Comment choisir une assurance cyber pour une entreprise ?

Qu'est-ce que l'assurance cyber ?

Le DSI a en général une assez bonne définition des polices d'assurance cybercriminalité : "Une police d'assurance cyber risques, également appelée assurance cybercriminalité ou assurance cybersécurité est conçue pour aider une organisation à réduire son exposition aux risques cyber. Elle permet d’absorber les coûts liés au rétablissement du système d’information post cyber-attaque ou les conséquences d’une violation des données personnelles".

En résumé, la cyber assurance se déclenche en cas d’incident de cybersécurité ou d’atteinte aux données personnelles et qui aide les entreprises à faire face aux conséquences financières des dits événements.

Toute entreprise collectant, stockant ou traitant de la donnée, que cette information concerne des informations de personne physique ou personne morale, pour laquelle l’arrêt du système d’information peut avoir des conséquences financières importantes sur son outil de production ou sur la mise à disposition d’un service, devrait envisager de souscrire un contrat de cyber assurance.

Que couvre une assurance cyber ?

Un contrat de cyber assurance possède généralement deux volets de garantie : un volet en cas d'atteinte au système d'information (cyber attaques, cyber intrusions) et un volet en cas d'atteinte aux données personnelles (diffusions de données personnelles même accidentelles).

De nombreuses entreprises ne le savent pas, mais de nombreux frais sont couverts par les polices de cyber assurance en cas d'atteinte au système d'information ou en cas d'atteinte aux données personnelles. Voici des exemples de frais couverts par un contrat de cyber assurance : frais d'investigation et monitoring, restauration du système d'information, frais de notification, frais de gestion de crise, frais juridiques, la perte d'exploitation ou de marge brute, le préjudice financier causé aux tiers et les frais supplémentaires d'exploitation.

Les conséquences des cyberattaques pour les entreprises

Une cyberattaque peut avoir de lourdes conséquences pour une organisation. L'impact financier est une conséquence à ne pas sous-estimer. D’après le Sénat (2021), 60% des petites entreprises aux Etats-Unis, non assurées et victimes d'une cyber attaque, déposeraient le bilan dans les 6 mois. Un contrat de cyber assurance est un amortisseur financier qui permettra de réduire les coûts en cas de sinistre.

La réputation d'une organisation peut également être atteinte en cas de violation des données. En effet selon le RGPD, l'organisation est responsable de la protection des données qu'elle détient et sa responsabilité peut donc être engagée.

Les 6 points essentiels à étudier lors du choix de son assurance cyber

1. Besoins de mon entreprise

Avant de souscrire à un contrat de cyber assurance il est essentiel de déterminer l'étendue des besoins de l'organisation. La police d'assurance doit s'adapter à l'organisation et non le contraire. Par exemple si l'organisation a mis en place du télétravail alors en cas de cyber attaque, le contrat d'assurance doit pouvoir couvrir les risques cyber liés au télétravail. Il faut donc être vigilant sur le périmètre de l'organisation à assurer et vérifier que le contrat souscrit couvre bien l'ensemble du périmètre.

2. Coût de l'assurance cyber

Lorsqu'une organisation souscrit à une police d'assurance cyber elle paye un montant annuel aussi appelé montant de la prime. Dans son contrat de cyber assurance, elle doit vérifier le montant des garanties proposé ainsi que les franchises proposées et comprendre ces montants. Les garanties et les franchises proposées auront un impact sur le montant de la prime. Le coût d'une assurance cyber pour une organisation dépend de sa taille, son secteur d'activité, ses vulnérabilités cyber identifiées mais dépend également des garanties couvertes et des franchises définies.

3. Limite de la couverture

Tout contrat d'assurance possède un plafond de garantie. En d'autres termes, si l'organisation assurée est victime d'un sinistre, le plafond de garantie représente la somme maximum que l'organisation recevra de l'assureur au titre de dédommagement. Il diffère en fonction de chaque contrat.

4. Exclusion de la police d'assurance

En cas de cyber attaque, un contrat de cyber assurance ne couvre pas certains frais comme les dommages matériels ou corporels (directs ou indirects) ayant des conséquences sur le système d'information.

En cas de divulgation délibérée d'informations ou d'infraction délibérée à la loi d'un membre de l'organisation, le contrat de cyber assurance ne couvrira probablement pas l'organisation.

Certaines cyber attaques impliquent des transferts de fond non autorisés provenant de l'organisation attaquée, aussi appelé cyber fraude, et qui occasionnent des pertes financières importantes. Certains contrat de cyber assurance couvrent ce risque mais ce n'est pas le cas de toutes les compagnies d'assurance. Il est donc important de vérifier ce point.

En cas de panne de l'alimentation électrique, du disque dur ou du système d'information, aussi appelé effet du courant, le contrat d'assurance cyber ne couvre pas ce type de garantie.

La propriété intellectuelle est généralement exclue des contrats de cyber assurance. Il faut vérifier dans les conditions du contrat pour voir si la perte de secrets commerciaux, de brevets ou d'autres droits de propriété intellectuelle est couverte.

5. Garanties supplémentaires

Des garanties supplémentaires peuvent être souscrites, par rachat d'exclusion, dans le cas où le contrat d'assurance cyber ne couvre pas certaines garanties précises. Afin d'éviter le rachat d'exclusion il est également possible de mettre en place des solutions techniques de cybersécurité.

6. Réputation de la compagnie et sa solidité financière

Lors d'une cyber attaque, la réputation d'une organisation peut être atteinte car l'organisation détient de précieuses données personnelles ou sensibles de leurs clients ou fournisseurs. La gestion de crise et la communication autour de la cyber attaque va être cruciale pour rassurer les clients ou fournisseurs et ainsi éviter un éventuel impact sur la réputation de l'organisation. En cas de sinistre, une organisation assurée, peut bénéficier de la prise en charge des frais de communication par la compagnie d'assurance.

En cas de cyber attaque, l'organisation attaquée peut engager de nombreux frais. Un contrat de cyber assurance, permet d'amortir certains coûts financiers comme la perte de marge brute liée à la cyberattaque ou encore la restauration du système d'information.

Il est cependant essentiel de bien lire et comprendre son contrat d'assurance cyber pour savoir quelles sont les garanties couvertes et quels sont les plafonds de garanties.

Les différentes assurances cyber

L'assurance cyber risques, également appelée assurance cybersécurité, couvre les organisations en cas d'atteinte au système d'information ou aux données, contre les pertes financières en lien avec cette attaque ou violation. Elle intervient en cas de suspicion d’intrusion ou d’intrusion ou d’atteinte aux données (stockées chez soi ou hébergées chez un tiers lié par un contrat avec l'assuré).