L’assurance Cyber en résumé

Les entreprises se plaignent souvent du fait que les produits d’assurance cyber sont compliqués, peu clairs, difficiles à comparer et que les contrats d’assurance cyber comportent des exclusions importantes. Le marché de l’assurance cyber en France progresse rapidement, mais il est encore en retard par rapport à des pays comme les États-Unis. Cependant les temps changent - nous avons déjà constaté une augmentation significative du nombre de cyber attaques ou de violations des données personnelles signalées en France, comme le montre la progression des déclarations enregistrées par la CNIL.

Le but de cet article est de vous expliquer comment l’ assurance cyber - ce qu'elle est, ce qu'elle couvre, les limites et les principales exclusions - et comment déterminer si elle vous convient.

Les points clés à retenir

Tendances

  • L'introduction d'exigences de notification obligatoire des violations de données incitera les sociétés concernées à publier des informations relatives à ces violations dans leurs rapports financiers.
  • La possibilité de saisir et de modéliser des scénarios à partir de ces données, ainsi que des données sur les sinistres survenus dans le cadre de polices d'assurance souscrites à ce jour, permettra d'affiner les produits d'assurance en ligne, ce qui pourrait à terme avoir une incidence sur la tarification.
  • Les entreprises exigeront une couverture plus complète pour tenir compte d'un plus large éventail de risques liés à l’assurance cyber, et les assureurs commenceront à exclure explicitement la couverture de ces risques dans d'autres polices d'assurance générale.
  • Nous assisterons à une adoption accrue de la cyberassurance, d'autant plus que les entreprises et les organismes publics exigent de plus en plus que leurs fournisseurs souscrivent une telle assurance.
  • Nous assisterons également à une augmentation des demandes d'indemnisation sur les polices cyberassurance face à une augmentation exponentielle des attaques.
  • La cyberassurance doit être un produit de dernier recours - elle ne peut se substituer à une bonne gestion des risques
  • L’assurance cybercriminalité peut ne pas couvrir les cyberincidents pour lesquels aucune mesure de précaution n'a été prise, ni tous les coûts consécutifs à une violation de données. Le Lloyd's a récemment modélisé une attaque malveillante sur un fournisseur de services Cloud comme ayant entraîné des pertes économiques potentielles d'environ 4,6 milliards de dollars US (pour un événement important) à 53,1 milliards de dollars US (pour un événement extrême).Dans ces scénarios, le Lloyd's a estimé que les pertes assurées se situeraient entre 620 millions de dollars US (pour une perte importante) et 8,1 milliards de dollars US (pour une perte extrême), ce qui représente un déficit d'assurance de 4 milliards de dollars US (pour une perte importante) et de 45 milliards de dollars US (pour une perte extrême).

Comment choisir une cyberpolice d'assurance ?

  • Concentrez-vous sur l'impact potentiel de la violation sur votre entreprise (y compris ses systèmes et ses opérations), plutôt que sur les types d'attaques potentielles auxquelles elle pourrait être confrontée. Il est essentiel de comprendre votre exposition spécifique aux risques et les conséquences financières pour votre entreprise
  • Assurez-vous que votre produit d'assurance est adapté à votre exposition
  • Comprenez précisément les pertes directes (dommages subis), le volet assurance RC cyber couvert par la police, ainsi que les limites et les exclusions.
  • Examinez ces questions en détail avec votre courtier en assurance, en faisant appel de préférence à un courtier spécialisé sur ces risques.
  • Lors de l'évaluation de votre risque, les souscripteurs des compagnies d’assurance examineront toute une série d'informations sur votre entreprise, notamment la quantité et le type de données stockées, les mesures de cyber sécurité déployées afin de protéger votre entreprise des cybercriminels (y compris les dépenses de sécurité informatique). Les assureurs examineront également le lieu où sont conservées vos données, vos mesures de sécurité, vos accords contractuels avec des tiers, la culture de votre entreprise en matière de sensibilisation aux risques cyber, vos outils de pilotage, ainsi que l’antériorité de votre entreprise face aux risques cyber.

Qu’une entreprise souhaite souscrire ou non un contrat d’assurance cyber, si elle est exposée à des risques cyber, il est essentiel qu’elle procède à cette analyse, afin de comprendre le risque financier auquel elle s’expose.
Il est essentiel de comprendre que même les polices d'assurance les plus complètes ne vous couvrent pas pour toutes les pertes qui pourraient être subies à la suite d'un incident de type violation de données ou  atteinte à votre système d’information.

De nombreuses polices d’assurance exigent que vous informiez votre assureur dès que possible après avoir pris connaissance d'une cyber attaque, même si aucun préjudice n'a été subi. Certaines compagnies d’assurance ne sont pas obligés de verser des indemnités au titre de la police s'ils n'ont pas été rapidement informés de la violation. Prenez connaissance des principales exclusions et des évènements et dépenses couverts par la police d’assurance.

Qu'est-ce que l’assurance cyber ?

L’assurance cybercriminalité a été conçu pour venir en complément des contrats d’assurance existants et apporte :

Cyber assistance

Une assistance technique informatique en cas de cyberattaque ou de violation de votre système d’information. Cette assistance disponible 24-24 h a pour but de vous aider dans la gestion de la crise, afin de vous aider à limiter les effets négatifs de la cyberattaque et d’accompagner vos équipes informatiques dans la restauration des données.

Dommages subis

La prise en charge des dommages subis par votre organisation : pertes d’exploitation liées à l'interruption de l'activité, notamment en raison de l'arrêt d'un réseau ou d'un système informatique,

Le coût des analyses forensic visant à identifier ce qui s'est passé, la source d'une cyber-attaque, l'étendue des dommages ou des risques, et la manière de contenir, d'atténuer et de réparer les dommages ;

La prise en charge des frais d’accompagnement par des professionnels (juristes, spécialistes des relations publiques et des technologies de l'information)

Les frais liés au RGPD, notamment les coûts liés à la notification des personnes touchées par une violation de données et au respect des exigences réglementaires

Les frais de monitoring sur le Dark web, notamment pour les personnes potentiellement concernées ;

En cas de ransomware (rançongiciel), le paiement de rançons aux pirates informatiques afin de restituer, de déverrouiller ou de "restaurer" les données de votre entreprise

L'atteinte à la réputation et les coûts de gestion d'une crise de réputation ;

Les frais de reconstitution en cas de perte de données et les coûts de réparation des dommages causés, la réparation et la restauration des systèmes qui ont été endommagés par des actes de malveillance

Responsabilité civile cyber à l'égard des tiers

Les responsabilités envers les tiers peuvent inclure :

- la responsabilité en cas de négligence pour ne pas avoir correctement protégé les informations personnelles contre les cyberattaques ou les utilisations abusives ;

- la responsabilité en cas de conduite trompeuse ou mensongère pouvant résulter d'un manquement à la politique de confidentialité de l'entreprise ;

- les préjudices causés à des tiers consécutifs à l’intrusion dans votre système d’information ou diffusion accidentelle de données personnelles

Limites et exclusions

Sachez que les polices d'assurance cybernétique peuvent contenir des limites susceptibles de restreindre l'utilité de la police pour votre organisation, notamment :

  • des limites territoriales
  • des limites quant au périmètre assuré (cf exclusion IOT  …)
  • limites de date rétroactives : certaines polices peuvent limiter la couverture aux événements assurés commis pour la première fois à une date donnée ou après cette date - et ne pas couvrir les événements survenus avant cette date, même s'ils n'étaient pas connus de vous.

Comprendre le risque

Pour comprendre le profil de risque de votre organisation, les pertes financières potentielles, et savoir si l’assurance cyber est un moyen de transférer une partie des risques cyber, posez-vous les questions suivantes :

  • Quels types de données votre organisation collecte-t-elle ?
  • Etes-vous suffisamment sécurisé ?
  • Comment ces données sont-elles utilisées et stockées ? Où sont-elles stockées ?
  • Quelles mesures de sécurité votre organisation prend-elle pour protéger ces données ?
  • Que se passe-t’il si votre système d’information n’est plus disponible pendant 7 jours ??
  • Quelles seraient les conséquences commerciales potentielles si ces données étaient compromises ?
  • Dans quelle mesure la sensibilisation à la protection de la vie privée et le respect de la réglementation font-ils partie du cadre global de gestion des risques de votre organisation ?
  • Quels sont les termes de vos accords contractuels avec les tiers qui ont accès à ces données?

La plupart des compagnies d’assurance exigeront d'une organisation qu'elle respecte des normes de sécurité minimales avant de lui permettre de bénéficier d'une couverture (antivirus, mise à jour logiciel régulière, parefeu) et surtout une sauvegarde à minima hebdomadaire déconnectée et ou externalisée. D'autres assureurs peuvent exiger que l'organisation se conforme aux obligations d'audit et de conformité en cours, afin de s'assurer que la politique reste à jour.

Si vous n'êtes pas sûr que l’assurance cyber soit adaptée à votre entreprise, il peut être utile de vous adresser à un courtier en assurance qui connaît bien les risques cyber à l’image du cabinet CYBER COVER (www.cyber-cover.fr), un des spécialistes de l’assurance cyber en France et qui vous aideront à quantifier le risque financier auquel votre entreprise est exposée, comprendront vos besoins spécifiques et vous proposeront un contrat d’assurance cyber sur mesure.

Vous souhaitez nous poser une question ?
L'équipe Pep's intervenant dans la ville de Montpellier
10 ans d'expérience en développement Web,
se tient à votre disposition pour toute question
sur le sujet : Création de site Internet à Montpellier

Contactez-nous

Voir les avis de nos clients