Pour faire face à de probables failles de cybersécurité, compte tenu du fait qu’il n’existe aucun moyen de stopper 100 % des cyber attaques, l’assurance cybercriminalité vient compléter efficacement un arsenal de solutions de cyber sécurité, et s’inscrire durablement dans une stratégie de cyber résilience de nos entreprises. Qu'est-ce que l’assurance cyber ? Comment trouver la police d'assurance la mieux adaptée aux besoins de votre entreprise ?
Toutes les entreprises sont sous la menace quasi constante de toute une série d'agressions en ligne, en provenance d’une cybercriminalité aux moyens informatiques toujours plus développés.
Des cybercriminels « voleurs » à la recherche de profit facile, en passant par les activistes politiques, sans oublier les hackers agissant pour le compte de gouvernement se livrant à des actes d'espionnage, les menaces potentielles pour la sécurité des données de votre entreprise ne manquent pas. Pas une entreprise n’échappe à cette cybercriminalité, même les PME qui concentrent à ce jour 70 % des attaques recensées.
L’assurance cyber s’impose peu à peu au sein des entreprises comme un complément à des actions de cyber sécurité. Comment choisir sa police d’assurance cyber ? Quelles sont les garanties d’assurance proposées ? Quel est votre profil de risque et quelles sont les questions à vous poser ?
Qu'est-ce que l’assurance cyber ?
Le DSI a en général une assez bonne définition des polices d'assurance cybercriminalité : "Une police d'assurance cyber, également appelée assurance cybercriminalité ou assurance cybersécurité est conçue pour aider une organisation à réduire son exposition aux risques cyber. Elle permet d’absorber les coûts liés au rétablissement du système d’information post cyber-attaque ou les conséquences d’une violation des données personnelles".
En résumé, il s'agit d'une police d'assurance qui se déclenche en cas d’incident de cybersécurité ou d’atteinte aux données personnelles et qui aide les entreprises à faire face aux conséquences financières des dits événements.
Toute entreprise collectant, stockant ou traitant de la donnée, que cette information concerne des informations de personne physique ou personne morale, toute entreprise pour laquelle l’arrêt du système d’information peut avoir des conséquences financières importantes sur son outil de production ou sur la mise à disposition d’un service, devrait envisager de souscrire un contrat d’assurance cyber.
Assurance cybercriminalité : comment se préparer ?
Une bonne première étape consiste à créer votre profil de risque cyber pour votre entreprise et à dresser une liste des dépenses que vous souhaitez faire couvrir en cas d'incident par votre contrat d’assurance cyber.
N’oubliez pas d’estimer les pertes pécuniaires que vous pourriez causer à des tiers du fait de l’atteinte à votre système d’information ou d’une violation des données personnelles même involontaire.
Vous pouvez apprécier votre profil de risque selon la probabilité de survenance des différents risques, la probabilité de survenance étant classifiée en 3 catégories : improbable, possible et probable.
Exemple de conséquences liés aux risques cyber
- Décès et blessures corporelles
- Cyber extorsion (cyber attaque par Ramsomware)
- Dommages physiques
- Dommages aux données/logiciels
- Vol de données / destruction de données
- Mise en cause de votre responsabilité en matière de sécurité des réseaux
- Interruption de l'activité
- Perte de réputation
- Pertes d’exploitation
- Perte de clients
- Atteinte aux données personnelles / atteinte à la vie privée (responsabilité et réaction aux incidents)
- Cyber Fraude
- Fraude par usurpation (Fraude au président)
Le niveau de risque pour chacun de ces éléments peut varier en fonction de la nature de votre organisation.
Il est peu probable qu'une atteinte aux données de votre entreprise puisse entraîner la mort ou des blessures corporelles si un tel incident arrivait à un Cabinet d’avocats, mais la perte de dossiers importants par un hôpital ou un autre prestataire de soins (laboratoire de biologie médicale) pourrait causer un préjudice réel voire une « perte de chance » à une personne déjà souffrante.
Pour établir votre niveau de risque spécifique, vous pouvez vous appuyer sur des experts en cybersécurité, des risks managers, mais également suivre les conseils qui suivent qui vous aideront à traduire votre profil de risque en un plan d'action pratique.
Conseils afin de déterminer votre profil
1- Identifiez les risques réels
2- Définissez vos profils en vous appuyant sur vos équipes opérationnelles qui auront une vision complémentaire des risques
3- Identifiez quelles sont vos informations les plus importantes à protéger, qui a vraiment besoin d'y avoir accès
4- Examinez le paysage des menaces au sens large pour comprendre où votre entreprise est la plus vulnérable
5- Protégez vos données et vos programmes les plus importants
6- Rendez tous vos collaborateurs responsables de la sécurité informatique au travers de la mise en place de campagne de sensibilisation aux risques cyber.
7- Veillez à ce que la cybersécurité reste une priorité et identifiez vos faiblesses en termes de gouvernance de votre sécurité informatique (outil de cyberdiagnostic).
8- Établissez des objectifs en termes de cybersécurité pour votre entreprise.
9- Prenez des mesures afin de garantir une application cohérente de la cybersécurité à tous les niveaux de votre organisation et non aux seuls départements jugés critiques.
10-Faites appel à un prestataire en cybersécurité si nécessaire. Il saura vous accompagner dans la mise en œuvre de solutions techniques.
Assurances cybercriminalité : que peuvent-elles couvrir ?
De nombreuses entreprises ne le savent pas, mais il existe de nombreux frais remboursables que les polices d'assurance cyber peuvent couvrir.
Un contrat de cyber assurance possède généralement deux volets de garantie :
- assurance en cas d’atteinte au système d’information (cyber attaque, cyber intrusion)
- assurance contre une atteinte aux données personnelles (diffusion de données personnelles même accidentelle), risque financier important notamment avec l’entrée en application du RGPD (assurance RGPD).
Principaux frais couverts
- Gestion de crise (frais d’experts en cybersécurité, cellule de crise, plateforme d’appel..)
- Enquêtes sur la cause de l'infraction (analyses forensic)
- Frais de restauration du système d’information
- Accompagnement juridiques (déclaration CNIL RGPD)
- Pertes d'exploitation résultant de l'atteinte au système informatique
- Frais de notification RGPD
- Frais juridiques (formalités de déclaration CNIL lié au RGPD, frais de défense en cas de recours de tiers)
- Protection de la vie privée et notification des violations (RGPD)
- Cyber extorsion
Principales exclusions des contrats
- Les dommages matériels (panne serveur) ou corporels ayant des conséquences (directes ou indirectes) sur le système d’information ne sont pas considérés comme des événements susceptibles de déclencher une garantie "cyber".
- Les comportements imprudents : Imaginons que vous ou quelqu'un de votre organisation divulgue délibérément de l'information ou enfreint délibérément la loi. Votre entreprise ne sera probablement pas couverte par la plupart des polices d'assurance cyber.
- Cyber fraude : Certaines cyberattaques impliquent des transferts non autorisés de fonds provenant de l'entreprise attaquée, occasionnant des pertes financières importantes. Certaines polices d’assurance cyber couvrent ce risque, la plupart ne le font pas. Prenez le temps de vérifier ce point.
- Effet du courant : Supposons que votre alimentation électrique tombe en panne, qu'un disque dur tombe en panne ou que votre système informatique subisse d'autres pannes électriques ou mécaniques. Ce type de garantie n’est pas couvert par une police d'assurance cyber.
- Propriété intellectuelle : Il s'agit d'un autre type de couverture qui est généralement exclu des contrats de cyberassurance. Vérifiez vos conditions pour voir si la perte de secrets commerciaux, de brevets ou d'autres droits de propriété intellectuelle est couverte.
Le volet assurance responsabilité civile cyber
L'assurance responsabilité civile cyber a vocation à couvrir la responsabilité de l’entreprise des pertes pécuniaires causées à des tiers résultant d’une atteinte aux données de l’entreprise ou d’une atteinte au système d’information.
Quand le contrat d’assurance RC professionnelle présente des exclusions ou des limitations importantes sur les risques cyber, l’assurance cyber vient couvrir les pertes pécuniaires causées à des tiers, consécutive à une atteinte au système d’information. Elle couvre ainsi les dépenses liées à la protection de l'identité de ses clients ainsi que les frais de notification imposés par la CNIL en cas de violation des données personnelles.
Ce type d'assurance peut également couvrir les conséquences aux tiers liés à la destruction ou à la perte de données confiées, la fraude informatique consécutive à une intrusion dans le système d’information, la cyber extorsion (assistance et paiement de la rançon).
Questions à vous poser lors de la mise en place d'une assurance cyber
Les garanties assurance
Quels sont les types d'événements et de dépenses couvertes par la compagnie d'assurance face aux risques cyber ? Quels sont les principales exclusions ? Quel est le périmètre informatique couvert et la définition proposée par la Compagnie ? Quelle est la politique de la compagnie à l’égard des objets connectés, des nouvelles pratiques liées au télétravail et du BYOD en particulier ? Quel est l’élément déclencheur de la garantie (date de découverte, fait générateur) ? L’ensemble de mon périmètre est-il assurable ? ….. Liste non exhaustive.
Le choix du courtier / conseil en assurance
Votre courtier en assurance ou agent général est-il familier avec ces questions ? A-t-il une bonne compréhension des risques cyber, de votre exposition ?
Est-il capable de répondre à vos questions sans avoir à faire appel à la compagnie d’assurance ? Est-il capable de vous accompagner dans la durée face aux risques cyber ?
Il est essentiel que l’intermédiaire en assurance comprenne parfaitement votre exposition aux risques cyber car c’est lui qui doit garantir que le contrat d’assurance proposé vous protège efficacement contre ces risques. N’oubliez pas également que votre exposition aux risques cyber va évoluer… Vous devez sur ce point avoir la certitude que le contrat d’assurance s’adaptera à cette évolution des risques.
Il est bon de vous poser ces questions afin de choisir le bon interlocuteur qui défendra vos intérêts et mettra en place un contrat d’assurance cybercriminalité adapté à votre exposition. Le recours à un courtier en assurance cyber peut s’avérer particulièrement utile.
Choisir une assurance cyber : les questions à se poser.
La compagnie d'assurance propose-t-elle un ou plusieurs types de polices de cyberassurance ? La couverture cyber proposée est-elle simplement une extension d'une police existante ? Dans la plupart des cas, une police autonome est souvent plus complète qu’une simple extension. Renseignez-vous également afin de savoir si la police est adaptable à votre organisation (télétravail, territorialité…).
Quel est le montant de garantie proposé ? Pourquoi ce montant ? Quelles sont les franchises proposées ? La police couvre-t-elle également les sous-traitants ? Vos préposés ? Sur ce point, renseignez-vous également afin de savoir si vos prestataires de services ont souscrit un contrat de cyberassurance et comment cette police est susceptible d’affecter votre contrat.
La police couvre-t-elle les erreurs humaines ou les actes de malveillance commis par un employé ? Quid des attaques par Ransomware ? La police couvre-t-elle la fraude ? Quel type de fraude ?
Dans l’éventualité où votre entreprise serait victime d’une menace persistante avérée (« APT »), sur une période suffisamment longue, la police d’assurance cyber prévoit-elle des délais dans lesquels la couverture s'appliquerait ?
L'idée est de comprendre exactement ce que l'assureur couvre et ne couvre pas, afin de choisir le contrat d’assurance cyber adapté à votre entreprise, de compléter les éventuels trous de garantie par des rachats d’exclusion ou par la mise en œuvre de solution techniques de cybersécurité.
CONCLUSION
Les cyberattaques constituent aujourd’hui une réelle menace pour la sécurité et la santé des entreprises. Les risques liés à la cyber sécurité augmentent de jour en jour, deviennent de plus en plus complexes, protéiformes.
Vous avez le sentiment d’être à l’abri, de ne pas être concerné, de ne pas être la cible ? Détrompez-vous ! Les attaques touchent toutes les cibles, toutes les entreprises de toutes tailles (près de 70% des cyber attaques en France concernent des PME…).
La réalisation d'une évaluation des risques et l'élaboration d'un plan d'intervention en cas d'attaque cyber vous permettront de réduire l’impact financier d’une cyber attaque. Il vous donnera également un aperçu utile des investissements en cyber sécurité que votre entreprise devrait réaliser.
Appuyez-vous sur un spécialiste comme CYBER COVER qui vous conseillera au mieux en fonction de votre entreprise et qui se chargera d’interroger les différentes compagnies d’assurance en votre nom.
