Pourquoi souscrire une assurance cyber ?

En 2024 plus que jamais, toutes les entreprises, associations ou professionnels indépendants s’exposent à des « cyber risques » : piratage de leurs réseaux, vol de leurs données… Heureusement, il est possible de souscrire à un contrat de cyber assurance, lequel interviendra, en cas de sinistre, pour minorer les conséquences de l’incident. Voyons ensemble à quel point il est important d’y pense pour votre entreprise.   

Qu’est-ce qu’une assurance cyber risques ?

La cyber assurance est un contrat qui couvre l’entreprise pour tous les risques liés à l’informatique. Ces risques comprennent des cyber attaques telles que : le piratage de ses systèmes, les virus et trojans, les ransomwares (blocage des données et demande de rançon), les attaques Dos, etc.

S’agissant d’un contrat dit « multirisque », l’assurance cyber se compose de plusieurs types de garanties. Certaines sont liées à la gestion de crise, c’est-à-dire à la gestion de l’incident lui-même (cyber attaque), d’autres à la prise en charge des dommages causés à l’entreprise (pertes d’exploitation). Enfin, le contrat intègre aussi des garanties de cyber responsabilité (au cas où la responsabilité de l’entreprise serait engagée par un tiers). 

À qui s’adresse la cyber assurance ?

Les assurances cyber s'adressent à toute entité possédant des données sensibles et essentielles à leur fonctionnement en ligne. Lorsqu'il s'agit de cyber sécurité, les assureurs commercialisent de nombreux contrats adaptés à tout type de clients : TPE, PME, associations, auto-entrepreneurs, professions libérales ; et s'adaptent à tout type d'activité. Cela permet à chacune d’avoir une couverture adaptée aux risques effectifs auxquels elle fait face (selon sa vulnérabilité, le volume de données qu’elle collecte…). 

Faut il souscrire une cyber assurance pour son entreprise ?

Selon des études récentes, les cyber risques font partie des tous premiers risques d’entreprise en 2024, avec une hausse des cyberattaques de +400% sur l'année précédente. Cette réalité a notamment été renforcée par le Covid-19 et le développement du télétravail. 

Aujourd’hui, la grande majorité des entreprises ont une présence en ligne, communiquent via des réseaux et des supports informatiques, y compris les PME, TPE… Elles conservent aussi,  pour la plupart, des données parfois sensibles, sur leurs clients notamment. 

Parfois sans en prendre la mesure, elles s’exposent ainsi à des cyber risques tels que : 

• Le vol ou la perte de leurs données, 
• Le piratage, 
• La cyber extorsion (via un système de blocage de données et de demande de rançon pour les débloquer), 
• Les attaque serveurs, 
• Le vol du matériel informatique, 
• Le blocage de tous les systèmes informatique (qui entraîne souvent une paralysie de l’activité), 
• L'atteinte à l’image de l’entité, 
• Une panne de serveur entraînant une perte d’activité. 

En souscrivant une cyber assurance pour ces risques, l’entreprise (ou l’entité signataire quelle qu’elle soit) s’assure tout d’abord qu’elle sera accompagnée pendant et après l’incident, par une équipe d’experts dédiés : experts informatiques, juridiques, en communication… 

En plus, l’assurance prendra également en charge de nombreux frais et dommages financiers causés par l’incident. Il n’est pas rare, par exemple, qu'une cyber attaque ait de lourdes conséquences financières (plusieurs milliers voire dizaines de milliers d’euros), menaçant parfois la pérennité même de l’entreprise touchée. Si son activité est bloquée pendant plusieurs jours / semaines, l’assurance versera une compensation au titre de la garantie de pertes d’exploitation. 

Quelles sont les garanties d’une cyber assurance ?

Voici une liste de quelques garanties essentielles dans une formule cyber assurance basique : 

• Des garanties d’assistance / de gestion de la crise elle-même, par l’assureur ou un cabinet spécialisé partenaire,
• Des garanties de prise en charge des conséquences financières de l’incident, 
• Une garantie de prise en charge des pertes d’exploitation, d’une demande de rançon en cas de cyber extorsion…
• Une garantie Responsabilité Civile professionnelle, 
• Une garantie en cas d’enquête administrative (l’assureur peut par exemple assumer les frais de défense de l’entreprise).

Quels sont les risques encourus sans assurance cybersécurité ?

La cyber assurance a un coût, parfois non négligeable. Il est toutefois déconseillé de faire l’économie de cette dépense.

À défaut d’assurance, l’entreprise supportera seule les conséquences financières d’un sinistre informatique, quel qu’il soit. Pendant l’incident, surtout si elle n’a pas de service informatique en interne ou s’il n’est pas qualifié (pour une cyber attaque par exemple), elle devra souvent faire appel à un cabinet spécialisé en cyber-sécurité, et cela coûte cher. 

De même, l’entreprise devra assumer tous les autres frais seule, tels que par exemple :

• Les frais d’assistance juridique, 
• Les frais de défense (si sa responsabilité est engagée par exemple), 
• Les amendes d’autorités administratives (en cas de non notification d’une faille de données à la CNIL par exemple), 
• Les frais de négociation / paiement d’une rançon (ransomware), 
• Les frais de restauration / récupération des données. 

Si l’activité s’arrête, l’entreprise supportera là encore la perte sèche de chiffre d’affaires (alors que celle-ci aurait été compensée, dans une certaine mesure, par une assurance cyber risques). 

D’autres conséquences, auxquelles on pense moins, peuvent aussi résulter de l’incident : atteinte à la réputation de l’entité, paiement de dommages et intérêts à des tiers lésés (un client dont les données auraient fuité par exemple)… Autant de risques qui sont couverts par une assurance dédiée. 

Quels sont les principaux cyber risques ?

La Cyber Extorsion

Une PME a reçu un email de l’un de ses fournisseurs réclamant le règlement urgent d’une facture. Il s’agit en réalité d’un faux message et la pièce jointe est un « ransomvare » logiciel-rançon qui crypte un grand nombre de données du système informatique de l’entreprise, rendant ces dernières totalement inaccessibles.

Le pirate informatique réclame une rançon de 800 € pour débloquer les données.

La PME appelle la cellule de crise. Le coordinateur de la cellule l’oriente vers un expert, afin qu’il puisse analyser le problème et déterminer si le cryptage peut être ou non facilement défait.

L’attaque par déni de service

Le site internet de réservation d’une franchise de location de véhicules est rendu inaccessible. Plus aucune réservation ne peut être effectuée.

Des mesures d’urgence sont mises en œuvre :

• Intervention d’un expert informatique pendant 72 heure sans franchise afin de déterminer la méthode d’attaque, d’émettre des recommandations et de remettre en marche et sécuriser le service.
• Intervention d’un expert en communication de crise afin de mettre en place un plan de communication en cas de besoin.

Le vol et la perte de données

Un hacker s’est introduit dans le système informatique d’une société et a réussi à modifier l’un des fichiers exécutés lors de la connexion au compte client. Cette modification a permis au hacker de recevoir le nom d’utilisation (adresse email) et le mot de passe des clients de l’entreprise.

Cette intrusion a été déclenchée lors d’une maintenance de routine.

Les clients de l’assuré, du fait de cette intrusion, sont en risque lorsqu’ils utilisent ce même couple adresse mot de passe sur des sites plus sensibles comme par exemple leur messagerie électronique, leur compte Paypal…

Suite à la sollicitation de la cellule de crise par l’assuré, l’assureur a pu accompagner rapidement ce dernier en mettant à sa disposition un consultant informatique pour déterminer la méthode d’attaque et émettre des recommandations. L’assuré a été accompagné par un consultant en communication afin de prévenir les 6 500 clients impactés.