Avec la forte augmentation des attaques, souscrire une assurance cyber devient incontournable pour les entreprises, et fait désormais partie des recommandations de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information). Toutes les entreprises sont aujourd'hui dans le viseur des cybercriminels et doivent considérer une assurance cyber. Mais par où commencer pour choisir ? Voici ce que doit contenir votre produit d'assurance.
Check-list des 10 must have à vérifier au moment de comparer les offres d’assurances pour son entreprise :
Un des piliers de l’assurance cyber, tel qu’établi par l’ANSSI, est la fonction de prévention que joue l’assureur. Celui-ci doit être en mesure d’établir un diagnostic et d’accompagner l’entreprise dans la protection de son infrastructure contre les attaques. Pour ce faire, il est recommandé à l’assureur de mêler outils de cyber-protection et assurance pour couvrir au mieux son client.
L’objectif : savoir évaluer et diminuer au maximum le risque d'intrusion et d'accès aux données sensibles.
Afin d’accompagner l’entreprise dans son diagnostic et sa protection contre le risque cyber, l’assureur peut mettre à disposition des outils qui le permettent.
Chez Stoïk, pour repérer les failles techniques ou humaines courantes qui pourraient être exploitées par des hackers, les équipes cyber ont développé 4 outils :
Il est essentiel que le cyber-assureur puisse intervenir rapidement auprès de l’entreprise, en lui apportant son expertise pour l’aider à sortir de la crise.
L’objectif : redémarrer au plus vite l’activité pour réduire le montant des pertes.
Pour être en mesure de réagir rapidement, le cyber-assureur doit tenir une hotline à disposition permanente des entreprises qu’elle accompagne, afin que celles-ci puissent l’avertir le plus rapidement possible en cas de suspicion d’attaque.
L’assureur doit ensuite faire bénéficier l’entreprise victime de l’action d’experts en cybersécurité pour mener l’enquête technique. L'équipe de réponse à incident doit être disponible pour repérer l'attaquant et l'exclure du système informatique au plus vite.
À la suite de leur enquête, les experts techniques doivent mener les actions adéquates pour remettre le plus rapidement possible le système informatique en état. En cas de perte de données, il est également important que l’assureur couvre les frais liés à leur reconstitution – par exemple à partir de la dernière sauvegarde réalisée sur un support non connecté.
La couverture des pertes financières, directes et indirectes, qui résultent de l’attaque, doivent être prises en charge par l’assurance cyber.
L’objectif : limiter le montant des dommages pécuniaires pour qu’ils ne mettent pas en danger l’activité de l’entreprise.
Suite à une attaque, l’entreprise peut être dans l'obligation d'arrêter son activité pendant plusieurs jours voire plusieurs semaines. Le cyber-assureur doit prendre en charge la perte de revenus engendrée par cette paralysie, en fondant son calcul sur la marge brute d’exploitation que l’entreprise aurait dû réaliser, par exemple selon son bilan de l’an passé ou sur les projections de croissance. Cette protection est essentielle, car c’est elle qui évite la faillite à une entreprise.
Les frais d’exploitation sont les coûts de gestion de l’entreprise (loyer des locaux, matériel informatique etc.). Ils représentent une charge importante, c’est pourquoi il est important que la cyber-assurance couvre également les frais supplémentaires d’exploitation ; c’est-à-dire toute dépense supplémentaire rendue nécessaire par l’attaque, par exemple l’achat de nouveau matériel informatique.
Pour offrir une couverture complète, l’assureur doit aussi prendre en charge les frais engagés lors d’un détournement de fonds, suite à une intrusion dans le système informatique de l’entreprise.
Le rançongiciel ou ransomware est l'attaque la plus courante. Il n'est généralement pas recommandé de payer la rançon, en tout cas pas en premier recours. À partir du moment où les experts considèrent que la perte d'exploitation sera plus élevée si la rançon n'est pas payée, il est dans l'intérêt de tous (entreprise et assureur) de payer la rançon. Dans le cas du paiement en dernier recours, l'assureur indemnise la rançon à l'assuré.
En cas d’attaque qui mène à une fuite de données, l’assureur prend en charge les frais de justice si une poursuite est intentée contre l’entreprise par un tiers.
L’objectif : couvrir les éventuels frais de justice de l’entreprise et limiter la propagation du dommage.
En cas de fuite de données avérée, les experts juridiques de l’assureur doivent la notifier auprès de la CNIL – une démarche rendue obligatoire par le RGPD – et surtout garantir un véritable accompagnement juridique de l’entreprise, dans le cas où ses clients, partenaires ou fournisseurs se retourneraient contre elle.
En cas de réclamation, ou d’action en justice intentée suite au transfert d’un virus du système informatique de l’entreprise attaquée à celui d’une autre (par exemple par l’envoi de mails vérolés), le cyber-assureur doit couvrir les frais de défense de l’entreprise qu’elle protège, et les éventuelles conséquences pécuniaires qui en résulteraient.
Souscrire à une assurance cyber ne s’improvise pas : celle-ci doit répondre aux enjeux de sécurité spécifiques d’une entreprise. S’il n’y a pas de risque zéro, il est tout de même possible de le diminuer fortement en optant pour un modèle 2 en 1, qui ne se contente pas de couvrir les conséquences d’une attaque mais diminue aussi les chances pour que cette attaque réussisse.
Le marché des assurances cyber étant à la fois nouveau et complexe, trouver la couverture appropriée demande une vraie expertise ; c’est pourquoi l’ANSSI a émis la recommandation de recourir aux services d’un courtier d’assurance. Intermédiaire précieux pour l’entreprise, le courtier va l’aiguiller dans le choix de son assurance et restera à ses côtés par la suite. En cas d’attaque, il sera ainsi informé et suivra chaque étape, de la réponse à l’incident jusqu’au dédommagement des pertes.
Sources :