Les États-Unis représentent le plus grand marché de la cyber assurance et pèsent 90 % du marché mondial de la cyber assurance. Ceci s’explique par l’entrée en vigueur en 2003 de la loi californienne sur la protection des données, qui imposait aux organisations, la divulgation de toute violation de la sécurité des données à chaque client californien concerné dont les informations personnelles avaient été compromises. L'environnement juridique américain en matière de protection des informations personnelles a été le principal moteur du marché de la cyber assurance aux États-Unis. Avec le RGPD et le développement des cyber attaques, le marché de la cyber assurance progresse fortement.
Avec l’entrée en vigueur du Règlement Général sur la Protection des Données mis en place au sein de l’Union Européenne (RGPD), en 2018, l'Europe disposera également d'une législation uniforme en matière de données personnelles et de réponse aux violations comparable à ce qui a été mis en place en Californie.
Le risque cyber ou risque numérique est devenu le premier risque pour les entreprises, risque pour lequel elles ne sont pas protégées avec leurs contrats d’assurance traditionnels.
Pour ces raisons, les compagnies d’assurance proposent un contrat d’assurance contre la cybercriminalité qui permet de transférer une partie de ces nouveaux risques.
Cybercriminalité : attention au risque d'interruption d'activité !
Le risque d'interruption de l'activité consécutif à une cyber attaque et ses conséquences en termes de pertes d’exploitation est une explication qui contribue à la croissance du marché de la cyber assurance.
Alors qu'il était possible de revenir au travail en mode manuel lorsque l'automatisation des entreprises connaissait des failles, cette option n'est plus possible à présent dans un monde complètement informatisé. Aujourd'hui, l'automatisation des processus est facilité par la mise en place de robots et de technologies qui ne peuvent plus être remplacés en cas de cyber attaque, par l'embauche de travailleurs, ceux-ci ne disposant pas des connaissances, des compétences, des outils et de l'espace nécessaires pour effectuer le même travail.
La protection des technologies de l'information (TI) et des systèmes de contrôle industriel (SCADA) doit donc être une priorité absolue, car un dysfonctionnement de ces systèmes peut entraîner de graves interruptions d'activité, comme nous l'avons vu lors des récentes cyber-attaques (par exemple WannaCry et NotPetya).
Au cours de ces dernières années, il est devenu évident que le "cyber" fait partie de notre vie quotidienne, avec de plus en plus de choses connectées à l'internet et de plus en plus de processus commerciaux dépendant de l'accès à l'internet. Cette connectivité et cette accessibilité exposent également les entreprises à des manipulations malveillantes de leurs systèmes par l’intermédiaire de malware ou autres virus informatiques, voire d’exploitation de failles informatiques.
Le risque cyber ne cesse de croître et d'évoluer forçant les entreprises à évaluer la sécurité informatique de leurs systèmes informatiques et de leurs opérations. Les résultats sont visibles dans l'amélioration de la sécurité et dans une meilleure préparation aux cyber attaques menées par des cyber criminels de mieux en mieux organisés, même si les PME présentent encore un important retard.
Face à ces risques, le secteur de l'assurance a réagi en développant des produits de cyber assurance dont le but est de transférer une partie du risque financier cyber vers une compagnie d’assurance.
Les compagnies d’assurance doivent faire face à des sinistres de plus en plus couteux qui justifient la mise en place de limites de garantie moins élevées (la capacité du marché étant limitée), et la nécessité de s’appuyer sur des experts maitrisant parfaitement les subtilités des contrats d’ assurance cybercriminalité.
Courtier spécialisé en cyber assurance
Quels sont les événements garantis ?
Les contrats d’assurance cyber risques protègent l’entreprise contre les « cyber incidents ».Par cyber incident on entend un acte malveillant (par exemple, une attaque de pirates informatiques), un logiciel malveillant (par exemple, un virus informatique), une erreur humaine (par exemple, l'employé de l'assuré causant une défaillance des systèmes informatiques), une attaque par déni de service (panne imprévue du système) ou un vol de données.
En tant que spécialiste de la cyber assurance, il est d'un intérêt primordial d'avoir une vision réaliste de la probabilité et de l'exposition des actifs de nos clients qui sont à risque. Notre souhait est d’accompagner nos clients dans une meilleure gestion des risques numériques et de leur proposer une solution assurance cyber sur mesure compétitive.
Nous proposons des solutions assurance packagées dédiées aux petites et moyennes entreprises afin de protéger nos clients des conséquences financières des cyber attaques.
Pour les ETI et les grandes entreprises qui présentent des besoins spécifiques, nous proposons une solution complète d’assurance cyber garantissant :
- la gestion de crise
- la prise en charge des coûts de restauration des données
- la réponse aux incidents et aux violations
- les pertes d’exploitation
- la cyber extorsion
- la perte d’image / réputation
- la responsabilité civile cyber (demandes d'indemnisation présentées à l'assuré par des tiers) consécutive à une atteinte au système d’information ou à une violation des données personnelles
Les composantes de la responsabilité civile cyber sont les suivantes :
- la responsabilité en matière de confidentialité et de respect de la vie privée
- la responsabilité en matière de sécurité des réseaux et
- la responsabilité des médias.
Cyber assurance : quelle évaluation des risques cyber ?
La cyberassurance ne pourrait être vendue sans une évaluation approfondie du risque du client.
Lors de la souscription d'un contrat d’assurance cyber, l'évaluation du risque de l’entreprise peut être divisée en trois niveaux différents ;
-
Le niveau général d'exposition du secteur d'activité du souscripteur.
Quel est l'environnement juridique applicable, quel type et quelle quantité de données personnelles est généralement traitée au sein de l’organisation et quel est le degré d'exposition de ces données ? -
Le niveau d'exposition de l'entreprise du preneur d'assurance elle-même.
Quel est le degré de complexité du groupe ? Nombre de filiales, de centres de données, de fournisseurs importants, de dépendances internes, etc. -
Le niveau de sécurité informatique de l'entreprise.
Comment l'entreprise travaille-t-elle pour identifier, protéger, détecter, répondre et récupérer les risques et les données informatiques ? Comment sont sauvegardées les données ? Quelle est la politique de gouvernance de la sécurité informatique ?
CYBER COVER recueille les informations nécessaires par le biais d'un questionnaire qui nous permet de mieux appréhender l’entreprise. Ce questionnaire diffère selon la nature et la taille de l’organisation. Il se peut également qu'une réunion ou un entretien soit nécessaire, souvent avec le service de sécurité informatique du client, afin d’approfondir ces sujets.
A partir de ces réponses, nous pourrons définir un contrat d’assurance sur mesure offrant le bon niveau de protection.
Différents éléments de couverture sont utilisés, avec éventuellement des sous-limites supplémentaires et différents niveaux de franchise/périodes d'attente pour la couverture des pertes d'exploitation, afin de répondre aux besoins et aux demandes du client.
Il est possible / fréquent d’assortir une proposition d’assurance d’un plan de prévention.
Plus important encore, selon le profil de l’entreprise, il est essentiel de vérifier que le périmètre assuré corresponde avec la réalité de l’entreprise. Une organisation de type industriel, veillera à ce que le contrat de cyber assurance proposé couvre les principaux cyber-risques et en particulier les attaques survenant au niveau des systèmes de contrôle industriel (ce type de couverture n’est malheureusement pas présent sur l’ensemble des contrats d’assurance du marché).
Ceci n’est qu’un exemple parmi de nombreux autres exemples rencontrés qui montrent l’importance de s’appuyer sur un courtier en assurance spécialisé sur les risques cybercriminalité. Dans de nombreux cas, la souscription d’un contrat d’assurance cyber s’accompagnera de la mise en place d’un plan de prévention afin de réduire l’exposition d’un client.
