Devis Cyber Assurance

Les « cyber risques » sont aujourd’hui une réalité pour toute entreprise ou association. Au regard d’études récentes, il s’agit même là de l’un des tous premiers risques d’entreprise en 2021. En conséquence, le marché de la cyber assurance se développe en France. Voyons ensemble en quoi consiste la cyber assurance, comment obtenir des devis et comment choisir la meilleure offre. 

La garantie cyber risques est l’assurance des professionnels qui utilisent des outils numériques et qui stockent des informations sensibles.

Cyber assurance : définition 

Chaque entreprise ou association fait malheureusement face à un large éventail de risques inhérents à la transition numérique : perte ou vol d’informations confidentielles, piratage, demande de rançon à la suite d’un blocage de données (ransomware), attaque serveurs…

Les conséquences, par exemple, d’une cyber attaque, sont nombreuses : paralysie de l’activité, perte irrémédiable de données, atteintes à l’image, responsabilité engagée à l’égard de tiers…

L’assurance cyber se destine à couvrir ces risques à différents niveaux. Il s’agit d’une assurance « multirisque », regroupant : 

  • Des garanties de gestion d’incident / gestion de crise. Il s’agit ici d’une aide effective fournie par une équipe spécialisée, 24/24 h et 7/7j. Le plus souvent, l’assureur travaille avec un cabinet d’expertise spécialisé en cyber risques (le partenaire d’AIG est, par exemple, le cabinet INQUEST). 
  • Des garanties « cyber dommages ». Ces garanties ont pour objet la prise en charge des conséquences financières de l’incident : rançon en cas de tentative d’extorsion, pertes d’exploitation si l’activité de l’entreprise est bloquée… 
  • Des garanties de « cyber responsabilité ». Celle-ci joue si la Responsabilité Civile de l’entreprise ou de l’association est engagée (par exemple par un partenaire qui aurait vu des données confidentielles communiquées sur la place publique). 
  • Des garanties couvrant la fraude informatique / téléphonique

En période de Covid-19 et de télétravail, les sinistres liés à la cyber sécurité sont en recrudescence. Toute entreprise ou association, quelle que soit son activité, a donc intérêt à souscrire à une telle couverture.  

En fin de page, nous vous présentons des exemples réels de sinistres couverts par la cyber assurance. 

Quelles sont les meilleures assurances cyber ?

Coover a étudié pour vous plusieurs contrats d'assurance cyber risques disponibles sur le marché :

EntitéL'avis de Coover
Coover
(Cyber Assurance Coover)
Partenaires de confiance
Prise en charge des frais de notification
Protection juridique incluse de base
Prise en charge des pertes d'exploitation de base
Devis gratuit et immédiat
Hiscox
(Offre CyberClear)
Expérience : contrat proposé depuis 1999
Partenaires solides en gestion de crise
Formation en ligne de vos collaborateurs sur les risques cyber
Souscription rapide (pour les entreprises au CA < 50 millions d'euros)
Assurance cyber peut être incluse dans une RC professionnelle
AXAOffre accessible à toutes les entreprises
Bon accompagnement dans la gestion de crise
Pas d'accompagnement dans les démarches CNIL
RC seulement optionnelle
Option perte de chiffre d'affaires
Malheureusement, pas de devis réalisable en ligne
Generali
(Generali protection numérique)
Pour les TPE / PME
Couverture complète, incluant la RC
Partenariat avec Europ Assistance pour la gestion de crise
Garantie fraude en option
Formation en ligne de vos collaborateurs sur les risques cyber
Allianz
(Assurance des cyber risques)
Contrat "de base" pour les entreprises au CA < 25 millions d'euros
Contrat sur-mesure au delà
Contrat assez complet
Prise en charge des frais de notification en cas de fuite
Devis en contactant un conseiller
MMA
Garantie dommages assez complète
RC incluse de base
Garantie de prise en charge des frais de notification
Devis en contactant un agent MMA
Aviva
(Assurance cybersécurité)
Contrat assez complet
Garantie pertes d'exploitation incluse de base
Prise en charge de la reconstitution de données
RC incluse de base
Pas de prise en charge des dommages matériels
GAN
(Assurance cyber risques)
Contrat assez modulables
RC incluse de base
Pertes d'exploitation en option
Devis en contactant agent GAN
Peu d'informations sur le site GAN

À qui s’adresse l’assurance cyber risques ?

Peu importe sa taille, son secteur d’activité ou son chiffre d’affaires, toute entreprise a intérêt à se protéger via une assurance cyber risques. Cela vaut aussi pour les associations, les auto-entrepreneurs et les professions libérales. 

Le marché de la cyber assurance est relativement dense : il est possible de trouver un contrat pour PME, PMI, associations, grandes entreprises… Le contrat couvre en principe l’entreprise signataire mais aussi ses filiales et proposés. 

Les plus grandes structures ont souvent un contrat sur-mesure, avec des garanties spécifiquement adaptées. Les plus petites entreprises (ainsi que les micro-entrepreneurs et professions libérales) ont accès à des packs multirisque « de base » auprès des assureurs qui commercialisent ce type de couverture. 

Attention toutefois : le contrat peut exclure certaines activités. L’offre de cyber assurance d’AIG n’est par exemple pas accessibles aux institutions financières, aux entreprises de jeux et paris, de production audiovisuelle et musicale… 

La souscription peut aussi être soumise à des conditions, comme par exemple l’installation d’un antivirus et de pares-feu pour tout le parc informatique / les serveurs de l’entreprise. 

Précisons enfin que depuis mai 2018 et un nouveau règlement européen quant à la protection des données personnelles, les entreprises visées par une fuite de données doivent le notifier à la CNIL ainsi qu’à toutes les personnes concernées. L’amende en cas de non respect peut être très lourde (jusqu’à 4% du chiffre d’affaires mondial). Raison de plus pour souscrire à une cyber assurance. 

Quels sont les risques couverts par une assurance cyber ?

L’étendue de couverture d’une cyber assurance 

Une cyber assurance est un contrat multirisque, qui couvre en principe tous les risques liés à l’informatique de l’entreprise. En voici quelques-uns

  • Vol / blocage de données (des clients par exemple), 
  • Attaque / intrusion dans les serveurs (Dos), 
  • Virus, trojan…
  • Rançons (ransomware), 
  • Hameçonnage, 
  • Blocage du système informatique, 
  • Atteinte à l’image de l’entité, 
  • Panne de serveur entraînant une perte d’activité. 

Les garanties incluses dans la police doivent répondre au mieux à ces risques. Voici quelques garanties essentielles dans une formule de base

  • Des garanties d’assistance / de gestion de la crise elle-même, par l’assureur ou un cabinet spécialisé partenaire,
  • Des garanties de prise en charge des conséquences financières de l’incident, 
  • Une garantie de prise en charge des pertes d’exploitation, d’une demande de rançon en cas de cyber extorsion…
  • Une garantie Responsabilité Civile, 
  • Une garantie en cas d’enquête administrative (l’assureur peut par exemple assumer les frais de défense de l’entreprise).

De manière générale, l’assurance prévoit une prise en charge de frais divers nécessaires pour réagir au plus vite : frais d’intervention informatique, frais de notification (dans le cadre du règlement européen), frais de restauration (du site web de l’entreprise notamment)… 

Quelle prise en charge par la garantie cyber risques ?

La garantie cyber risques intervient suite à une atteinte :

  • aux données numériques (personnelles, confidentielles, médicales, bancaires) détenues par votre entreprise,
  • au système informatique (logiciels, serveurs, infrastructure réseau) de votre entreprise et ou de votre sous-traitant

L’assurance cyber risques permet la prise en charge les conséquences financières telles que :

  • Les dommages et intérêts versés aux tiers,
  • Les frais et honoraires de prestataires (avocat, expert informatique, consultant en gestion de crise…),
  • La perte d’exploitation en cas d’interruption de l’activité de l’assuré,
  • Les amendes et sanctions infligées par les régulateurs.
GarantiesDétail des prestations comprises
Gestion de crise
  • Frais d’expertises de sécurité informatique
  • Frais de communication et gestion de crise
  • Frais de restauration et récupération des données
  • Frais d’avocat
  • Frais de monitoring et de surveillance
  • Frais de notification
Responsabilité civile
  • Atteinte aux données personnelles et aux données confidentielles de tiers (dommages et intérêts)
  • Prise en charge des réclamations des tiers consécutives à la diffusion de contenu sur les sites internet et les réseaux sociaux (diffamation par exemple)
  • Prise en charge des dommages et intérêts même si l’assuré a sous-traité l’hébergement et le traitement de ses données
Pertes d'exploitation
  • Perte de revenus (marge brute)
  • Frais supplémentaires d’exploitation
  • Frais de transfert vers un autre prestataire d’externalisation
Enquêtes et sanctions
  • Accompagnement par un conseil juridique en cas d’enquête (CNIL ou PCI-DDS)
  • Prise en charge des sanctions (CNIL) ou pénalités (PCI-DSS)
Cyber Extorsion
  • Accompagnement par un consultant en gestion de crise / négociation
  • Prise en charge de la rançon (remboursement)
Fraude
  • Fraude informatique
  • Fraude téléphonique
Assurance cyber risques : les garanties prévues

Cyber assurance : à quel prix ?

Le coût d’une assurance cyber risques dépend de nombreux critères. Il est donc très important de solliciter un maximum de devis personnalisés

Sont notamment pris en compte par les assureurs pour formuler des propositions tarifaires :  

  • La nature de l'activité exercée,
  • Le chiffre d'affaires de la société, 
  • Le plafond de garantie, 
  • La politique tarifaire de l'assureur (AIG, Axa, APRIL, Hiscox, Beazley…),
  • Le montant des franchises,  
  • Les garanties optionnelles sélectionnées (par exemple : l’option fraude téléphonique / informatique).

En général, les compagnies d’assurance proposent un ou plusieurs packs qu’il est possible d’assortir d’options pour une protection optimale. Le niveau de garanties et leurs conditions (plafonds, franchises…) influent évidemment largement sur le prix. 

Le tarif minimal d'un contrat cyber risques est de 350€/an pour un plafond de couverture de 50 000€.

Bien entendu, plus le chiffre d’affaires est élevée ou l’activité de l’entreprise « sensible », plus la cotisation annuelle de la cyber assurance grimpe. Celle-ci doit toutefois être mise en rapport avec les conséquences financières d’un éventuel sinistre, qui peuvent être très lourdes : paiement d’une rançon, pertes d’exploitation en cas d’arrêt de l’activité, recours de tiers… Il n’est pas rare qu’un sinistre coûte au total, même à une PME, plusieurs milliers voire dizaines de milliers d’euros. 

Où souscrire à une assurance cyber risques ?

Nous l’avons dit, l’assurance cyber risques s’adresse à tous les types d’entreprises, d’associations et de professionnels. Le marché de la cyber assurance pour particuliers commence aussi à se développer. 

De plus en plus d’assureurs proposent leurs propres formules. Il est par exemple possible de souscrire à une cyber assurance auprès d’Axa ou de MMA. 

Les contrats « de base » se destinent à la majorité des entreprises et professionnels indépendants. Pour les plus grandes strucutres, il faudra passer par un contrat sur-mesure. Pour Allianz par exemple, le contrat de base est accessible aux entreprises faisant moins de 25 millions d’euros de chiffre d’affaires annuel. De même, auprès d’AIG, il faudra un contrat sur-mesure si l’entité réalise un CA de plus de 50 millions d’euros par an. 

Il est parfois possible d’obtenir un devis personnalisé en ligne, et donc un tarif annuel, directement sur le site de l’assureur sondé. Cela est toutefois rare : la plupart du temps, il faudra entrer en contact avec un conseiller afin d’obtenir une estimation tarifaire et une proposition de couverture adaptée. Cela sera par exemple le cas si vous souhaitez solliciter MMA. 

Une fois plusieurs devis en votre possession, comparez les au regard, notamment :

  • Des garanties incluses, et donc des risques couverts, 
  • Des services d’assistance (de gestion de crise) prévus,
  • Du montant des garanties (par exemple, quelle sera la durée maximale d’indemnisation des pertes d’exploitation liées à l’arrêt de l’activité ?), 
  • Des limites des garanties, 
  • Des franchises, 
  • De l’expérience de l’entité en matière de cyber assurance (plus de 20 ans pour AIG par exemple). 

Sinistres couverts par l'assurance cyber-risques : quelques exemples

Voici des exemples de sinistres réels couverts par l'assurance cyber (et la prise en charge correspondante).

La Cyber Extorsion

Une PME a reçu un email de l’un de ses fournisseurs réclamant le règlement urgent d’une facture. Il s’agit en réalité d’un faux message et la pièce jointe est un « ransomvare » logiciel-rançon qui crypte un grand nombre de données du système informatique de l’entreprise, rendant ces dernières totalement inaccessibles.

Le pirate informatique réclame une rançon de 800 € pour débloquer les données.

La PME appelle la cellule de crise. Le coordinateur de la cellule l’oriente vers un expert, afin qu’il puisse analyser le problème et déterminer si le cryptage peut être ou non facilement défait.

L’assureur a pris en charge les frais d’expert, le montant de la rançon, les frais de reconstitution des données ainsi que la perte d’exploitation subie par l’entreprise pendant la durée du blocage de son activité pour un montant de 60 000 €.

L'attaque par déni de service

Le site internet de réservation d’une franchise de location de véhicules est rendu inaccessible. Plus aucune réservation ne peut être effectuée.

Des mesures d’urgence sont mises en œuvre :

  • Intervention d’un expert informatique pendant 72 heure sans franchise afin de déterminer la méthode d’attaque, d’émettre des recommandations et de remettre en marche et sécuriser le service.
  • Intervention d’un expert en communication de crise afin de mettre en place un plan de communication en cas de besoin.

L’assureur a pris en charge les réclamations au titre de l’assistance et la perte d’exploitation pour un montant de 28 000 €.

Le vol et la perte de données

Un hacker s’est introduit dans le système informatique d’une société et a réussi à modifier l’un des fichiers exécutés lors de la connexion au compte client. Cette modification a permis au hacker de recevoir le nom d’utilisation (adresse email) et le mot de passe des clients de l’entreprise.

Cette intrusion a été déclenchée lors d’une maintenance de routine.

Les clients de l’assuré, du fait de cette intrusion, sont en risque lorsqu’ils utilisent ce même couple adresse mot de passe sur des sites plus sensibles comme par exemple leur messagerie électronique, leur compte Paypal…

Suite à la sollicitation de la cellule de crise par l’assuré, l’assureur a pu accompagner rapidement ce dernier en mettant à sa disposition un consultant informatique pour déterminer la méthode d’attaque et émettre des recommandations. L’assuré a été accompagné par un consultant en communication afin de prévenir les 6 500 clients impactés.

La nouvelle réglementation européenne visant à obliger la notification auprès des personnes ayant vu leurs données personnelles diffusées (GRDP applicable au 28 mai 2018) aurait engendré un coût de 400 000 € pris en charge par le contrat d’assurance.

Notez cet article

Note moyenne 4 / 5. Votes : 4


Un expert vous répondra