Il existe une variété de cyber-responsabilités qui ne sont pas couvertes par les polices d'assurance responsabilité civile générale souscrites par les entreprises manufacturières. CYBER COVER vous décrit les types de responsabilités engagées et les lignes directrices pour vous aider à choisir le bon contrat de cyberassurance.
Il ne se passe pas un jour sans qu’une cyberattaque ne crée une brèche cyber dans le système informatique d’une entreprise en France et dans le monde (PME, ETI, Grande entreprise), touchant des milliers de personnes et coûtant des centaines voire millions de dollars aux entreprises. Les cyber-attaques ne se limitent pas aux grandes entreprises, touchant de manière aveugle toutes les entreprises quelles que soient leurs tailles.
Les fabricants : cibles des cyber attaques.
Les fabricants et les entreprises d'industries similaires sont exposés d'une manière unique à des cyberattaques.
Prenons par exemple, une entreprise de recyclage de palettes de taille moyenne comptant quatre usines et 300 employés…. Cette entreprise disposait d'informations standard stockées sur son réseau informatique, notamment des diagrammes techniques, des données de paie, des données sur les comptes, des documents commerciaux. Un pare-feu standard de sécurité était en place. Cependant, un des cadres dirigeants de l'entreprise, lors d’une session de travail à distance, a ouvert un email corrompu entrainant le blocage et le cryptage de l’ensemble des données du système d’information et arrêtant la production… En fonction de la qualité des sauvegardes, de la nature du crypto locker rencontré, l’entreprise mettra un certain temps à redémarrer générant ainsi des pertes financières importantes….
Lorsqu'une cyber-attaque comme celle-ci se produit, qui paie pour la défense, la surveillance des données personnelles, les enquêtes juridiques liées à l’obligation de déclaration à la CNIL (RGPD), les frais d’expertise informatique, la restauration du système d’information, les pertes et frais supplémentaires d’exploitation ?
Traditionnellement, ce sont les compagnies d'assurance qui ont été touchées au travers de leur client assuré. Dans le cas ci-dessus, l'entreprise n'avait pas d'assurance pour couvrir ce type d'événement, ce type de risque et de garanties n’étant pas couverts par les contrats d’assurance traditionnels souscrits par l’entreprise.
Fabricants et cyber sécurité
Le monde est de plus en plus interconnecté…Les fabricants embarquent des systèmes d’information complexes sur leurs équipements industriels, devenant ainsi de plus en plus vulnérables. Dans leur stratégie de gestion des risques, les RSSI doivent détecter les anomalies en temps réel, veiller à faire évoluer leur technologie et leur infrastructure informatique… Les mises à jour des systèmes d’exploitation se font rares, rendant indispensables la mise en place de solutions de cybersécurité.
La cyber assurance doit à ce titre s’inscrire dans cette démarche sécuritaire.
Cyber Assurance : quel contrat pour un Fabricant ?
Attention aux couvertures silencieuses.
La plupart des entreprises se fient à leur police d'assurance responsabilité civile sensée offrir une couverture RC cyber, à tort souvent… Les contrats d’assurance RC interviennent généralement à la suite d’un dommage matériel…. Comment s’y retrouver ? Les choses sont en train de changer et petit à petit les contrats d’assurance seront revus par les assureurs afin d’exclure la couverture cyber qui va constituer un contrat dédié.
Il faudra du temps pour que cette exclusion soit largement adoptée par l'industrie de l'assurance, mais tant que les atteintes à la protection des données continueront d'augmenter en même temps que les coûts, elle sera une exclusion standard pour tous les contrats d’assurance RC ou Dommage.
Cyber assurance : quelles couvertures pour un Fabriquant ?
Déterminer la couverture adéquate doit se faire en plusieurs étapes :
- une bonne appréciation de l’exposition des risques cyber de l’entreprise
- la bonne estimation des risques financiers et cyber-responsabilités potentielles auxquelles votre établissement pourrait faire face
- l’analyse de vos contrats d’assurance RC et dommage afin d’identifier les éventuelles garanties cyber
- la mise en place du contrat d’assurance cyber dédié après mise en concurrence des principaux acteurs du marché (compagnies d’assurance).
Fabricants : quelles sont vos responsabilités face aux risques cyber ?
CYBER COVER vous décrit les types de responsabilités engagées et les lignes directrices pour vous aider à choisir le bon contrat de cyberassurance.
- Atteintes à la protection des données
Les entreprises sont responsables de la protection des données personnelles de leurs employés et de leurs clients. Parmi les causes fréquemment rencontrées d’atteinte à la protection des données personnelles il est possible de citer : le piratage informatique, la perte d'un ordinateur portable ou l'accès non autorisé d’un employé à des données confidentielles.
Avec l’entrée en application du RGPD, une violation des données personnelles implique pour l’entreprise une obligation de déclaration à la CNIL (dans les 72 heures), déclaration qui peut financièrement impacter fortement une entreprise selon l’ampleur et la nature de la violation des données personnelles.
- Dommages aux tiers
Ces dommages peuvent prendre diverses formes. La transmission d'un virus à une autre entreprise ou une violation de données pour les entreprises responsables de la protection ou de la maintenance des données peut entraîner des dommages à des tiers.
- Interruption de l'activité
De nombreuses entreprises souhaitent cette garantie dans leur contrat d’assurance, notamment pour les pertes d’exploitation résultant d'un incendie, d'une catastrophe naturelle, etc. … Elles ignorent que la plupart des contrats d’assurance ne couvrent pas les pertes d'exploitation liées à un arrêt de la production, consécutives à une atteinte à votre système informatique (cyberattaque, erreur humaine …)
- Cyber extorsion / ransomware
Il s'agit sans doute à ce jour du risque le plus important auxquels sont confrontées les entreprises, toute taille / secteur d’activité confondus. Les cybercriminels prennent le contrôle de tout ou partie de votre système d’information , cryptant toutes vos données… Sans informatique, sans données exploitables, il vous est impossible de continuer à travailler… Les cybercriminels exigent le paiement d’une rançon en échange de la remise d’une clé de décryptage. Cette situation peut avoir une incidence sur la capacité de faire des affaires et peut entraîner d'importantes pertes financières directes et indirectes. Dans l'exemple ci-dessus, il y a bien eu cyber extorsion de fonds.
- Propriété intellectuelle
Une entreprise peut, par inadvertance ou suite à une attaque, violer le droit d'auteur ou la protection des brevets, ce qui entraîne à court terme des frais juridiques élevés et à moyen terme des dommages-intérêts conséquents. Ce genre de situation, si elle venait à être amplifiée par les médias sociaux pourrait également dégrader l’image de l’entreprise responsable de la violation.
Comment bien s'assurer face aux cyber risques ?
Tout d'abord, consultez un courtier d'assurance ayant une bonne compréhension des cyber risques et des contrats d’assurance cyber. Il déterminera quelles sont les garanties indispensables et niveaux de couverture requis. Il analysera vos contrats d’assurance existants afin d’identifier votre niveau de couverture actuel… vous pouvez avoir des garanties apparaissant sous des noms tels que "cyberassurance" mais aussi "assurance contre les atteintes à la vie privée" et "assurance sécurité réseau" …. Le marché de l’assurance cyber présente une grande variété de primes et de termes d'un assureur à l'autre. Avant d'acheter ou de renouveler votre contrat d’assurance cyber, assurez-vous de bien comprendre ce que vous achetez réellement.
Suivez ces lignes directrices pour la souscription de votre contrat de cyber assurance.
Achetez ce dont vous avez besoin
Le marché de la cyberassurance est très concurrentiel. Appuyez-vous sur un courtier indépendant vis-à-vis des Compagnies d’assurance avec lesquelles il travaille (de préférence un spécialiste de la cyber assurance). Il interrogera le marché, fera jouer la concurrence et arrivera à trouver la compagnie d’assurance qui sera d’accord pour vous offrir le niveau de couverture, aux conditions qu’une autre compagnie d’assurance ne ferait pas..
Déterminez les bons montants de garantie
L'une des questions les plus importantes dans la construction de votre contrat de cyberassurance est celui qui consiste déterminer les garanties recherchées et les montants de couverture souhaités. Vous devez toujours raisonner en termes d'exposition maximale avec un impact financier total.
Comparez les contrats d’une Compagnie à un autre.
Un courtier en assurance ayant une solide expertise de l’assurance cyber vous aidera à comprendre et à analyser les différents contrats d’assurance… Quel est le fait générateur ? Date de pénétration du malware dans votre système d’information ou date de découverte ? Prenons le cas courant d’une atteinte / violation des données personnelles… Ce type d’incident est souvent découvert plusieurs mois / années après sa découverte. Selon votre contrat d’assurance, vous pourrez être couverts pour des manquements inconnus qui se sont produits avant l'entrée en vigueur de votre police d’assurance, mais donnant lieu à une demande de règlement pour la première fois après l'entrée en vigueur de celle-ci.
Quelles fraudes sont couvertes par le contrat de cyber assurance ? L’erreur humaine est-elle couverte ? Périmètre géographique ? Faites-vous expliquer les différences.
Connaître les dispositions relatives.
De nombreuses polices d'assurance cybernétique exigent que tous les experts informatiques, consultants ou avocats que vous utilisez pour répondre à une cyber attaque, à une violation de votre système d’information, soient tirés d'une liste de professionnels qui ont été pré-approuvés par l'assureur. Si vous avez des consultants ou des avocats que vous voulez faire appel en cas de sinistre parce qu'ils connaissent déjà les activités de l'entreprise, il est bon de demander d'ajouter ces professionnels à la liste pré approuvée de l'assureur lors de la souscription.
S’assurer de la bonne expertise en cas de sinistre.
Qu’est ce qui est proposé par la Compagnie, par mon courtier en cas de sinistre ? Vos interlocuteurs ont-ils l’expertise pour vous assister efficacement le jour du sinistre ? La réactivité de votre courtier et des prestataires en gestion de crise est primordiale.
CONCLUSION
Les entreprises de type manufacturière sont des cibles évidentes pour les cyber pirates, qui exploitent notamment la complexité qu’ont les entreprises à maintenir à jour des systèmes d’exploitation parfois anciens (Windows XP, ….). Il existe pourtant des solutions en termes de cyber sécurité qui permettent de réduire considérablement l’exposition d’une entreprise aux risques cyber. Consultez quelques spécialistes en cyber sécurité afin d’intégrer la cyber résilience dans la gouvernance de votre entreprise. Appuyez-vous en complément sur un expert de la cyber assurance qui définira avec vous le contrat d’assurance adapté au niveau de risque résiduel que présente votre entreprise.
