Prix d’une assurance cyber : trop compliqué, trop cher ?

Sarada Nourby
Dernière mise à jour :

Depuis le début de l’année 2022, les assureurs traditionnels qui proposent du cyber ont augmenté leurs prix et durci leurs conditions d’éligibilité. Se protéger contre le risque N°1 en entreprise est devenu très compliqué pour les dirigeants de TPE et PME qui manquent notamment de ressources financières pour s’assurer. Aujourd’hui, de nouveaux acteurs comme Stoïk oeuvrent sur le marché de l’assurance cyber pour la rendre à nouveau accessible aux petites et moyennes entreprises. Il est désormais possible de souscrire une police d’assurance à un prix abordable, et ce, sur le long terme.

assurance cyber prix

Comprendre le prix d’une assurance cyber

Toutes les assurances ont des critères de tarification différents, que ce soit pour une assurance habitation, une assurance auto ou une assurance cyber. Le processus de souscription inclut toujours une phase de réalisation d’un devis sur-mesure qui permet de définir le prix et les garanties adaptées à chaque entreprise.

Un prix sur mesure qui dépend de plusieurs facteurs

Chez tous les assureurs, le prix d’un contrat en cyber-assurance dépend de plusieurs critères tels que :

  • le chiffre d’affaires (CA) de l’entreprise : plus le CA de l’entreprise est élevé, plus la prime augmente.
  • le secteur d’activité : plus l’entreprise dispose de données sensibles, comme c’est le cas pour un cabinet médical par exemple, plus elle va être considérée à risque. Certains secteurs d’activités sont exclus des polices d’assurance cyber.
  • le nombre d’employés : plus il y a d’employés plus le risque humain est élevé.
  • le profil de risque de l’entreprise : en fonction des bonnes pratiques cyber mises en place (audit réguliers, double authentification, campagnes de simulation de phishing, connexion à distance, mise à jour des logiciels et antivirus) et des dangers détectés sur l’infrastructure (via un questionnaire de cybersécurité).
  • les options que souhaite souscrire l’entreprise : cyber-fraude, responsabilité civile transmission de virus, responsabilité média dans certains cas.
  • la franchise et le plafond de garanties choisies.

Les critères d’éligibilité à l'assurance cyber

Certains critères servent également aux assureurs à définir l’éligibilité de l’entreprise à l’assurance cyber : 

1- Le secteur d’activité :

Certains secteurs d’activité peuvent être exclus. Par exemple, chez Stoïk les secteurs d’activité suivants ne sont pas éligibles : vente d’armes ou d’autres substances illicites ; diffusion d’images à caractère pornographique, site internet à caractère religieux, politique ou idéologique, activité de jeux et paris, réseaux sociaux, activités liées aux cryptomonnaies, compagnies aériennes, aéroports, marché boursier, fournisseurs de service de paiement, opérateurs de réseaux, chaînes de télévision et journaux, Établissements Publics à caractère Administratif (EPA), hôpitaux publics, privés et universitaires.

2- Le niveau actuel d’hygiène cyber :

Chez la plupart des autres assureurs, il est nécessaire de remplir un long questionnaire de cybersécurité qui est ensuite étudié du côté de l’assureur pour déterminer l’éligibilité de l’entreprise à sa police d’assurance. Cela peut prendre un certain temps car ce processus n’est pas automatisé et basé uniquement sur du déclaratif.

Chez Stoïk, l’outil scan externe est mis à disposition des entreprises pour scanner l’infrastructure externe et connaître leur niveau de vulnérabilité. Cette indication n’a aucun impact sur le prix final mais elle permet de connaître l’éligibilité de l’entreprise à l’assurance. Ainsi, si des vulnérabilités critiques sont détectées ou si le score est inférieur à 60/100, il sera demandé de résoudre les vulnérabilités avant de pouvoir souscrire. À cela s’ajoute un minimum de déclaratif concernant les antivirus et sauvegardes.

De plus en plus d’entreprises investissent dans leur cybersécurité
Le nombre d’attaques étant en forte hausse, plus de 69 % des organisations prévoient d’augmenter leurs dépenses en cybersécurité en 2022. Ce chiffre s’élevait à 55 % en 2021. Près de 26 % de ces organisations souhaitent augmenter leur budget de plus de 10 % (contre 8 % en 2021).

Comment choisir le plafond de garantie et la franchise ?

Toutes les entreprises n’ont pas les mêmes besoins en termes de protection cyber. Un des critères clés pour l’entreprise et son assureur va être d’estimer un plafond de garanties qui correspond aux risques encourus lors d’une attaque cyber, notamment sur les conseils d’experts en piratage informatique ou d’un courtier en assurance

Il est important de définir ensemble, et en fonction du CA de l’entreprise, les frais maximum que l’assurance pourra indemniser en cas d’interruption partielle ou totale des systèmes informatiques et en cas d’atteinte à la confidentialité des données.

De manière générale, il est proposé aux TPE et PME de choisir un plafond de garantie entre :

  • 100 000 euros, pour celles qui n’ont pas un CA très élevé et moins de risque de subir une fuite de données.
  • et 1 million d’euros pour celles qui réalisent jusqu’à 50 millions de chiffre d’affaires annuel et qui ont de la donnée particulièrement sensible à protéger.
Bon à savoir
Stoïk a fait le choix de ne pas couvrir le paiement de la rançon. Aussi, le plafond de garantie ne prévoit pas cette dépense qui, si elle est réalisée, devra être prise en charge du côté de l’entreprise victime. Généralement, les assureurs qui couvrent la rançon proposent des tarifs et des plafonds de garantie plus élevés que ceux de Stoïk.

Exemples de tarifications d’une assurance cyber Stoïk pour 10 secteurs d’activité

Critères d’exemple :

  • Chiffre d’affaires compris entre 30 000€ et 35 000€
  • 30 employés
  • Profil de risque optimal
  • Sans les options RC transmission de virus et cyber-fraude (compter +10% avec les options)
  • Franchise minimum : 1000€
  • Plafond de garantie minimum : 100 000€

Prix d’une assurance cyber par secteur d’activité :

  • E-commerce : à partir de 172€ / mois
  • Formation et éducation : à partir de 140€ / mois
  • Restaurant, bar et discothèque : à partir de 115€ / mois
  • Industrie manufacturière : à partir de 140€  /mois
  • Création de sites web : à partir de 140€ / mois
  • Services et fonds d’investissements : à partir de 172€ / mois
  • Ehpad et maison de retraite : à partir de 140€ / mois
  • Laboratoire d’analyses médicales : à partir de 172€ / mois
  • Architecte, ingénieur, bureau d’étude : à partir de 172€ / mois
  • Métiers du droit (avocats, notaires) : à partir de 115€ / mois

À titre de comparaison, une entreprise du secteur bien-être qui réalise moins de 200 000€ de CA avec 5 employés pourra souscrire une assurance cyber à partir de 44€ / mois. Un budget complètement envisageable pour les TPE et PME qui souhaitent se protéger contre le risque N°1 en entreprise aujourd’hui.

Réaliser un devis
Utilisez notre outil de simulation de devis pour connaître le prix de l'assurance cyber chez Stoïk.
Faire un devis

Payer une cyber-assurance, le prix de la sécurité

Subir une cyberattaque coûte (beaucoup) plus cher que l’assurance

Le coût médian d’une cyberattaque en France est de 50 000€. 60% des PME qui subissent une attaque ne se relèvent pas et mettent la clé sous la porte dans les 18 mois qui suivent l’attaque.

Voici des estimation du coût d’une attaque par ransomware*, pour les mêmes secteurs d’activités que ceux cités ci-dessus :

  • E-commerce : 22 000 €
  • Formation et éducation : 35 000 €
  • Restaurant, bar et discothèque : 22 000 €
  • Industrie manufacturière : 42 000 €
  • Création de sites web : 29 000 €
  • Services et fonds d’investissements : 29 000 €
  • Ehpad et maison de retraite : 43 000 €
  • Laboratoire d’analyses médicales : 43 000 €
  • Architecte, ingénieur, bureau d’étude : 29 000 €
  • Métiers du droit (avocats, notaires) : 35 000 €

*Simulateur At-Bay : pour un CA inférieur à 1 million d’euros.

https://www.at-bay.com/cyber-risk-calculators/

Dans ces chiffres, sont compris non seulement le montant de la rançon mais tout ce qui peut s’en suivre : la réparation du matériel qui pourrait être endommagé, l’intervention d’experts en cybersécurité, l’interruption d’activité, etc. Des frais qui sont pris en charge par l’assurance cyber lorsque l’entreprise est assurée.

Une fuite de données peut coûter jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende

À cela, peuvent s’ajouter d’autres conséquences indirectes. Dans le cas d’une fuite de données de clients ou d’utilisateurs de l’entreprise victime, cette dernière peut avoir à rendre des comptes devant la justice pour ne pas avoir su protéger les données de tiers. La responsabilité civile du dirigeant en matière de protection des données peut mener jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. L’assurance cyber joue un rôle crucial dans ce type de cas en mettant à disposition des experts juridiques et en assumant les conséquences de la fuite de données pour l’entreprise.

Enfin, la réputation de l’entreprise peut également être mise à mal, et ce sur le long terme. Or, l’assurance met également à disposition des experts en communication de crise qui vont être là pour réinstaurer la confiance avec les clients, les partenaires, prestataires, fournisseurs et collaborateurs.

Le saviez-vous ?
Après une attaque par demande de rançon, il arrive que certains clients de l’entreprise victime perdent confiance en elle. Ce chiffre s’élève à 61 %. Et parmi eux, 31 % des utilisateurs / clients de l’entreprise attaquée ont mis fin à leur collaboration. 

L’assurance cyber : une évidence ?

Souscrire une assurance cyber est certes un budget pour une PME. Pourtant, il reste moindre au regard de la hausse du nombre de cyberattaques et du coût qu’elles peuvent engendrer. En effet, il est plus rentable pour une entreprise de payer une cyber-assurance qui lui garantit une aide après une attaque plutôt que de prendre le risque de mettre la clé sous la porte.

Le plus rentable entre payer une cyberattaque et payer une assurance cyber :

Document
Secteur d'activité Estimation du coût d'une cyberattaque Prix de l’assurance cyber Stoïk / an
E-commerce 22 000€ 2 061€
Formation et éducation 35 000€ 1 685€
Restaurant, bar et discothèque 22 000€ 1 383€
Industrie manufacturière 42 000€ 1 685€
Création de sites web 29 000€ 1 685€
Services et fonds d'investissement 29 000€ 2 061€
Ehpad et maison de retraite 43 000€ 1 685€
Laboratoire d'analyses médicales 43 000€ 2 061€
Architecte, ingénieur, bureau d'étude 29 000€ 2 061€
Métiers du droit (avocats, notaires) 35 000€ 1 383€

Un devis en assurance cyber en 3 clics
Découvrez le prix de l'assurance cyber pour votre entreprise en quelques minutes.
Mon devis

L’augmentation des prix chez les assureurs traditionnels

Les prix des assurances cyber traditionnelles reflètent une triste réalité : plus le nombre de cyberattaques augmente, plus l’assurance cyber coûte cher, surtout pour les plus vulnérables : les TPE x PME. 

En 2 ans, le nombre total d’attaques a bondi de +170 %. De juin 2019 à juin 2020, ce sont 192 attaques par demandes de rançon qui ont été signalées : une hausse de +255 %. Les hackers visent principalement l’erreur humaine et utilisent des méthodes de phishing (hameçonnage) de plus en plus sophistiquées, ce qui les rend de plus en plus difficiles à éviter.

Face à un risque non maîtrisé et en plein boom, les assureurs traditionnels se sont retrouvés perdants face au déséquilibre du ratio sinistre / prime. Résultat : ils ont augmenté leurs prix et fortement restreint leurs conditions d’éligibilité. Trouver une assurance cyber adaptée et surtout abordable en termes de prix s’est avéré plus difficile pour les PME.

augmentation prix assurance cyber

Des prix abordables pour les PME sur le long terme, est-ce possible ?

Depuis quelque mois, de nouveaux acteurs comme Stoïk se lancent sur le marché de l’assurance cyber avec une nouvelle approche de maîtrise du risque. Stoïk propose ainsi une offre cyber avec des prix adaptés aux PME et ce, sur le long terme. Grâce à son approche analytique du risque et aux outils de monitoring du risque dont elle dispose, l’assurance cyber Stoïk est aujourd’hui en capacité d’appréhender le risque cyber comme aucune autre assurance.

Ainsi, Stoïk est la seule assurance cyber sur le marché à proposer un processus de souscription et de sélection du risque qui soit sain (pas uniquement basé sur un long questionnaire de sécurité), ce qui lui permet de proposer des prix bas de manière pérenne.

Assurance et cybersécurité 2 en 1
Découvrez Stoïk, la seule assurance cyber qui vous accompagne dans la réduction de votre risque.
Découvrir

Quelques exemples de cyberattaques

Agence immobilière

En Suisse, l’agence immobilière Grange est victime d’un ransomware. Les hackers demandent une rançon de 20 000 francs suisse en bitcoin. L’agence fait le choix de ne pas payer. Elle réussit à récupérer la majorité de ses données à l’exception d’une journée de mails, mais par « un processus long et coûteux en ressources internes et externes. » Sa PME a ainsi été paralysée pendant 3 jours. 

Producteur de pièces détachées d’électroménager

En 2017, la PME Clermont pièces, est contrainte de mettre la clé sous la porte suite à un ransomware que l’entreprise a refusé de payer. L’attaque a totalement paralysé son entreprise et mis ses 8 employés au chômage technique. Les fichiers clients du spécialiste en pièces d’électroménager sont devenus illisibles et son logiciel métier a été entièrement verrouillé.

Location de droits audiovisuels de films et documentaires

À Montpellier en 2020, la PME Collectivision qui loue les droits audiovisuels de films et documentaires s’est vue dans l’incapacité d’accéder à ses serveurs informatiques distants. Dans leurs imprimantes, un message imprimé leur indiquait de contacter le hacker. La société ne pouvait plus émettre de facture. Leur prestataire qui n’était pas bien protégé, ne pouvait pas non plus remonter dans ses sauvegardes. Ils ont porté plainte au SRPJ (Service Régional de Police Judiciaire) de Montpellier et les techniciens ont pu récupérer une partie des données. Mais le mal était fait, le préjudice s’est élevé à plusieurs dizaines de milliers d’euros. La PME a bien failli mettre la clé sous la porte.

Source :