Qu'est-ce que l'assurance cyber-risques ?
Le DSI a en général une assez bonne définition des polices d'assurance cybercriminalité : "Une police d'assurance cyber-risques, également appelée assurance cybercriminalité ou assurance cybersécurité est conçue pour aider une organisation à réduire son exposition aux risques cyber. Elle permet d’absorber les coûts liés au rétablissement du système d’information post cyber-attaque ou les conséquences d’une violation des données personnelles".
En résumé, l'assurance cyber-risques se déclenche en cas d’incident de cybersécurité ou d’atteinte aux données personnelles et qui aide les entreprises à faire face aux conséquences financières des dits événements.
Toute entreprise collectant, stockant ou traitant de la donnée, que cette information concerne des informations de personne physique ou personne morale, pour laquelle l’arrêt du système d’information peut avoir des conséquences financières importantes sur son outil de production ou sur la mise à disposition d’un service, devrait envisager de souscrire un contrat d'assurance cyber-risques.
Que couvre une assurance cyber-risques ?
Un contrat d'assurance cyber-risques possède généralement deux volets de garantie : un volet en cas d'atteinte au système d'information (cyber-attaques, cyber intrusions) et un volet en cas d'atteinte aux données personnelles (diffusions de données personnelles même accidentelles).
De nombreuses entreprises ne le savent pas, mais de nombreux frais sont couverts par les polices d'assurance cyber-risques en cas d'atteinte au système d'information ou en cas d'atteinte aux données personnelles. Voici des exemples de frais couverts par un contrat de cyber assurance : frais d'investigation et monitoring, restauration du système d'information, frais de notification, frais de gestion de crise, frais juridiques, la perte d'exploitation ou de marge brute, le préjudice financier causé aux tiers et les frais supplémentaires d'exploitation.
Les conséquences des cyber-attaques pour les entreprises
Une cyber-attaque peut avoir de lourdes conséquences pour une organisation. L'impact financier est une conséquence à ne pas sous-estimer. D’après le Sénat (2021), 60% des petites entreprises aux Etats-Unis, non assurées et victimes d'une cyber-attaque, déposeraient le bilan dans les 6 mois. Un contrat d'assurance cyber-risques est un amortisseur financier qui permettra de réduire les coûts en cas de sinistre.
La réputation d'une organisation peut également être atteinte en cas de violation des données. En effet selon le RGPD, l'organisation est responsable de la protection des données qu'elle détient et sa responsabilité peut donc être engagée.
Les 6 points essentiels à étudier lors du choix de son assurance cyber-risques
-
Besoins de mon entreprise
Avant de souscrire à un contrat d'assurance cyber-risques il est essentiel de déterminer l'étendue des besoins de l'organisation. La police d'assurance doit s'adapter à l'organisation et non le contraire. Par exemple si l'organisation a mis en place du télétravail alors en cas de cyber-attaque, le contrat d'assurance doit pouvoir couvrir les cyber-risques liés au télétravail. Il faut donc être vigilant sur le périmètre de l'organisation à assurer et vérifier que le contrat souscrit couvre bien l'ensemble du périmètre.
-
Coût de l'assurance cyber-risques
Lorsqu'une organisation souscrit à une police d'assurance cyber-risques elle paye un montant annuel aussi appelé montant de la prime. Dans son contrat de cyber assurance, elle doit vérifier le montant des garanties proposé ainsi que les franchises proposées et comprendre ces montants. Les garanties et les franchises proposées auront un impact sur le montant de la prime. Le coût d'une assurance cyber-risques pour une organisation dépend de sa taille, son secteur d'activité, ses vulnérabilités cyber identifiées mais dépend également des garanties couvertes et des franchises définies.
-
Limite de la couverture
Tout contrat d'assurance cyber-risques possède un plafond de garantie. En d'autres termes, si l'organisation assurée est victime d'un sinistre, le plafond de garantie représente la somme maximum que l'organisation recevra de l'assureur au titre de dédommagement. Il diffère en fonction de chaque contrat.
-
Exclusion de la police d'assurance cyber-risques
En cas de cyber-attaque, un contrat d'assurance cyber-risques ne couvre pas certains frais comme les dommages matériels ou corporels (directs ou indirects) ayant des conséquences sur le système d'information.
En cas de divulgation délibérée d'informations ou d'infraction délibérée à la loi d'un membre de l'organisation, le contrat de cyber assurance ne couvrira probablement pas l'organisation.
Certaines cyber-attaques impliquent des transferts de fond non autorisés provenant de l'organisation attaquée, aussi appelé cyber fraude, et qui occasionnent des pertes financières importantes. Certains contrat d'assurance cyber-risques couvrent ce risque mais ce n'est pas le cas de toutes les compagnies d'assurance. Il est donc important de vérifier ce point.
En cas de panne de l'alimentation électrique, du disque dur ou du système d'information, aussi appelé effet du courant, le contrat d'assurance cyber ne couvre pas ce type de garantie.
La propriété intellectuelle est généralement exclue des contrats d'assurance cyber-risques. Il faut vérifier dans les conditions du contrat pour voir si la perte de secrets commerciaux, de brevets ou d'autres droits de propriété intellectuelle est couverte.
-
Garanties supplémentaires
Des garanties supplémentaires peuvent être souscrites, par rachat d'exclusion, dans le cas où le contrat d'assurance cyber-risques ne couvre pas certaines garanties précises. Afin d'éviter le rachat d'exclusion il est également possible de mettre en place des solutions techniques de cybersécurité.
-
Réputation de la compagnie et sa solidité financière
Lors d'une cyber-attaque, la réputation d'une organisation peut être atteinte car l'organisation détient de précieuses données personnelles ou sensibles de leurs clients ou fournisseurs. La gestion de crise et la communication autour de la cyber-attaque va être cruciale pour rassurer les clients ou fournisseurs et ainsi éviter un éventuel impact sur la réputation de l'organisation. En cas de sinistre, une organisation assurée, peut bénéficier de la prise en charge des frais de communication par la compagnie d'assurance.
En cas de cyber-attaque, l'organisation attaquée peut engager de nombreux frais. Un contrat d'assurance cyber-risques, permet d'amortir certains coûts financiers comme la perte de marge brute liée à la cyber-attaque ou encore la restauration du système d'information.
Il est cependant essentiel de bien lire et comprendre son contrat d'assurance cyber-risques pour savoir quelles sont les garanties couvertes et quels sont les plafonds de garanties.
Afin de trouver le bon contrat d'assurance cyber-risques, vous pouvez vous appuyer sur CYBER COVER et remplir notre formulaire.
Les différentes assurances cyber-risques
L'assurance cyber-risques, également appelée assurance cybersécurité, couvre les organisations en cas d'atteinte au système d'information ou aux données, contre les pertes financières en lien avec cette attaque ou violation. Elle intervient en cas de suspicion d’intrusion ou d’intrusion ou d’atteinte aux données (stockées chez soi ou hébergées chez un tiers lié par un contrat avec l'assuré) et contribue à la cyber-résilience des entreprises.