sur une période suffisamment longue, la police d’assurance cyber prévoit-elle des délais dans lesquels la couverture s'appliquerait ?
L'idée est de comprendre exactement ce que l'assureur couvre et ne couvre pas, afin de choisir le contrat d’assurance cyber adapté à votre entreprise, de compléter les éventuels trous de garantie par des rachats d’exclusion ou par la mise en œuvre de solution techniques de cybersécurité.

 

CONCLUSION

Avec le développement de la cybercriminalité, il est fortement recommandé de souscrire une assurance Cyber en vous appuyant de préférence sur un spécialiste de l’assurance cyber. Cette assurance jouera pleinement son rôle d’amortisseur en transférant une partie des conséquences financières de l’intrusion dans le système informatique sur la compagnie d’assurance.
Cependant, il ne suffit pas d'avoir la bonne police d'assurance contre les cyberattaques pour se remettre d'une violation de données personnelles. Vous devez vous préparer à l’idée que votre entreprise sera victime un jour d’une cyber attaque, impliquant que vous devrez également disposer d’outils et de solutions afin de minimiser l’impact et d’accélérer le processus de récupération. Cela inclut des éléments tels qu'une solide architecture informatique sécurisée, des sauvegardes à distance de vos données les plus critiques, et un logiciel de gestion des informations et des événements de sécurité (SIEM) afin d’analyser votre vulnérabilité et prévenir de futures attaques.

 Marc-Henri BOYDRON

cyber_assurance

 

Votre diagnostic cyber gratuit en 5 mn

Testez gratuitement le niveau de cybersécurité de votre entreprise

En savoir plus

Votre devis assurance en ligne gratuit

Obtenez un devis gratuit en 5 mn

En savoir plus