Cyber Assurance : fonctionnement et comparatif

La garantie cyber risques est l’assurance des professionnels qui utilisent des outils numériques et qui stockent des informations sensibles. Virus, malveillance informatique, piratage, bug ... Les « cyber risques » menacent aujourd’hui toutes les entreprises, petites et grandes, ainsi que les indépendants, les associations et tous professionnels présents sur la toile.

Au regard d’études récentes et depuis les confinements successifs de la Covid-19, le cyberrisque représente l’un des tout premiers risques d’entreprise en 2023. Toutefois, peu d'assureurs sont présents sur ce marché et les conditions contractuelles ne sont pas toujours claires. Nos experts chez Coover vous expliquent ce que couvre une cyber assurance, combien coûte ce contrat d'assurance professionnelle et comment choisir la meilleure offre. 

Qu’est-ce qu’une cyber assurance ?

Une assurance cyber est une assurance multirisque professionnelle qui couvre l'entreprise sur ses opérations et transactions numériques. Souscrire une cyber assurance protège vos données des potentielles cyber-attaques : perte ou vol d’informations et de données confidentielles, piratage, demande de rançon à la suite d’un blocage de données (ransomware), attaque serveurs...

Ces cyber-attaques peuvent provoquer de nombreuses conséquences, comme la paralysie de l'activité, perte irrémédiable de données, atteintes à l’image, ou encore la responsabilité engagée à l’égard de tiers.

En plus de fournir une protection financière en cas d'incident de sécurité informatique, certaines cyber assurances offrent aussi des services de gestion de crise pour aider les entreprises à gérer les conséquences d'un incident, comme la gestion de la communication avec les parties prenantes, l'analyse de l'incident et la remise en état des systèmes informatiques.

Quels risques couvre une assurance cyber ?

Les contrats de cyber assurance couvrent en principe tous les risques liés à l’informatique de l’entreprise. En voici quelques-uns : 

• Vol / blocage de données (des clients par exemple) réalisé via des attaques de logiciels malveillants : il s'agit d'une technique courante pour les cybercriminels pour accéder à des systèmes informatiques et voler des données confidentielles.
• Les virus, les chevaux de Troie, les vers et les ransomwares ;
• Attaque / intrusion dans les serveurs (Dos) ;
• Rançons (ransomware) ;
• Hameçonnage, pishing ;
• Blocage du système informatique ;
• Atteinte à l’image de l’entité ;
• Panne de serveur entraînant une perte d’activité. 

Il existe également quelques rares contrats d'assurance cyber pour particulier. Ces contrats sont des polices d'assurance qui offrent une protection contre les risques liés à l'utilisation d'Internet et des technologies de l'information. Ces polices peuvent couvrir différents types de risques, tels que la cybercriminalité, la perte de données, l'usurpation d'identité, les escroqueries en ligne... Cependant, nous manquons de recul pour juger de leur pertinence.

Combien coûte une cyber assurance ?

Le prix d’une assurance cyber risques dépend de nombreux critères. En effet, chaque entreprise possèdent ses risques et ses spécificités propres. Plusieurs éléments comme la taille de l'entreprise, le revenu annuel, les préférences en termes de couverture influent sur les primes d'assurances. Par exemple, les secteurs comme la santé ou la finance sont les cibles principales des cyber attaques, ce qui peut aussi influencer considérablement la couverture et le cout de leur assurance en la matière.

Il est important de solliciter un maximum de devis personnalisés. Les éléments suivants sont pris en compte par les assureurs pour formuler des propositions tarifaires :  

• La nature de l'activité exercée ;
• Le chiffre d'affaires de la société ;
• Le plafond de garantie ;
• La politique tarifaire de l'assureur (AIG, Axa, APRIL, Hiscox, Beazley, Stoïk…) ;
• Le montant des franchises ;
• Les garanties optionnelles sélectionnées (par exemple : l’option fraude téléphonique / informatique).

En général, les compagnies d’assurance proposent un ou plusieurs packs qu’il est possible d’assortir d’options pour une protection optimale. Le niveau de garanties et leurs conditions (plafonds, franchises…) influent évidemment largement sur le prix. 

Plus le chiffre d’affaires est élevé ou l’activité de l’entreprise « sensible », plus la cotisation annuelle de la cyber assurance grimpe. Celle-ci doit toutefois être mise en rapport avec les conséquences financières d’un éventuel sinistre, qui peuvent être très lourdes : paiement d’une rançon, pertes d’exploitation en cas d’arrêt de l’activité, recours de tiers… En moyenne, une cyber attaque coûte environ 50 000€ à une entreprise. 

Quelles sont les meilleures assurances cyber ?

Coover a étudié pour vous plusieurs contrats d'assurance cyber risques disponibles sur le marché selon différents critères :

Assureur	Notre avis	Devis
	+ 20 ans d'expérience Formation en ligne de vos collaborateurs sur les risques cyber Souscription rapide (pour les entreprises au CA < 50 M€) Assurance cyber responsabilité peut être incluse dans une RC professionnelle	En ligne
	Pionnier de la cyber assurance en France depuis 2018. Audit informatique inclus et gratuit pour les assurés. Large gamme de solutions assurance cyber (TPE/PME/ ETI) Travaille avec plusieurs compagnies d’assurance. Disponible 24/7 – 7 /7 en cas de cyber attaque.	En ligne
	Offre accessible à toutes les entreprises RC seulement optionnelle Option perte de chiffre d'affaires Pas d'accompagnement dans les démarches CNIL Pas de devis réalisable en ligne	En ligne
	+ 20 ans d'expérience Offre pour PME, associations, Grands Comptes Souscription rapide en ligne pour entreprise CA < 50 M€ Couverture complète, dont RC Pro Offre à dimension internationale	En ligne
	Pour les TPE / PME Garantie fraude en option Couverture complète, incluant la RC Pro Partenariat avec Europe Assistance pour la gestion de crise Formation en ligne de vos collaborateurs sur les risques cyber	En agence
	Contrat sur-mesure au-delà Contrat assez complet Contrat "de base" pour les entreprises au CA < 25 millions d'euros Prise en charge des frais de notification en cas de fuite Devis en contactant un conseiller	En agence
	RC Pro incluse de base Garantie dommages assez complète Garantie de prise en charge des frais de notification Devis en contactant un agent MMA	En agence
	Contrat assez complet Garantie RC Pro inclus Garantie pertes d'exploitation incluse de base Prise en charge de la reconstitution de données Pas de prise en charge des dommages matériels	En agence
	RC Pro incluse de base Contrat assez modulables Pertes d'exploitation en option Devis en contactant agent GAN Peu d'informations sur le site GAN	En agence

Pourquoi souscrire une assurance contre les cybercriminalités ?

Souscrire une assurance cyber permet de cartographier, via un audit informatique, les failles informatiques de votre entreprise, ce qui permettra de rectifier ces lacunes et définir vos besoins et garanties.

Voici une liste des principales garanties incluses dans un contrat de cyber sécurité :

• Des garanties de gestion d’incident / gestion de crise. Il s’agit ici d’une aide effective fournie par une équipe spécialisée, 24/24 h et 7/7j. Le plus souvent, l’assureur travaille avec un cabinet d’expertise spécialisé en cyber risques (le partenaire d’AIG est, par exemple, le cabinet INQUEST). 
• Des garanties « cyber dommages ». Ces garanties ont pour objet la prise en charge des conséquences financières de l’incident : rançon en cas de tentative d’extorsion, pertes d’exploitation si l’activité de l’entreprise est bloquée… 
• Des garanties de « cyber responsabilité ». Celle-ci entre en jeu si la Responsabilité Civile de l’entreprise ou de l’association est engagée (par exemple par un partenaire qui aurait vu des données confidentielles communiquées sur la place publique). 
• Des garanties couvrant la fraude informatique / téléphonique. 

En période de Covid-19 et de télétravail, les sinistres liés à la cyber sécurité sont en recrudescence. Toute entreprise ou association, quelle que soit son activité, a donc intérêt à souscrire à une telle couverture.  

À qui s’adresse l’assurance cyber risques ?

L'assurance cyber risques s'adresse à toute entreprise possédant des données sensibles en ligne. Peu importe sa taille, son secteur d’activité ou son chiffre d’affaires... Cette assurance est accessible à toutes les entreprises exposées aux cyber-risques : autoentrepreneurs, start-up, TPE, PME mais aussi les grands groupes. La cyber assurance protège financièrement votre société en cas de cyber-attaques.

Les plus grandes structures ont souvent un contrat sur-mesure, avec des garanties spécifiquement adaptées. Tandis que les plus petites entreprises (ainsi que les micro-entrepreneurs et professions libérales) ont accès à des packs multirisque « de base » auprès des assureurs qui commercialisent ce type de couverture. 

Attention toutefois, le contrat peut exclure certaines activités. L’offre de cyber assurance d’AIG n’est par exemple pas accessibles aux institutions financières, aux entreprises de jeux et paris, de production audiovisuelle et musicale… 

La souscription peut aussi être soumise à des conditions, comme par exemple l’installation d’un antivirus et de pares-feu pour tout le parc informatique / les serveurs de l’entreprise. 

Depuis mai 2018, un nouveau règlement européen sur la protection des données personnelles est adopté. Les entreprises visées par une fuite de données doivent le notifier à la CNIL ainsi que toutes les personnes concernées. L’amende en cas de non respect de ce protocole peut être très lourde (jusqu’à 4% du chiffre d’affaires mondial). Cette sanction constitue une raison de plus pour souscrire à une cyber assurance. 

Quelle prise en charge par la garantie cyber risques ?

La prise en charge de la garantie cyber risques dépend de la police d'assurance souscrite et des termes et conditions de cette dernière. En général, la garantie cyber risques couvre les coûts liés à la protection des données, à la restauration des systèmes informatiques et à la responsabilité civile en cas de violation de données. La garantie cyber risques intervient suite à une atteinte :

• aux données numériques (personnelles, confidentielles, médicales, bancaires) détenues par votre entreprise ;
• au système informatique (logiciels, serveurs, infrastructure réseau) de votre entreprise et ou de votre sous-traitant.

L’assurance cyber risques permet la prise en charge les conséquences financières telles que :

• Les dommages et intérêts versés aux tiers ;
• Les frais et honoraires de prestataires (avocat, expert informatique, consultant en gestion de crise…) ;
• La perte d’exploitation en cas d’interruption de l’activité de l’assuré ;
• Les amendes et sanctions infligées par les régulateurs.

Le tableau suivant détaille les garanties que couvre une cyber assurance :

Garanties	Détail des prestations comprises
Gestion de crise	Frais d’expertises de sécurité informatique Frais de communication et gestion de crise Frais de restauration et récupération des données Frais d’avocat Frais de monitoring et de surveillance Frais de notification
Responsabilité civile	Atteinte aux données personnelles et aux données confidentielles de tiers (dommages et intérêts) Prise en charge des réclamations des tiers consécutives à la diffusion de contenu sur les sites internet et les réseaux sociaux (diffamation par exemple) Prise en charge des dommages et intérêts même si l’assuré a sous-traité l’hébergement et le traitement de ses données
Pertes d'exploitation	Perte de revenus (marge brute) Frais supplémentaires d’exploitation Frais de transfert vers un autre prestataire d’externalisation
Enquêtes et sanctions	Accompagnement par un conseil juridique en cas d’enquête (CNIL ou PCI-DDS) Prise en charge des sanctions (CNIL) ou pénalités (PCI-DSS)
Cyber Extorsion	Accompagnement par un consultant en gestion de crise / négociation Prise en charge de la rançon (remboursement)
Fraude	Fraude informatique Fraude téléphonique

Quelle assurance cyber risques choisir ?

Pour choisir la meilleure cyber assurance, nous vous conseillons de comparer les différentes offres disponibles sur le marché et de comparer les devis entre eux. Le marché de la cyber assurance est en plein expansion et commence également à se développer pour les particuliers.

Les contrats « de base » se destinent à la majorité des entreprises et professionnels indépendants. Pour les plus grandes structures, il est préférable de passer par un contrat sur-mesure. Pour Allianz par exemple, le contrat de base est accessible aux entreprises faisant moins de 25 millions d’euros de chiffre d’affaires annuel. De même, auprès d’AIG, il faudra un contrat sur-mesure si l’entité réalise un CA de plus de 50 millions d’euros par an. 

Il est possible d’obtenir un devis personnalisé en ligne, et donc un tarif annuel, directement sur le site de l’assureur sondé. Cela est toutefois rare : la plupart du temps, il faudra entrer en contact avec un conseiller afin d’obtenir une estimation tarifaire et une proposition de couverture adaptée. Cela sera par exemple le cas si vous souhaitez solliciter MMA. 

Une fois plusieurs devis en votre possession, comparez les au regard notamment :

• Des garanties incluses, et donc des risques couverts ;
• Des services d’assistance (de gestion de crise cybersécurité) prévus ;
• Du montant des garanties (par exemple, quelle sera la durée maximale d’indemnisation des pertes d’exploitation liées à l’arrêt de l’activité ?) ;
• Des limites des garanties ;
• Des franchises ;
• De l’expérience de l’entité en matière de cyber assurance (plus de 20 ans pour AIG par exemple). 

Quel est le processus de gestion de crise en cas de cyber attaque ?

Tous contrats de cyber assurance intègrent des garanties dites « de gestion de crise » qui s’activent pendant un incident qui menace la cybersécurité de l'entreprise. 

Le cas échéant, l’entreprise a accès, via son contrat, à une équipe d’experts dédiés (en informatique, cybersécurité, droit…). Le plus souvent, il s’agit d’un cabinet spécialisé partenaire de l’assureur. Sa mission est de gérer la situation d’urgence afin que l’incident ait le moins de conséquences possible sur l’activité de l’entreprise : recherche de l’origine de l’attaque, sécurisation des réseaux, restauration des données… 

L’assureur prend en charge tous les frais inhérents à l’opération : frais d’intervention, de restauration, conseils juridiques, frais de surveillance… La prise en charge se limite bien sûr aux conditions de la garantie (et notamment au plafond posé). 

Depuis un règlement européen de 2018, l’entreprise confrontée à un vol de données confidentielles doit le notifier à la CNIL et aux clients / partenaires concernés. À défaut, elle s’expose à des sanctions, pouvant être très lourdes. La notification entraîne des frais, qui seront là encore pris en charge par l’assureur.  

Après l’incident, il est aussi possible que l’image de l’entreprise en ait pris « un coup ». Le contrat peut prévoir l’intervention d’experts en communication pour « réparer » cette atteinte à l’image. 

À défaut d’assurance, l’entreprise qui fait face à un sinistre informatique (attaque serveurs, ransomware…) est seule pour le gérer et limiter ses conséquences. Faire appel, dans de tels cas, à un expert ou à un cabinet spécialisé coûte cher. 

• Pourquoi et comment faire un audit informatique de son entreprise ?
• Cyber assurance Stoïk : avis, tarif et contact
• Que faire en cas de cyber attaque ?
• Pourquoi souscrire une assurance cyber ?