Cyber Diagnostic Devis Contact

Filtrer par

Assurance

Cyber assurance, une nécessité pour les expert-comptables et les avocats ?

Cyber assurance, une nécessité pour les expert-comptables et les avocats ?

Souscrire un contrat d’assurance cyber dédié, est-ce une nécessité pour un cabinet d’expert comptable ? Est-ce un investissement qui en vaut la peine ? Pourquoi si peu d’experts comptables, d’avocats en France, population pourtant ciblée et fortement exposée aux cyber risques, se posent ils la question de l’utilité d’un contrat d’assurance cyber dédié ? Par méconnaissance des risques ? Parce qu’ils pensent être assurés ? Est- ce normal ? CYBER COVER vous livre son analyse.


Qu'est-ce que la cyber assurance ?

 Une première explication réside dans le fait que les entreprises considèrent à tort ne pas être ciblées par les cyber risques, et qu’elles pensent posséder déjà une garantie cyber dans leur contrat d’assurance traditionnel. Qu’en est-il exactement ?

 
Une assurance en complément de vos autres contrats d’assurance

L'assurance cyber-risques, comme son nom l'indique, protège votre entreprise ou votre organisation des dommages subis et causés lors d'un incident de sécurité dans votre système d’information, d’une violation des données personnelles, d’une cyberattaque. L'idée est que, indépendamment des investissements en cyber sécurité réalisés, des procédures de contrôle et de sauvegarde des données informatiques mises en place, que vous transfériez une partie du risque cyber résiduel à une compagnie d'assurance au travers d’un contrat de cyber assurance.

Il convient également de noter d'emblée que la cyberassurance n'offre pas les mêmes garanties que celles proposées par votre assurance responsabilité civile professionnelle. En effet, votre assurance responsabilité civile professionnelle couvre les dommages corporels et matériels causés à autrui, résultant de vos produits, services ou opérations. Chez la plupart des assureurs, les cyber-risques (risques immatériels) ne sont pas inclus dans cette catégorie.  Ne faites pas l'erreur de supposer qu'ils le sont, même si les cyber risques ne figurent pas dans les exclusions ! Sony a commis cette erreur lors de la violation de son système d’information en 2011, erreur qui a fini par lui coûter 171 millions de dollars !

 

Une assurance pour vos données informatiques face à de nouveaux risques.

L'assurance cyber couvre principalement les cas d'atteinte à la sécurité des systèmes d’information lorsque les données sont détruites, indisponibles, divulguées ou volées, que la cause soit externe (cyber attaque, ransomware…), interne (erreur humaine…) ou réalisée avec la complicité d’un collaborateur.
Même le plus petit incident, comme la divulgation accidentelle d'un dossier client à la mauvaise personne, constitue une atteinte à la protection des données personnelles. Et bien qu'il soit obligatoire de signaler les infractions à la CNIL, il est encore très difficile d’avoir une estimation officiel du nombre de violations de données personnelles ayant touchées les sociétés en France, ces chiffres restant confidentiels.
Les professions exerçant une mission de conseil aux entreprises comme les experts comptables, les avocats sont susceptibles d’être très fortement impactées par le RGPD en cas de violation de leur système d’information. En effet, depuis l’entrée en application du RGPD, la CNIL peut exiger une notification de la violation à l’ensemble des personnes victimes par la violation, soit un impact financier estimé entre 5 et 7 € / donnée. Face à ces nouveaux risques il était important de trouver une solution assurantielle ; C’est précisément cette réponse qui a été apportée par la cyber assurance.

 

Assurance cyber : quelles garanties offertes ?

En général, les polices d’assurance cyber couvrent :

  • la récupération des données
  • la restauration et le nettoyage du système informatique
  • la prise en charge des frais de notification dans le cadre du RGPD
  • les frais juridiques et les dépenses associés à une violation

Certaines polices d'assurance cyber offrent également des services annexes très utiles :

  • la gestion de crise avec des experts en cyber sécurité
  • les frais de monitoring sur le Dark web afin de protéger les clients victimes de la violation
  • une aide à la communication de crise,
  • un service juridique expert en notification de violation des données personnelles
  • un accompagnement dans la prévention des risques (cyber diagnostic, e learning, scan de vulnérabilité...).

Le paysage actuel de la cyberassurance pourrait être analysé selon deux approches différentes :

  • La première approche consiste à obtenir la couverture financière dont l’entreprise a besoin, au moindre coût de prime possible. C'est idéal pour les entreprises qui peuvent gérer en interne une cyber attaque et ses conséquences notamment suite à l’entrée en application du RGPD.
  • La deuxième stratégie consiste à obtenir la couverture financière et à utiliser les services annexes proposés par la cyber assurance afin d’augmenter ses capacités de réponse en cas de cyber attaque. L’objectif recherché est de mieux gérer un cyber incident afin de redémarrer le plus rapidement. Grâce à cette stratégie, l’entreprise s’appuie sur les services annexes apportés par la Compagnie d’assurance ou le courtier (acteurs en cyber sécurité présélectionnés, monitoring dark web, e-communication, défense juridique, notification des violations de données, veille et alertes, expert en communication de crise) et se retrouve ainsi guidée tout au long du processus de gestion et de résolution de la crise. La compagnie ou le courtier, s’ils disposent d’une expertise dans ce domaine auront à cœur d’accompagner l’entreprise durant la crise mais surtout de mettre en place des actions de prévention des risques cyber (campagne d’information, sensibilisation, formation, …).

cyber_assurance

Ai-je besoin d'une cyberassurance ? Quels sont les risques ?

 

Cyber assurance : est-ce vraiment nécessaire pour un cabinet d'expertise comptable ?

C'est une question à laquelle votre organisation devra répondre elle-même. Il y a une multitude de facteurs à considérer, y compris la taille de l'organisation, les budgets, votre modèle de menace, les risques, les responsabilités potentielles.  Il est peut être utile de mentionner que, selon une  récente étude américaine, 66 % des organisations de moins de 50 salariés, ne survivraient pas seules à une atteinte à la protection des données.  L'industrie de la cybercriminalité (oui, c'est une industrie) n'a jamais été aussi rentable, industrie qui touche en priorité les PME (80 % des cyber attaques en France ont touché des PME de moins de 50 salariés). Le risque est bien réel et ne fait que progresser….

Pour prendre l’exemple de l’expert-comptable, la question ne se pose plus de l’utilité de souscrire un contrat d’assurance responsabilité civile professionnelle, une assurance maladie,  une assurance bureau. Ce type d’entreprise possède un important système d’information,  travaillant toute la journée  sur des données personnelles, données d’entreprises, données confidentielles.

Les experts comptables doivent avoir une triple approche du problème Cyber :

  • prévention des risques en mettant en place une organisation efficace afin de limiter les risques de Phishing, attaques de masse, attaques par ingénierie sociale
  • Renforcement des niveaux de cyber défense en s’appuyant sur des prestataires / solutions reconnues pour leur efficacité (anti malware, firewall, chiffrement des données sur les postes nomades…)
  • étudier le coût de transfert du risque cyber résiduel vers un contrat d’assurance cyber en mettant en balance une estimation des conséquences financières d’une cyber attaque.

Certains courtiers spécialisés comme CYBER COVER pourront vous présenter en détail les garanties d'un contrat de cyber assurance et vous communiquer un devis pour votre contrat d’assurance cyber en ligne en moins de 5 mn. Il nous semble important de préciser que la prime moyenne constatée n’excède pas 0.5 % du montant de la garantie accordée, ce qui est très faible au regard des services et garanties offertes.

 

cyber_assurance

Anticiper une cyberattaque.

Les entreprises doivent prendre en considération le fait que la valeur de leur entreprise réside dans les données qu’elles stockent, traitent, ainsi que dans le système d’information développé qui permet de faire tourner leur entreprise.  Les organisations doivent comprendre qu'une cybersécurité à 100 % est impossible, compte tenu de l'augmentation des volumes de données, de la numérisation et de la mobilité de la main-d'œuvre, ainsi que de l'évolution du paysage des menaces et des préoccupations de conformité réglementaire.

Personne ne peut garantir qu'une attaque ne se produira pas. Personne ne peut garantir que la(les) sauvegardes ne seront corrompues, ni du temps nécessaire au nettoyage et redémarrage du système d’information.  Vous devez être prêt au cas où quelque chose arriverait. On ne sait pas ce que c'est, mais c'est mieux d'avoir un plan de sauvegarde et de redémarrage en place.

 

La cyberassurance pour ne pas être seul face aux cyber risques.

La cyberassurance peut être perçue comme un moyen supplémentaire de continuité d'activité.
Si votre entreprise subit un incident de sécurité perturbateur, l’assurance cyber vous aiderait à redevenir opérationnel plus rapidement. C'est particulièrement vrai pour les petites et moyennes entreprises qui n'ont pas les ressources financières et techniques nécessaires pour réagir à un cyber incident. Les entreprises d'aujourd'hui doivent adopter une approche de gestion des risques en matière de cybersécurité, y compris le transfert des risques par l'assurance. Les grandes entreprises françaises l’ont compris…. Les PME doivent encore progresser dans cette approche, surtout celles comme les experts comptables et les avocats pour qui, une bonne gestion de la crise cyber sera primordiale pour leur image.

 

Que dois-je rechercher dans une police d'assurance cyber ?

À l'heure actuelle, la plupart des grandes compagnies d'assurance offrent des contrats d’assurance cyber. Il  n'y a pas encore de norme, d’homogénéité dans la terminologie utilisée, dans les clauses et garanties proposées, de telle sorte qu’il est souvent très difficile de comparer un contrat d’assurance d’un autre.

Que devriez-vous rechercher dans une police d'assurance cyber ?

  • L’erreur humaine est-elle couverte ?
  • Qu’est ce qui est pris en compte comme élément déclencheur de la garantie ? La date de découverte ou la date de pénétration du malware dans le système d’information ?
  • Quelle est la gestion de crise proposée ?
  • Quid des frais de restauration du système d’information ?
  • La couverture des frais juridiques et des frais de notification imputables au RGPD est-elle garantie ?
  • Les pertes d’exploitation / les frais d’exploitation sont-ils couverts ?
  • Le paiement des rançons ?
  • Montant de RC proposé ?
  • Un volet fraude existe-t-il ? (cyber extorsion, fraude au président … )
  • …..

autant de caractéristiques essentielles constitutives d’un bon contrat d’assurance cyber !

 

Définition de votre profil et de vos besoins

Il est donc important pour une entreprise de bien comprendre le profil de cyber-risque spécifique auquel elle s’expose et de rechercher une couverture qui corresponde bien à son besoin. Par exemple, un cabinet d’expertise comptable qui présente un risque financier élevé en cas de violation des données personnelles (frais de notification), devrait rechercher une large couverture sur la partie réglementaire (RGPD) + un bon niveau de couverture sur le poste « frais supplémentaires d’exploitation ».

Les entreprises qui ont migré leurs données vers le Cloud ou qui s'appuient sur des fournisseurs d'hébergement de données auront besoin d'une couverture garantissant la prise en charge des violations de données personnelles stockées par des tiers et un solide volet RC cyber.

Le marché de l'assurance cyber est aujourd'hui très concurrentiel ; les entreprises devraient donc faire le tour du marché pour négocier la meilleure couverture en fonction de leur profil d’exposition aux cyber-risques.

 

 Quelles questions devriez-vous vous poser ?

Lorsque vous choisissez un assureur, vérifiez si le contrat cyber proposé est une extension d'une police existante ou une police autonome. Souvent, vous constaterez que les polices autonomes sont plus robustes et offrent une couverture plus complète.

De plus, vérifiez si l'assureur peut adapter la police à votre organisation et à ses risques uniques ou s'il s'agit simplement du même jargon juridique pour toutes les polices. Posez-vous la question de savoir si le montant de garantie défini correspond à un niveau de risque maximal estimé par la Compagnie d’assurance ou votre courtier ? En cas de cyber attaque, quel serait l’impact financier maximal pour mon entreprise ?

Vérifier les montants de couverture RC Cyber proposés et les éventuelles limites. Les risques liés aux tiers sont une des plus grandes menaces auxquelles sont confrontées les entreprises à l'ère du numérique. En fait, des études montrent que la moitié de toutes les atteintes à la protection des données sont commises dans la chaîne d'approvisionnement. Il pourrait être utile de vérifier si vos fournisseurs de services ont leur propre contrat d’assurance cyber.  

Plus précisément, contre quelles attaques leur police de cyber assurance vous couvre-t-elle ? Toutes les polices ne couvrent pas toutes les formes d'attaque. Vous devez savoir exactement ce que couvre la police. C'est aussi le bon moment pour poser des questions sur le comportement malveillant des employés, ou non malveillant comme la négligence ou les simples erreurs de programmation. La police couvre-t-elle tous les cyber incidents y compris ceux ayant pour cause une erreur humaine ou ne s'applique-t-elle que lorsque votre organisation est victime d'une attaque provenant de tiers ? Quelles sont les mesures de prévention obligatoires à respecter ? Un courtier en assurance spécialisé en cyber assurance peut vous aider dans l’évaluation du besoin et qui vous aidera à obtenir le bon niveau de couverture. Quel que soit l'assureur que vous choisirez, il voudra s'assurer que votre organisation prend sa sécurité au sérieux. Cela implique la démonstration d'une solide posture de sécurité, d'une volonté de sensibiliser vos équipes sur les cyber menaces et sur votre capacité à faire face à une cyber attaque.

 

CONCLUSION : QUEL AVENIR POUR LA CYBER ASSURANCE AU SEIN DES EXPERTS COMPTABLES ?

Comme nous l'avons indiqué, la cyberassurance présente une importante marge de progression au niveau des PME et plus particulièrement des experts comptables. Entre-temps, le paysage de la menace évolue constamment, de nouvelles menaces se présentent chaque jour alors que des pirates et des cybercriminels entreprenants cherchent de nouvelles façons de pénétrer dans nos systèmes d’information. La cybercriminalité est à présent une industrie d’ 1,5 milliard de dollars, touchant aussi bien grandes entreprises que les petites et moyennes entreprises. Les couvertures cyber proposées ont également évoluées, ne se limitant plus à couvrir uniquement les atteintes à la protection des données.

Donc, pour répondre à notre question initiale sur le fait que pourquoi si peu de peu d’experts comptables, d’avocats en France, ont compris l’utilité de souscrire un contrat d’assurance cyber dédié ? Est-ce normal ? Ma réponse : absolument pas !

 Marc-Henri BOYDRON

Votre diagnostic cyber gratuit en 5 mn

Testez gratuitement le niveau de cybersécurité de votre entreprise

En savoir plus

Votre devis assurance en ligne gratuit

Obtenez un devis gratuit en 5 mn

En savoir plus