StoïkBlog
Assurance cyber

Pourquoi souscrire une assurance cyber ?

Leslie Fornero
Communication Manager
Dernière mise à jour :
28/03/2022

L’assurance cyber fait partie de la longue liste des assurances professionnelles qu’il est possible de souscrire pour protéger son entreprise. Elle couvre un risque très spécifique et de plus en plus fréquent : celui des cyberattaques. Qu’une entreprise dispose de données sensibles ou non, qu’elle soit connue ou non, qu’elle soit un grand groupe ou une PME, elles sont aujourd’hui toutes les cibles des hackers.

assurance cyber

L’assurance cyber, un incontournable pour protéger son entreprise

Un contexte propice aux cyberattaques

N’ayant pas encore un caractère obligatoire, l’assurance cyber se fait encore discrète chez les entreprises françaises, surtout chez les PME, qui pourtant sont de plus en plus victimes de cyberattaques.

En 2021, plus de la moitié des entreprises françaises déclarait avoir subi une attaque, 54% pour être exact (source 1). Sachant qu’un grand nombre d’entreprises ne porte pas plainte après une attaque, il est difficile de connaître le nombre réel de victimes qui pourrait s’avérer beaucoup plus important.

D’autres données montrent qu’une PME perd en moyenne 27% de son chiffre d’affaires (source 2) lors d’une attaque et que 60% d’entre elles déposent le bilan dans les 18 mois qui suivent (source 3).

Le contexte actuel est sans appel : il est aujourd’hui nécessaire pour toutes les entreprises de considérer la souscription à une assurance cyber.

Découvrez nos webinars sur le risque cyber
L'assurance cyber, le mécanisme d'une cyberattaque, la réponse à incident, des sujets pour vous familiariser avec le risque cyber
Découvrir

En cybersécurité, le risque zéro n’existe pas

Même si une entreprise dispose des meilleures technologies de protection et d’une hygiène cyber irréprochable, le risque zéro n’existe pas :

  • les attaquants développent des techniques toujours plus innovantes pour s’infiltrer dans le réseau d’une entreprise,
  • et surtout, le facteur humain reste le premier facteur de risque.

De nombreux rapports sont très clairs sur le sujet : la grande majorité des attaques réussissent via des mails de phishing. Il suffit d’un collaborateur qui transmet ses données d’authentification ou télécharge un fichier frauduleux pour que toute l’entreprise soit mise à mal.

Chiffre clé
73 % des attaques réussies résultent d’un phishing. Le phishing est le premier vecteur d’attaque en entreprise.

Aujourd’hui, la question n’est plus de savoir si une entreprise va se faire attaquer mais quand ?

Le prix de l’assurance cyber, toujours plus rentable par rapport au coût d’une attaque

Quand on sait que :

  • le coût médian d’une cyberattaque en entreprise en France est de 50 000€ ;
  • une PME perd environ 27% de son CA lors d’une attaque ;
  • 60% des PME ne se relèvent pas après une attaque ;
  • le nombre de cyberattaques ne cesse de croître.

Et que :

Il est évident que s’assurer contre le risque de cyberattaques est le meilleur investissement à réaliser.

Un devis en quelques clics
Stoïk propose une cyber-assurance à moindre coût à toutes les PME qui réalisent moins de 50 millions d'euros de CA
Générer un devis

En savoir plus sur la méthode de sélection et la quantification du risque cyber mise en place chez Stoïk.

Les avantages d’une assurance cyber en entreprise

L'assurance cyber permet d'être accompagné et couvert en cas de cyberattaque. Voici les bons réflexes à adopter en cas d'attaque ou de suspicion d'attaque en entreprise.

Être accompagné par des experts quand l’attaque survient

L’entreprise touchée par une cyberattaque doit tout d'abord avoir le réflexe de déconnecter les appareils touchés du réseaux internet et du réseau local, sans les éteindre pour garder des traces de l’attaque et permettre l’enquête. C’est le geste de premier secours à administrer en cas d’attaque informatique ou même simplement en cas de suspicion d’attaque.

Le second réflexe à réaliser presque en simultané et le plus rapidement possible : appeler le numéro indiqué par l’assureurt dans le contrat pour être mis en relation avec les experts. Il faut perdre le moins de temps possible pour démarrer l'enquête !

Bon à savoir
Le numéro d’urgence en cas de suspicion d’attaque est disponible 7j/7 24h/24.

Dans un premier temps, ce sont des experts techniques qui vont mener l’enquête pour confirmer ou non la survenue d’une attaque sur les appareils identifiés.

Si l’attaque est avérée, et qu’il s’agit d’une fuite de données, des experts juridiques sont mis à contribution pour la notifier auprès de la CNIL (obligation RGPD). Les frais de notification sont également pris en charge par l’assurance.

Enfin, si nécessaire, des experts en communication de crise peuvent être déployés pour aider l’entreprise victime à communiquer auprès de ses employés, de ses clients, prestataires ou encore fournisseurs, afin de maintenir un certain niveau de confiance.

Il est également fortement recommandé d’aller porter plainte en cas d’attaque, pour que celle-ci soit notifiée et prise en compte dans les statistiques mais aussi pour que la police puisse enquêter et faire des liens avec d’autres cyberattaques en cours ou à venir.

Fact
Beaucoup d’entreprises n’osent pas communiquer sur les attaques qu’elles subissent par peur de voir leur notoriété en pâtir.

Être pris en charge lorsque l’activité s’arrête

Durant toute la durée de l’attaque, l’activité de l’entreprise est mise à mal et doit s’arrêter le temps de comprendre la nature de l’attaque et de remettre en état le système informatique.

L’arrêt de l’activité peut durer entre quelques jours et quelques semaines. Pendant cette période, une PME peut perdre jusqu’à 27% de son chiffre d’affaires annuel. L’arrêt temporaire de l’activité peut être fatal.

L’assurance cyber souscrite va permettre de couvrir les frais de perte d’exploitation, ce qui peut dans beaucoup de cas faire éviter la faillite d’une entreprise.

Bon à savoir
L’assureur va faire une estimation de ce que l’entreprise aurait dû réaliser en CA durant la période d’arrêt de l’activité et rembourser la marge brute correspondante.

Être accompagné dans la remise en état du système informatique

Une fois l’attaque identifiée et neutralisée, les experts techniques vont tout mettre en oeuvre pour remettre en état le système informatique endommagé. Les dernières sauvegardes réalisées sur un support non connecté vont pouvoir faciliter cette tâche.

Important
Il est fortement recommandé de réaliser régulièrement des sauvegardes de données. Ainsi, en cas de ransomware, virus qui chiffre les données d’une entreprise, il sera possible de contourner le paiement de la rançon et de récupérer ses données sur ses propres sauvegardes.

Être couvert si un client ou un prestataire se retourne contre l’entreprise victime

Lorsque les données d’une entreprise fuitent et qu’il s’agit de données d’entités tierces (clients ou prestataires), celles-ci peuvent se retourner contre elle pour ne pas avoir su assurer la protection de leurs informations confidentielles.

Dans ce cas précis, l’assurance cyber propose de couvrir la responsabilité de l’entreprise en cas de fuite de données et met à disposition des experts juridiques.

Enfin, il peut arriver que le virus déployé au sein de la société victime soit transmis à une entreprise tierce (via des serveurs partagés ou un envoi de mails vérolés à toute la base de donnée par exemple). Dans ce cas précis, il s’agit de ce qu’on appelle la responsabilité civile transmission de virus.

En savoir plus sur la responsabilité du dirigeant et de l'entreprise en cas de fuite de données consécutives à une cyberattaque.

Bon à savoir
La RC transmission de virus est souvent couverte en option chez les assureurs. Elle est particulièrement intéressante pour les entreprises qui travaillent avec des prestataires externes.

Résumé des garanties d’une assurance cyber

Retrouvez la check-list des 10 indispensables d'une assurance cyber ici.

  Assurance cyber Allianz Assurance cyber AIG Assurance cyber Axa Assurance cyber Hiscox Assurance cyber Stoïk
Service d’urgence 7j/7 OUI OUI OUI OUI OUI
Intervention d’experts techniques, juridiques et en communication OUI OUI OUI OUI OUI
Remboursement des frais de notification OUI OUI OUI OUI OUI
Reconstitution du système informatique OUI OUI OUI OUI OUI
Remboursement de la perte d’exploitation OUI OUI OUI OUI OUI
Paiement de la rançon ? OUI NON OPTION OUI
Responsabilité civile produit OUI OUI OPTION OUI OUI
Cyber-fraude OUI OPTION OPTION OUI OPTION
Responsabilité Civile fuite des données OUI OUI OPTION OUI OUI
Responsabilité civile transmission de virus ? OPTION NON OPTION OPTION
Responsabilité civile média et propriété intellectuelle ? OUI OPTION OUI NON

En savoir plus sur le paysage de l'assurance cyber en France et à l'international.

La plupart des assureurs demandent aux entreprises de remplir un long questionnaire de cybersécurité pour vérifier leur éligibilité. C’est en effet le seul moyen pour elles d’évaluer le niveau de risque de l’entreprise demandeuse.

Aujourd’hui, Stoïk propose un nouveau mode de souscription, disponible aussi pour les courtiers en assurance, grâce à un outil automatisé qui scanne l’infrastructure externe de l’entreprise. Si une faille externe critique est détectée, alors l’entreprise devra la résoudre avant de pouvoir s’assurer.

L’idée de ce nouveau type d’assurance est de :

  • faciliter l’accès à l’assurance cyber pour les PME qui peinent à trouver des offres adaptées
  • simplifier le processus de souscription à l’assurance
  • donner une visibilité continue sur la surface d’attaque de l’assuré

Retrouvez le témoignage d'Antoine Giacomotto, Directeur Général Associé d'AGEO RISKS sur la proposition de Stoïk auprès des courtiers en assurance.

Découvrez l'assurance cyber 2.0
L'assurance cyber Stoïk allie assurance et outils de cybersécurité pour vous protéger contre les cyberattaques.
Découvrir

Foire aux questions

Quels sont les risques cyber ?

Il existe plusieurs types de cyberattaques dont voici une liste des formes les plus fréquentes :

  • Le ransomware ou rançongiciel
  • Le cheval de Troie
  • Le déni de service (DDoS)
  • Le piratage de compte

Qui est à l’origine des cyberattaques ?

Une cyberattaque peut être causée par un hacker seul ou par un groupe de pirates organisé. Aujourd’hui, les hackers sont de plus en plus organisés et peuvent ainsi cibler de plus en plus d’entreprises en développant des malware qui peuvent s’appliquer à chaque société.

Quelle est la différence entre cyberassurance et RC pro

La cyberassurance prend en charge les frais et les pertes de données liés à une attaque informatique. La RC pro ou responsabilité civile professionnelle va, quant à elle, prendre en charge de possibles dommages que les activités de l'entreprise ont pu causer.

Peut-on souscrire une assurance contre le cyberharcèlement ?

Insultes, menaces, usurpation d’identité, revenge porn, etc. Le cyberharcèlement prend plusieurs formes et est de plus en plus courant. Souscrire à une assurance cyberharcèlement est désormais possible et permet d’être accompagné dans les démarches juridiques, de faire cesser le harcèlement, etc.

Les particuliers peuvent-ils souscrire une assurance cyber ?

Tout utilisateur d’internet peut être la cible d’une cyberattaque. Un simple antivirus ne peut pas protéger d’un vol d’informations bancaires, d’un cyberharcèlement ou d’une usurpation d’identité. Une personne peut donc souscrire à une assurance cyber particulier dans un contrat de protection individuel. Il est également possible d’avoir une couverture pour sa famille.

Sources :

  1. https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html
  2. https://www.lemondeinformatique.fr/actualites/lire-attaques-par-ransomware-2022-sera-pire-que-2021-en-france-85517.html
  3. https://www.usine-digitale.fr/article/il-est-urgent-de-trouver-une-solution-aux-problemes-d-assurance-cyber.N1779877
  4. https://www.pwc.fr/fr/publications/cybersecurite/global-digital-trust-insights.html
  5. https://www.larevuedudigital.com/etre-pret-a-affronter-une-cyber-attaque-une-obligation-en-2022-pour-toutes-les-entreprises/
  6. https://www.eficiens.com/assurance-cyber-attaque/
  7. https://www.infoprotection.fr/un-tiers-des-tpe-et-pme-ont-subi-une-cyberattaque/
  8. http://www.senat.fr/rap/r20-678/r20-6782.html
  9. http://www.senat.fr/rap/r20-678/r20-678_mono.html
  10. https://www.zdnet.fr/actualites/loi-lopmi-pour-payer-la-rancon-il-faudra-deposer-plainte-39939113.htm
Inscrivez-vous à notre newsletter cyber !