Pourquoi faut-il souscrire à une assurance cyber ?
En 2021, plus de 50% des entreprises affirment avoir subi entre une et trois cyberattaques (source : CESIN). Dans un tel contexte, la question n’est plus de savoir si l’on va se faire attaquer mais quand. Se prémunir des conséquences d’une attaque devient alors une priorité pour les entreprises et de nouveaux acteurs s’emparent du sujet : les assureurs. Alors, spécialisées ou non, qu’en est-il réellement des assurances cyber ?
Suivre cette thématique pour rester informé
Quelles conséquences aux attaques cyber pour les PME ?
Alors que 85% des entreprises utilisent le digital comme moteur de croissance, les risques qui lui sont associés sont peu souvent pris en compte. Les conséquences d’une cyberattaque dans une PME peuvent être d’autant plus importantes que leurs systèmes d’information ne sont pas toujours idéalement protégés.
Les impacts peuvent toucher la globalité des services de l’entreprise :
- Interruption de services : directement liée à la cyberattaque, la paralysie d’une partie ou de la totalité des services de l’entreprise est la première conséquence visible de l’attaque. Les interruptions peuvent dissimuler des actions réalisées en tâche de fond, comme l’extraction ou la compromission de données. Souvent, la proportion du système d’information impacté dans les PME est supérieure à celle des systèmes des grandes entreprises car leurs systèmes sont moins nombreux.
- Coût de réparation : temps passé, par l’entreprise elle-même ou par un prestataire, à identifier la faille et ses impacts sur le système d’information, à le remettre en ordre de fonctionnement ainsi qu’aux coûts liés à la dégradation des matériels.
- Pertes d’exploitation : calculées à la suite des impacts directs et indirects. Selon une étude CISCO, 54% des moyennes entreprises victimes de cyber-intrusion ont subi des pertes supérieures à 500k€.
- Impact juridique : indirectement lié à la cyberattaque, les poursuites juridiques qui peuvent découler, en France, des obligations RGPD et de la CNIL représentent une charge supplémentaire temporelle et financière.
- Impact sur la notoriété de l’entreprise : indirectement lié à la cyberattaque, l’impact sur la notoriété de l’entreprise peut engendrer une perte de confiance de la part des clients, des fournisseurs et de ses salariés.
S’assurer pour se rassurer ?
Parmi les PME, qui représentent plus de 99% des entreprises en France, seulement 0,2% sont couvertes par une police d’assurance dédiée aux risques cyber. En comparaison, 9% des ETI et 84% des grands groupes français sont couverts.
Suis-je couvert par ma police d’assurance “classique” contre les risques cyber ?
Les contrats d’assurances “classiques” comportent souvent des clauses cyber limitées. Par exemple, dans le cadre d’une police d’assurance de responsabilité civile, il peut être difficile de déterminer la faute de l’assuré lors d’une attaque cyber. Également, les contrats d’assurances “classiques”, ne proposent généralement pas d’aides spécifiques, pour surmonter la période de gestion de crise et limiter l’envergure des sinistres, souvent manquantes au sein des PME.
Ces contrats d’assurance “classiques” hybrides, souvent moins coûteux que des contrats dédiés, ne prennent pas en compte la spécificité des risques cyber technologiques. Souscrire à un contrat dédié en complément d’un contrat d’assurance “classique” reste donc recommandé. Des scénarios spécifiques et une couverture en adéquation avec le contexte immatériel inhérent aux risques informatiques sont à envisager.
L’appétit de souscription des assureurs cyber pour les PME est-il réel ?
Selon le rapport de l’ex-députée Valéria Faure-Muntian (2021), le marché français de l’assurance cyber a longuement peiné à se structurer. Un avis mitigé qui s’explique par l’instabilité des résultats des assureurs sur les polices couvrant le secteur cyber ces dernières années (source : Rapport annuel de l’AMRAE, 2022).
Cette instabilité liée à la forte augmentation des attaques a d’abord entraîné une méfiance de la part des assureurs avant d’entraîner une augmentation des primes et des franchises d’assurances ainsi que la baisse des capacités de remboursement, sauf pour les plus grosses PME. Un cadre plus strict s’est mis en place parallèlement à ces actions apportant un début de structuration de l’écosystème des assurances cyber français.
Cette nouvelle structure demande plus de préparation aux PME pour répondre aux nouvelles exigences des assurances : souscrire à une assurance cyber est devenu une opportunité, relative à la maturité cyber et au domaine d’activité de l’entreprise.
L’importance de préparer le terrain pour mieux convaincre les assureurs
La méfiance des assureurs envers les contrats d’assurances cyber oblige les entreprises à se préparer davantage avant de souscrire à un contrat dédié. Cette préparation peut s’articuler autour de plusieurs axes :
- Se positionner selon l’appétit de souscription des assureurs
- Comprendre l’évaluation des risques et leurs occurrences de survenance liée à ses vulnérabilités
- Évaluer la cohérence avec le reste des couvertures assurantielles de l’entreprise
- Comprendre la quantification des risques.
La structuration de l’activité permet aujourd’hui aux assureurs de proposer un accompagnement à leurs clients pour les aider dans leur préparation afin de les guider vers un modèle d’assurance pertinent et répondant aux risques auxquels ils feront face.
Connaître ses vulnérabilités avant de s’assurer : comment s’y prendre ?
Parmi les axes permettant de définir un modèle d’assurance cyber cohérent, l’analyse des vulnérabilités de l’entreprise est primordiale, à la fois pour se protéger de risques et pour définir les contours d’un contrat d’assurance cohérent.
Identifier les points d’accès au système d’information
Ils peuvent être liés à des systèmes internes ou à des interfaçages avec des systèmes externes de prestataires. Ce travail d’identification des différentes composantes du système d’information peut être mené en réalisant une cartographie pour définir un premier périmètre de vulnérabilités.
Définir les responsabilités
Elles peuvent incomber à l’entreprise ou à une tierce partie. Cette problématique est cruciale dans le cas d’une cyber-attaque ayant des impacts sur les systèmes utilisés et permettra ensuite d’évaluer correctement les contrats d’assurances cyber.
Également, une catégorisation et une priorisation des données sous la responsabilité de l’entreprise doit être établie, leur valeur et leur criticité étant souvent connue après qu’une attaque ait eu lieu.
Définir un plan d’action et mettre en place les premières mesures correctives
Comme évoqué dans notre précédent article, “L’humain face aux attaques cyber, maillon fort ou maillon faible ?’, les facteurs de risques sont souvent devant vos yeux, le facteur humain en étant la principale source.
Jamais totalement sécurisés, les systèmes d’information modernes sont une véritable porte d’entrée dans les entreprises pour les hackers. Pour autant, peu sont les PME ayant souscrit à des polices d’assurances dédiées, pensant souvent que leur contrat d’assurance “classiques” les couvrent en cas de sinistre. Néanmoins, des différences importantes subsistent et le confort apporté par une assurance dédiée au risque cyber est en augmentation croissante. Alors, qu’attendez-vous ? Rassurez-vous !