Fondamentaux

Les cyberattaques menacent les données des entreprises, mais également leurs ressources financières. Connaissez-vous l’impact budgétaire que peut avoir une cyberattaque sur une PME ? Entre l’arrêt de l’activité, la demande de rançon d’un ransomware et l’investissement dans des outils de défense, la cybersécurité impose des coûts importants aux entreprises. Pour limiter les risques, vous pouvez, voire, vous devez, souscrire une cyber assurance pour vous protéger. 

Qu’est-ce que la cyber assurance ?

Une cyberassurance, aussi appelée assurance contre les cyber risques est une garantie que peuvent souscrire les entreprises pour limiter les risques d’une cyberattaque. Ce contrat vous offre une protection contre les incidents de cybersécurité et permet d’en soulager les coûts financiers. La cyber assurance couvre votre responsabilité en cas de vol de données de vos clients. Elle vous aide à supporter financièrement les éventuels frais occasionnés par la plupart des incidents de cybersécurité.

La cyber assurance modère les conséquences financières et limite vos pertes.

Comment être assuré en cybersécurité ?

En matière de cybersécurité, les entreprises se prémunissent contre les cyberattaques en mettant en place une série de processus de défense. Il s’agit d’outils de détection contre l’ensemble des menaces actuelles. La recherche constante des vulnérabilités par des audits, orchestrés par des experts, est vivement recommandée, voire rendue obligatoire, par les compagnies d’assurance.

L’adhésion à une cyber assurance n’est possible que si vous disposez d’une politique de sécurité fiable. Votre niveau de protection contre les menaces et les risques d’attaques influence le coût de votre police. Les assureurs sont en droit de refuser les entreprises dont la stratégie en matière de cybersécurité informatique est inexistante.

À qui s’adresse la cyber assurance ?

La cyber assurance s’adresse à toute entreprise s’occupant de la création, de la gestion et du stockage de données confidentielles de clients. En cas d’accident majeur, l’entreprise peut être tenue pour responsable du vol d’informations. Quelle que soit la taille de votre entreprise, vous pouvez souscrire un contrat pour vous protéger des impacts d’une attaque sur votre réseau. La compromission de l’activité face à un vol de données ou un incident technique génère des coûts qu’aucune entreprise ne peut se permettre d’engager.

Votre responsabilité est remise en question lors d’une cyberattaque. Une mauvaise gestion de votre sécurité informatique, la non-conformité de vos outils peuvent vous porter préjudice. La cyber assurance intervient pour assurer votre défense en cas de litige avec les autorités et vos clients.

Pourquoi prendre une cyber assurance ?

L’intérêt d’adhérer à une cyber assurance est multiple. Elle sert avant tout à protéger votre entreprise et à perpétuer votre activité, même en cas d’intrusion cybercriminelle.

Un accompagnement par des experts en cas de gestion de crise

Peu d’entreprises disposent aujourd’hui d’équipes formées contre les cyberattaques. L’une des garanties contenues dans une police de cyber assurance comprend un accompagnement complet. Si votre société est victime d’une intrusion malveillante, votre assurance dépêche des experts pour vous aider à traverser cette crise.

Vous pouvez bénéficier d’experts en cybersécurité dont la mission consiste à analyser l’intrusion. Ils sécurisent votre réseau informatique et s’occupent de récupérer vos données selon votre situation. Ils vous conseillent également sur la négociation de la rançon en cas de ransomware.

Vous pouvez également profiter de l’expertise d’une équipe de communication. Elle vous aide à informer vos clients et à travailler sur l’image de votre entreprise. Des experts juridiques vous conseillent sur la marche à suivre en cas de dépôt de plainte.

Une couverture des coûts liés au vol des données 

L’entreprise peut être jugée responsable en cas de vol de données. Cet état de fait entraîne des coûts. Vous devez vous acquitter d’éventuelles amendes sur la non-conformité de vos processus de cybersécurité. Vos clients peuvent déposer plainte contre vous : vous devez faire face à des réparations financières selon la nature de la perte. Les clients ne sont pas les seuls à remettre en question votre cyber-responsabilité. La CNIL peut également vous imposer une sanction économique.

Une couverture contre les dommages immatériels et matériels après une attaque cybercriminelle

Ces coûts financiers s’ajoutent aux réparations que vous devez opérer sur vos systèmes. La cyber assurance couvre une partie de vos dommages immatériels ainsi que vos frais générés après un arrêt de votre exploitation. Vous devez en effet prévoir de nouveaux investissements pour réparer ou remplacer vos systèmes infectés. Une partie des frais de votre perte d’exploitation est prise en charge par votre assurance. Vous préservez ainsi votre trésorerie pour conserver le fonctionnement de votre société.

Une assurance spécifique contre les cyberattaques

Vos contrats d’assurance traditionnels, comme l’assurance responsabilité civile générale, ne traitent pas les risques ni les dommages liés à une cyberattaque. Vous n’avez donc aucun recours si vous êtes la victime d’un cybercriminel. Consultez l’assurance de votre société : vous ne disposez d’aucune garantie en matière de cybersécurité. Une cyber assurance est destinée à prendre en charge la totalité ou une partie des frais que peut induire un piratage numérique.

Que couvre une assurance cyber risques ?

Le niveau de couverture d’une cyber assurance dépend des garanties présentes dans le contrat. Toutes les compagnies ne proposent pas les mêmes couvertures. Avant de signer, demandez à votre courtier des devis complets pour choisir vos options.

Les garanties traditionnelles d’un contrat de cyber assurance

De manière générale, votre contrat de cyber assurance couvrent : 

  • le vol de données et la récupération par des équipes d’experts ;
  • la baisse de revenus générés par l’arrêt temporaire de votre activité ;
  • la perte financière liée à une demande de rançons ou à une fraude informatique.

Lors de la souscription de votre assurance cyber risques, vérifiez le niveau de couverture financier que propose le contrat. Les coûts d’un incident cybercriminel peuvent atteindre des sommes astronomiques. Il est donc important que vous soyez couvert, même pour une attaque de faible impact.

Une couverture contre les risques d’attaques les plus répandues

Vous devez également vérifier le type d’attaque pris en charge par votre cyber assurance. Le phishing, les attaques par ransomware, l’attaque DDoS, le vol de données clients sont les plus courants. Ces techniques offensives sont répandues et facilement utilisées par des hackers, même les moins expérimentés.

Votre assurance cyber risques doit être en mesure de vous protéger contre les menaces informatiques les plus courantes.

Ce que ne couvre pas votre assurance cyber risques

Pour profiter de la couverture de votre cyber assurance, vous devez être actif dans la fiabilité de vos systèmes d’information. Par exemple, votre assurance ne couvre pas les attaques en cas de défaillance de sécurité. Il vous revient de mettre à jour vos outils et de corriger toute faille de sécurité détectée. En cas de négligence avérée, votre assurance n’intervient pas en cas d’incident.

La cyber assurance ne couvre pas les coûts relatifs à la mise à jour de vos systèmes d’information. Les investissements liés à la cybersécurité (tant en matière d’outils que d’ingénierie sociale) font partie de vos objectifs internes. Le renforcement de la sécurité doit faire l’objet d’une politique de votre entreprise. L’assurance n’intervient qu’en cas de réparation. Enfin, si l’attaque émane d’un employé de la société, elle n’est pas non plus prise en charge.

Combien coûte une assurance en cybersécurité ?

Le prix d’une police cyber risques varie d’une compagnie à l’autre. Son coût change en fonction des garanties souscrites, mais aussi de différents critères concernant votre société.

Les critères des compagnies pour déterminer le prix de votre assurance cyber risques

Le secteur d’activité est l’un des critères les plus déterminants dans le coût de votre garantie. Le domaine de la santé et des finances sont, par exemple, des secteurs à risques. Ils disposent et traitent d’un important flux de données. D’autres activités, comme la vente d’armes, sont exclues par les compagnies.

La compagnie étudie également le profil de risque de votre société en matière de stratégie en cybersécurité. Si vous appliquez des process stricts (audits, mises à jour, outils d’identification et d’accès aux données optimisés, etc.), vous gagnez la confiance de votre compagnie. En revanche, si votre profil de risque est trop élevé, le coût de votre contrat augmente. Vous pouvez également être exclu de votre assurance.

D’autres critères, comme la taille de l’entreprise, le nombre d’employés, les options, le plafond de garantie ou encore la franchise impactent le coût de votre contrat.

Estimation du plafond de garanties et coûts des assurances selon les profils des entreprises

Un plafond de garantie varie entre 100 000 et plus d’un million d’euros. Le choix du plafond dépend du chiffre d’affaires de l’entreprise. Plus celui-ci est élevé et plus le plafond de garantie l’est aussi.

Le prix d’une assurance cyber pour une petite entreprise démarre en moyenne autour de 40 euros. Les plus grandes entreprises et les secteurs à risques souscrivent des assurances à plus de 150 euros par mois.

Les attaques cybercriminelles concernent aujourd’hui toutes les entreprises. Une protection efficace opérée par les services SI internes et une cyber assurance sont complémentaires. Les enjeux d’une perte de données ou d’activité sont bien trop importants pour les ignorer. À la Cyber Management School, nous formons des experts en cybersécurité capables de vous accompagner dans ces nouveaux défis.