Que faire face à une cybercriminalité grandissante ? Se résigner à attendre en espérant que l’attaque ne soit pas trop virulente ou envisager de s’y préparer en souscrivant un contrat de cyber assurance ? Avoir un contrat de cyber assurance est nécessaire. Nous vous expliquons pourquoi.
La plupart des consommateurs mais également des entreprises doivent apprendre à vivre avec le sentiment que ce n'est probablement qu'une question de temps avant que certaines de leurs données personnelles ne soient compromises. L'atteinte à la protection des données de la société Equifax en 2017 a touché environ 143 millions d'Américains.
Plus récemment en France ce sont des entreprises prestigieuses comme ALTRAN ou AIRBUS qui ont été visées et atteintes … Les PME sont également devenues la cible de bandes organisées ciblant des entreprises moins bien protégées, exploitant la moindre faille matérielle ou humaine. Bien sûr, vous ne trouverez pas ou peu d’articles relatant des faits d’attaques cyber sur des PME… et pourtant les conséquences peuvent parfois être plus graves que pour des grandes entreprises plus solides financièrement.
Alors que faire face à une cybercriminalité grandissante ?
La souscription d’un contrat de cyber assurance ne vous évitera pas d'avoir à gérer une atteinte à la sécurité informatique au sein de votre entreprise, mais, cela rendra les choses certainement beaucoup moins stressantes pour vous et vos salariés. En fait, posséder un contrat d'assurance cyber peut faire toute la différence entre protéger votre entreprise afin qu’elle puisse continuer à vivre et à se développer ou devoir faire face à un avenir incertain voire la mort de votre entreprise. Vous pensez qu’il y a de l’exagération dans ces propos ? Sachez que selon un rapport officiel de la « Securities and Exchange Commission » aux États-Unis, on estime que la moitié des petites et moyennes entreprises (<250 salariés) victimes d'une cyberattaque cessent leurs activités dans les six mois qui suivent l'attaque. Avec une telle probabilité, la cyber assurance devrait être une évidence pour toutes les entreprises quelle que soit leur taille.
Cependant, à ce jour, moins de 3 % des PME possèdent un contrat de cyber assurance (moins de 15 % des ETI). J'espère que votre entreprise est l'une d'entre elles et que vous avez compris l’urgence de prendre un contrat de cyberassurance. Si ce n'est pas le cas, continuez à lire cet article ! Dans cet article, nous vous expliquerons comment fonctionne la cyber assurance et ce qu'elle couvre. Nous vous expliquerons les types de garantie proposées qui pourraient être nécessaires et nous vous donnerons les clés pour identifier un bon contrat d’assurance cyber.
Que couvre un contrat de cyber assurance ? Quelles sont les garanties offertes ?
Les polices d'assurance cyber couvrent un large éventail de conséquences possibles qui pourraient affecter votre entreprise après un incident de cyber-sécurité. La plupart des gens qui en sont aux premières étapes de l'apprentissage de la cyber-assurance sont surpris d'apprendre à quel point les effets négatifs d'une atteinte à la sécurité peuvent être importants. Après avoir pris connaissance des garanties offertes par votre contrat d’assurance cyber, vous réaliserez combien une cyberattaque peut impacter votre entreprise. La bonne nouvelle, c'est que des spécialistes des risques d’entreprise ont fait le travail d'imaginer l’ensemble des scénarios négatifs possibles en cas de cyber attaque sur votre entreprise en proposant un contrat d’assurance qui vous protège.
La mauvaise nouvelle est que vos contrats d’assurance traditionnels ne vous couvrent généralement pas pour ce type de risque, la seule alternative étant de souscrire un contrat de cyber assurance dédié.
La première chose à savoir en ce qui concerne un contrat d'assurance cyber est qu’il vous protège des conséquences financières :
- en cas d’atteinte au système d’information
- en cas d’atteinte aux données personnelles
… consécutive à un acte de malveillance informatique ou à une erreur humaine.
Votre entreprise doit alors faire face à des frais et pertes qui sont couverts par le contrat de cyberassurance. Ces frais et pertes se décomposent comme suit :
- les frais et pertes lié à la gestion de la crise
- les frais engagés pour le traitement de la situation
- les frais engagés relevant des atteintes aux systèmes et aux données
- les pertes d’exploitation et frais supplémentaires d’exploitation consécutifs à une interruption de la production / du site internet … générant une perte de marge brute.
Plus précisément :
Frais liés à la gestion de crise
Votre entreprise est attaquée ou est victime d’une violation de son système d’information …. Qu’allez-vous faire ? Si vous êtes assuré, vous appelez un numéro d’assistance Cyber 24 H/ 24H - 7J/7J mis à votre disposition par votre assureur. Des experts en cyber sécurité spécialistes des gestions d’urgence accompagnent vos prestataires informatiques, vos équipes informatiques afin de neutraliser la cyber attaque et de limiter sa propagation à des tiers et au sein de votre système d’information.
- Les coûts d’investigation informatique réalisée par un consultant en cyber sécurité mis à votre disposition par la Compagnie d’assurance.
- Les frais de consultant juridique afin de vous aider dans la détermination de vos obligations réglementaires
Frais de remise en état de votre système d’information / de vos données informatiques
Votre contrat d’assurance cyber vous couvre également pour les frais informatiques liés à la restauration de votre système d’information et de vos données, à la décontamination de programmes informatiques malveillants (« malware »).
Frais liés à l’entrée en vigueur du RGPD
Votre contrat de cyber assurance fonctionne comme une assurance RGPD. Ainsi en cas de violation des données personnelles dont vous avez la responsabilité, vous devez faire face à des frais juridiques, d’experts informatiques afin de justifier auprès de la CNIL que vous avez pris soin de protéger les données confiées.
Les frais de notification importants et imposés par le RGPD sont également couverts.
Les pertes d’exploitation et frais supplémentaires d’exploitation
Votre contrat de cyber assurance vous couvre également des pertes de marge brute d’exploitation subie directement par l’entreprise du fait de l’interruption de ses activités consécutivement à la survenance d’une cyber attaque.
Cette garantie vous couvre si votre entreprise est incapable de fonctionner normalement (site e-commerce déconnecté, arrêt de la production, absence de messagerie pour une société d’avocats…. ). C'est important parce que les cyberattaques ciblent souvent les sites e-commerce, la technologie utilisée dans les systèmes de production et de communication. Pour de nombreuses entreprises, une courte interruption du système d’information au-delà de 12 heures peut se chiffrer en dizaines de milliers d’euros…. au-delà de 24 / 48 heures les conséquences financières deviennent très importantes.
Les conséquences financières de la mise en cause de votre RC CYBER
Enfin la couverture s'étend aux effets des retombées d'une cyberattaque sur les tiers (Responsabilité civile cyber). Il peut s'agir, par exemple, d'un client qui vous poursuit en justice pour avoir divulgué ses dossiers privés, ses brevets …
Comment lire et comprendre un contrat de cyber assurance ?
Vous n’êtes pas certain de savoir contre quoi votre entreprise devrait se protéger. Quelles sont les garanties essentielles pour votre entreprise ? Voici un glossaire des termes et des types de couverture que vous rencontrerez dans la plupart des polices de cyber assurance.
Analyse forensic
Cette garantie vous couvre si vous devez mener une enquête avec des experts informatiques afin de déterminer quels renseignements ont été perdus ou volés, l'étendue des dommages et la durée pendant laquelle les données de votre entreprise ont été exposées. Ceci est très important parce que la CNIL avec l’entrée en vigueur du RGPD, peut vous demander de vous justifier après une cyberattaque et une probable atteinte à vos données personnelles.
Votre entreprise devra également savoir exactement ce qui s'est passé pour pouvoir réagir et restaurer rapidement son système d’information.
Monitoring
Vos données ont été piratées. Elles comprenaient des numéros de sécurité sociale, des numéros de carte de crédit, des informations personnelles comme les dates d’anniversaire, les adresses ou d'autres renseignements personnels privés qui pourraient permettre à des cyber criminels d'ouvrir des comptes en leur nom, de faire des achats avec les cartes volées, de mettre en place une arnaque…. Votre entreprise engage une société dont la mission est de faire de la surveillance sur le Dark Web afin de vous alerter en cas d’utilisation frauduleuse de données. - C'est le moins qu'une entreprise puisse faire pour s'excuser d'avoir perdu ou divulgué des informations personnelles….
Frais de notification / assurance RGPD
Dans l’éventualité d’une violation de vos données personnelles, si votre entreprise divulgue, se fait voler, détruit, rend indisponible des informations personnelles dont elle a la responsabilité (données clients, prospects, fournisseur, employés) , la CNIL dans le cadre de l’ application du Règlement Général de la Protection des Données peut obliger votre entreprise à informer l’ensemble de vos clients concernés par la violation de la nature et de l’ampleur de la violation. C'est important parce que vos clients ont le droit de savoir si eux-mêmes ou leur entreprise pourraient être à leur tour mis en danger, en raison d'une brèche dans votre infrastructure informatique. Ils devront peut-être prendre des mesures pour se protéger. Ces frais de notification couvrent les frais de traitement, d’affranchissement, y compris les frais et dépenses engagées pour recourir à un centre d’appel.
Frais de restauration des données
Cette garantie vous couvre si une violation ou un piratage informatique entraîne la perte de données ou leur indisponibilité dans le cas d’une attaque par ransomware (ou rançongiciel). Des consultants informatiques après avoir nettoyé votre système d’information vont procéder à la réinstallation des données et logiciels à partir d’une sauvegarde de vos données qui n’aura pas été corrompue.
Juridique / Contentieux
Cette garantie vous couvre si un client ou un groupe de clients vous poursuit en justice pour avoir accidentellement perdu ou exposé des renseignements confidentiels les concernant. - C'est important parce que les coûts pour embaucher un avocat, payer des dommages-intérêts ou des jugements, ou régler une poursuite judiciaire peuvent suffire à forcer votre entreprise à fermer ses portes.
Cyber Extorsion
Vous êtes couvert contre les attaques de type « Ransomware » ou « rancongiciel » . Si des tiers (cybercriminels) infiltrent vos systèmes avec des logiciels de cryptage, vos données deviennent inexploitables. Ces cyber criminels exigent le paiement d’une rançon (une somme d'argent en crypto monnaie) en échange d’une clé de décryptage, mais également pour les empêcher de divulguer ou de supprimer des informations sensibles.
La Compagnie d’assurance va vous accompagner dans la communication avec les cybercriminels et décider avec vous de ce qu’il convient de faire… Paiement de la rançon (pris en charge par certaines compagnies), réinstallation des données si vos sauvegardes sont exploitables et non pas été elles-mêmes cryptées par les cyber-pirates.
E Communication
Cette garantie vous couvre si une violation est suffisamment grave pour exiger que votre entreprise engage une équipe en e- communication pour vous accompagner dans la communication auprès du public. - C'est important parce que les cyberattaques peuvent nuire gravement à l'image publique d'une entreprise. La communication de crise est importante. Si une attaque se produit, vous aurez besoin de toute l'aide possible. Cela permettra de garder vos clients et partenaires calmes, de regagner leur confiance et de les fidéliser.
Transmission de contenu préjudiciable ou malveillant
Cette garantie vous couvre si vos systèmes sont infectés par une attaque et qu'un virus ou un autre logiciel malveillant se propage à son tour par votre intermédiaire à vos clients. - C'est important parce que votre entreprise pourrait être tenue responsable de la transmission d'un contenu préjudiciable.
Diffamation
Cette garantie vous couvre si les cybercriminels diffament, calomnient ou nuisent à la réputation de votre entreprise lors d'une cyberattaque. - C'est important parce que les coûts de communication dans des cas de diffamation peuvent être exorbitants. Une réputation ruinée peut à terme, forcer votre entreprise à fermer.
En général, la cyberassurance couvre les attaques délibérées malveillantes de tiers ou les fuites accidentelles commises de manière involontaire par un tiers (salarié de l’entreprise par exemple).
Quelles sont les principales exclusions des contrats de cyber assurance ?
Il existe un certain nombre de scénarios qui ne sont généralement pas couverts par les polices d'assurance cyber.
Dommages matériels et dommages corporels
Les dommages matériels (panne serveur) ou corporels ayant des conséquences (directes ou indirectes) sur le système d’information ne sont pas considérés comme des événements susceptibles de déclencher une garantie "cyber".
Comportement imprudent
Imaginons que vous ou quelqu'un de votre organisation divulgue délibérément de l'information ou enfreint délibérément la loi. Votre entreprise ne sera probablement pas couverte par la plupart des polices d'assurance cyber.
Cyber fraude
Certaines cyberattaques impliquent des transferts non autorisés de fonds provenant de l'entreprise attaquée, occasionnant des pertes financières importantes. Certaines polices d’assurance cyber couvrent ce risque, la plupart ne le font pas. Prenez le temps de vérifier ce point.
Effet du courant
Supposons que votre alimentation électrique tombe en panne, qu'un disque dur tombe en panne ou que votre système informatique subisse d'autres pannes électriques ou mécaniques. Ce type de garantie n’est pas couvert par une police d'assurance cyber.
Propriété intellectuelle
Il s'agit d'un autre type de couverture qui est généralement exclu des contrats de cyberassurance. Vérifiez vos conditions pour voir si la perte de secrets commerciaux, de brevets ou d'autres droits de propriété intellectuelle est couverte.
Comment choisir un bon contrat d’assurance cyber ?
Pour trouver le bon contrat de cyberassurance pour votre entreprise, vous devez d'abord savoir à quoi vous attendre lorsque vous allez commencer à interroger votre courtier ou agent général. Le risque cyber est difficile à quantifier pour les compagnies d'assurance pour différentes raisons.
Premièrement, le risque peut varier considérablement d'une industrie à l'autre.
Deuxièmement, les entreprises d'industries similaires peuvent avoir des niveaux d'exposition très différents en raison de pratiques internes différentes. Troisièmement, le marché manque de données vérifiées sur la fréquence et la probabilité des cyberattaques, car elles sont souvent difficiles à identifier. De plus, ces attaques se produisent souvent sans qu'on ne les découvre.
En raison de ces facteurs, de nombreuses compagnies proposant des contrats de cyber assurance vous demanderont de participer et de vous conformer davantage à leur critères de souscription qu'elles ne le feraient pour une police d'assurance responsabilité civile traditionnelle. Votre organisation devra remplir un questionnaire qui permettra d’avoir la juste vision de son exposition aux risques cyber. Vous devrez vous engager à poursuivre ce travail de cyber-résilience. Enfin sur les risques importants, la plupart des compagnies de cyberassurance voudront s'assurer que vous avez mis en place un audit préalable (pentest, scan de vulnérabilité, audit des pratiques internes) avant de souscrire une police d'assurance pour votre entreprise.
Nos principaux conseils à mettre en place.
- Faites appel à un spécialiste de la cyberassurance qui sera à même d’identifier vos principaux risques potentiels en matière de cybersécurité et de vous expliquer les enjeux financiers et de vous présenter différents contrats d’assurance cyber.
- Corrigez le plus grand nombre possible de failles identifiées, notamment grâce au déploiement de mises à jour logiciel et système régulières.
- Formez vos employés et sensibilisez-les aux risques cyber.
- Documentez un plan de secours informatique pour faire face aux cyberattaques.
- Détectez les menaces (mise en place de logiciels ad hoc) et soyez à l'affût des attaques afin de détecter rapidement une atteinte à la protection des données et de minimiser les dommages.
En conclusion
La réalisation d'une évaluation des risques et l'élaboration d'un plan d'intervention en cas d'attaque cyber vous permettront de réduire l’impact financier d’une cyber attaque. Il vous donnera également un aperçu utile des investissements en cyber sécurité que votre entreprise devrait réaliser. Si votre entreprise réalise un CA < 50 000 000 € , gardez à l'esprit que vous n'avez pas besoin d'effectuer toutes les étapes ci-dessus avant de souscrire un contrat de cyber assurance. Appuyez-vous sur un spécialiste comme CYBER COVER qui vous conseillera au mieux en fonction de votre entreprise et qui se chargera d’interroger les différentes compagnies d’assurance en votre nom.
Les cyberattaques constituent aujourd’hui une réelle menace pour la sécurité et la santé des entreprises. Les risques liés à la cyber-sécurité augmentent de jour en jour, deviennent de plus en plus complexes, protéiformes. Vous avez le sentiment d’être à l’abri, de ne pas être concerné, de ne pas être la cible ? Détrompez-vous ! Les attaques touchent toutes les cibles, toutes les entreprises de toutes tailles (près de 70% des cyber attaques en France concernent des PME….).
La souscription d'un contrat de cyber assurance n'a pas besoin d'être un processus déroutant ou stressant. Au contraire vous avancerez dans une démarche de cyber maturité et protégerez de manière efficace votre entreprise face à un risque grandissant. Nos conseillers se tiennent à votre disposition pour vous accompagner dans cette réflexion. N’attendez plus !