Depuis le début de l’année 2022, les assureurs traditionnels qui proposent du cyber ont augmenté leurs prix et durci leurs conditions d’éligibilité. Se protéger contre le risque N°1 en entreprise est devenu très compliqué pour les dirigeants de PME et ETI qui manquent notamment de ressources financières pour s’assurer. Aujourd’hui, de nouveaux acteurs comme Stoïk oeuvrent sur le marché de l’assurance cyber pour la rendre à nouveau accessible aux petites et moyennes entreprises. Il est désormais possible de souscrire une police d’assurance à un prix abordable, et ce, sur le long terme.
Toutes les assurances ont des critères de tarification différents, que ce soit pour une assurance habitation, une assurance auto ou une assurance cyber. Le processus de souscription inclut toujours une phase de réalisation d’un devis sur-mesure qui permet de définir le prix et les garanties adaptées à chaque entreprise.
Chez tous les assureurs, le prix d’un contrat en cyber-assurance dépend de plusieurs critères tels que :
Certains critères servent également aux assureurs à définir l’éligibilité de l’entreprise à l’assurance cyber :
Certains secteurs d’activité peuvent être exclus. Par exemple, chez Stoïk les secteurs d’activité suivants ne sont pas éligibles : vente d’armes ou d’autres substances illicites ; diffusion d’images à caractère pornographique, site internet à caractère religieux, politique ou idéologique, activité de jeux et paris, réseaux sociaux, activités liées aux cryptomonnaies, compagnies aériennes, aéroports, marché boursier, fournisseurs de service de paiement, opérateurs de réseaux, chaînes de télévision et journaux, Établissements Publics à caractère Administratif (EPA), hôpitaux publics, privés et universitaires.
Chez la plupart des autres assureurs, il est nécessaire de remplir un long questionnaire de cybersécurité qui est ensuite étudié du côté de l’assureur pour déterminer l’éligibilité de l’entreprise à sa police d’assurance. Cela peut prendre un certain temps car ce processus n’est pas automatisé et basé uniquement sur du déclaratif.
Chez Stoïk, l’outil scan externe est mis à disposition des entreprises pour scanner l’infrastructure externe et connaître leur niveau de vulnérabilité. Cette indication n’a aucun impact sur le prix final mais elle permet de connaître l’éligibilité de l’entreprise à l’assurance. Ainsi, si des vulnérabilités critiques sont détectées ou si le score est inférieur à 60/100, il sera demandé de résoudre les vulnérabilités avant de pouvoir souscrire. À cela s’ajoute un minimum de déclaratif concernant les antivirus et sauvegardes.
Toutes les entreprises n’ont pas les mêmes besoins en termes de protection cyber. Un des critères clés pour l’entreprise et son assureur va être d’estimer un plafond de garanties qui correspond aux risques encourus lors d’une attaque cyber, notamment sur les conseils d’experts en piratage informatique ou d’un courtier en assurance.
Il est important de définir ensemble, et en fonction du CA de l’entreprise, les frais maximum que l’assurance pourra indemniser en cas d’interruption partielle ou totale des systèmes informatiques et en cas d’atteinte à la confidentialité des données.
De manière générale, il est proposé aux entreprises de choisir un plafond de garantie entre :
À titre de comparaison, une entreprise du secteur bien-être qui réalise moins de 200 000€ de CA avec 5 employés pourra souscrire une assurance cyber à partir de 44€ / mois. Un budget complètement envisageable pour les PME et ETI qui souhaitent se protéger contre le risque N°1 en entreprise aujourd’hui.
Le coût médian d’une cyberattaque en France est de 50 000€. 60% des PME qui subissent une attaque ne se relèvent pas et mettent la clé sous la porte dans les 18 mois qui suivent l’attaque.
Voici des estimation du coût d’une attaque par ransomware*, pour les mêmes secteurs d’activités que ceux cités ci-dessus :
*Simulateur At-Bay : pour un chiffre d'affaires inférieur à 1 million d’euros.
https://www.at-bay.com/cyber-risk-calculators/
Dans ces chiffres, sont compris non seulement le montant de la rançon mais tout ce qui peut s’en suivre : la réparation du matériel qui pourrait être endommagé, l’intervention d’experts en cybersécurité, l’interruption d’activité, etc. Des frais qui sont pris en charge par l’assurance cyber lorsque l’entreprise est assurée.
Une fuite de données peut coûter jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende
À cela, peuvent s’ajouter d’autres conséquences indirectes. Dans le cas d’une fuite de données de clients ou d’utilisateurs de l’entreprise victime, cette dernière peut avoir à rendre des comptes devant la justice pour ne pas avoir su protéger les données de tiers. La responsabilité civile du dirigeant en matière de protection des données peut mener jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. L’assurance cyber joue un rôle crucial dans ce type de cas en mettant à disposition des experts juridiques et en assumant les conséquences de la fuite de données pour l’entreprise.
Enfin, la réputation de l’entreprise peut également être mise à mal, et ce sur le long terme. Or, l’assurance met également à disposition des experts en communication de crise qui vont être là pour réinstaurer la confiance avec les clients, les partenaires, prestataires, fournisseurs et collaborateurs.
Souscrire une assurance cyber est certes un budget pour une PME ou une ETI. Pourtant, il reste moindre au regard de la hausse du nombre de cyberattaques et du coût qu’elles peuvent engendrer. En effet, il est plus rentable pour une entreprise de payer une cyber-assurance qui lui garantit une aide après une attaque plutôt que de prendre le risque de mettre la clé sous la porte.
Le plus rentable entre payer une cyberattaque et payer une assurance cyber :