La garantie cyber risques est l’assurance des professionnels qui utilisent des outils numériques et qui stockent des informations sensibles.
Les « cyber risques » sont aujourd’hui une réalité pour toute entreprise ou association. Au regard d’études récentes, il s’agit même là de l’un des tous premiers risques d’entreprise en 2023. Toutefois, peu d'assureurs sont présents sur ce marché et les conditions contractuelles ne sont pas toujours claires. Voyons ensemble ce que couvre la cyber assurance, combien coûte ce contrat et comment choisir la meilleure offre.
Qu’est-ce qu’une cyber assurance ?
Une assurance cyber est une assurance multirisque, qui couvre l'entreprise sur ses opérations et transactions numériques. Souscrire une cyber assurance protège des potentielles cyber-attaques : perte ou vol d’informations confidentielles, piratage, demande de rançon à la suite d’un blocage de données (ransomware), attaque serveurs, etc.
Ces cyber-attaques peuvent provoquer de nombreuses conséquences, comme la paralysie de l'activité, perte irrémédiable de données, atteintes à l’image, ou encore la responsabilité engagée à l’égard de tiers.
Quelles sont les meilleures assurances cyber ?
Coover a étudié pour vous plusieurs contrats d'assurance cyber risques disponibles sur le marché.
| Assureur | Notre avis | Devis |
|---|---|---|
 |
Pionnier de la cyber assurance en France depuis 2018. Audit informatique inclus et gratuit pour les assurés. Large gamme de solutions assurance cyber (TPE/PME/ ETI) Travaille avec plusieurs compagnies d’assurance. Disponible 24/7 – 7 /7 en cas de cyber attaque. | En ligne |
 |
+ 20 ans d'expérience Formation en ligne de vos collaborateurs sur les risques cyber Souscription rapide (pour les entreprises au CA < 50 M€) Assurance cyber responsabilité peut être incluse dans une RC professionnelle | En ligne |
 |
Offre accessible à toutes les entreprises RC seulement optionnelle Option perte de chiffre d'affaires Pas d'accompagnement dans les démarches CNIL Pas de devis réalisable en ligne | En ligne |
 |
+ 20 ans d'expérience Offre pour PME, associations, Grands Comptes Souscription rapide en ligne pour entreprise CA < 50 M€ Couverture complète, dont RC Pro Offre à dimension internationale | En ligne |
 |
Pour les TPE / PME Garantie fraude en option Couverture complète, incluant la RC Pro Partenariat avec Europe Assistance pour la gestion de crise Formation en ligne de vos collaborateurs sur les risques cyber | En agence |
 |
Contrat sur-mesure au-delà Contrat assez complet Contrat "de base" pour les entreprises au CA < 25 millions d'euros Prise en charge des frais de notification en cas de fuite Devis en contactant un conseiller | En agence |
 |
RC Pro incluse de base Garantie dommages assez complète Garantie de prise en charge des frais de notification Devis en contactant un agent MMA | En agence |
 |
Contrat assez complet Garantie RC Pro inclus Garantie pertes d'exploitation incluse de base Prise en charge de la reconstitution de données Pas de prise en charge des dommages matériels | En agence |
 |
RC Pro incluse de base Contrat assez modulables Pertes d'exploitation en option Devis en contactant agent GAN Peu d'informations sur le site GAN | En agence |
Pourquoi prendre une assurance cyber risques ?
Souscrire une assurance cyber permet de cartographier, via un audit informatique, les failles informatiques de votre entreprise, ce qui permettra de rectifier ces lacunes et définir vos besoins et garanties. Voici une liste des principaux cyber risques couverts avec :
- Des garanties de gestion d’incident / gestion de crise. Il s’agit ici d’une aide effective fournie par une équipe spécialisée, 24/24 h et 7/7j. Le plus souvent, l’assureur travaille avec un cabinet d’expertise spécialisé en cyber risques (le partenaire d’AIG est, par exemple, le cabinet INQUEST).
- Des garanties « cyber dommages ». Ces garanties ont pour objet la prise en charge des conséquences financières de l’incident : rançon en cas de tentative d’extorsion, pertes d’exploitation si l’activité de l’entreprise est bloquée…
- Des garanties de « cyber responsabilité ». Celle-ci joue si la Responsabilité Civile de l’entreprise ou de l’association est engagée (par exemple par un partenaire qui aurait vu des données confidentielles communiquées sur la place publique).
- Des garanties couvrant la fraude informatique / téléphonique.
En période de Covid-19 et de télétravail, les sinistres liés à la cyber sécurité sont en recrudescence. Toute entreprise ou association, quelle que soit son activité, a donc intérêt à souscrire à une telle couverture.
Très peu d'assureurs remboursent les demandes de rançon en cas de cyber attaque.
À qui s’adresse l’assurance cyber risques ?
L'assurance cyber risques s'adresse à toute entreprise possédant des données sensibles en ligne. Peu importe sa taille, son secteur d’activité ou son chiffre d’affaires, cela vaut aussi pour les associations, les auto-entrepreneurs et les professions libérales.
Le marché de la cyber assurance est relativement dense : il est possible de trouver un contrat pour PME, PMI, associations, grandes entreprises… Le contrat couvre en principe l’entreprise signataire mais aussi ses filiales.
Les plus grandes structures ont souvent un contrat sur-mesure, avec des garanties spécifiquement adaptées. Les plus petites entreprises (ainsi que les micro-entrepreneurs et professions libérales) ont accès à des packs multirisque « de base » auprès des assureurs qui commercialisent ce type de couverture.
Attention toutefois : le contrat peut exclure certaines activités. L’offre de cyber assurance d’AIG n’est par exemple pas accessibles aux institutions financières, aux entreprises de jeux et paris, de production audiovisuelle et musicale…
La souscription peut aussi être soumise à des conditions, comme par exemple l’installation d’un antivirus et de pares-feu pour tout le parc informatique / les serveurs de l’entreprise.
Précisons enfin que depuis mai 2018 et un nouveau règlement européen quant à la protection des données personnelles, les entreprises visées par une fuite de données doivent le notifier à la CNIL ainsi qu’à toutes les personnes concernées. L’amende en cas de non respect peut être très lourde (jusqu’à 4% du chiffre d’affaires mondial). Raison de plus pour souscrire à une cyber assurance.
Que couvre une assurance cyber ?
Une cyber assurance est un contrat multirisque, qui couvre en principe tous les risques liés à l’informatique de l’entreprise. En voici quelques-uns :
- Vol / blocage de données (des clients par exemple),
- Attaque / intrusion dans les serveurs (Dos),
- Virus, trojan…
- Rançons (ransomware),
- Hameçonnage,
- Blocage du système informatique,
- Atteinte à l’image de l’entité,
- Panne de serveur entraînant une perte d’activité.
De manière générale, l’assurance prévoit une prise en charge de frais divers nécessaires pour réagir au plus vite : frais d’intervention informatique, frais de notification (dans le cadre du règlement européen), frais de restauration (du site web de l’entreprise notamment)…
Quelle prise en charge par la garantie cyber risques ?
La garantie cyber risques intervient suite à une atteinte :
- aux données numériques (personnelles, confidentielles, médicales, bancaires) détenues par votre entreprise,
- au système informatique (logiciels, serveurs, infrastructure réseau) de votre entreprise et ou de votre sous-traitant
L’assurance cyber risques permet la prise en charge les conséquences financières telles que :
- Les dommages et intérêts versés aux tiers,
- Les frais et honoraires de prestataires (avocat, expert informatique, consultant en gestion de crise…),
- La perte d’exploitation en cas d’interruption de l’activité de l’assuré,
- Les amendes et sanctions infligées par les régulateurs.
| Garanties | Détail des prestations comprises |
|---|---|
| Gestion de crise |
|
| Responsabilité civile |
|
| Pertes d'exploitation |
|
| Enquêtes et sanctions |
|
| Cyber Extorsion |
|
| Fraude |
|
Combien coûte une cyber assurance ?
Le prix d’une assurance cyber risques dépend de nombreux critères. Il est donc très important de solliciter un maximum de devis personnalisés.
Sont pris en compte par les assureurs pour formuler des propositions tarifaires :
- La nature de l'activité exercée,
- Le chiffre d'affaires de la société,
- Le plafond de garantie,
- La politique tarifaire de l'assureur (AIG, Axa, APRIL, Hiscox, Beazley, Stoïk…),
- Le montant des franchises,
- Les garanties optionnelles sélectionnées (par exemple : l’option fraude téléphonique / informatique).
En général, les compagnies d’assurance proposent un ou plusieurs packs qu’il est possible d’assortir d’options pour une protection optimale. Le niveau de garanties et leurs conditions (plafonds, franchises…) influent évidemment largement sur le prix.
Le tarif minimal d'un contrat cyber risques est de 350€/an pour un plafond de couverture de 50 000€.
Bien entendu, plus le chiffre d’affaires est élevé ou l’activité de l’entreprise « sensible », plus la cotisation annuelle de la cyber assurance grimpe. Celle-ci doit toutefois être mise en rapport avec les conséquences financières d’un éventuel sinistre, qui peuvent être très lourdes : paiement d’une rançon, pertes d’exploitation en cas d’arrêt de l’activité, recours de tiers… En moyenne, une cyber attaque coûte environ 50 000€ à une entreprise.
Il existe également quelques rares contrats d'assurance cyber pour particulier mais nous manquons de recul pour juger de leur pertinence.
Quelle assurance cyber risques choisir ?
Pour choisir la meilleure cyber assurance, nous vous conseillons de comparer les différentes offres disponibles sur le marché et de comparer les devis entre eux. Le marché de la cyber assurance est en plein expansion et commence également à se développer pour les particuliers.
De plus en plus d’assureurs proposent leurs propres formules. Il est par exemple possible de souscrire à une cyber assurance risques Axa ou auprès de Hiscox.
Les contrats « de base » se destinent à la majorité des entreprises et professionnels indépendants. Pour les plus grandes strucutres, il faudra passer par un contrat sur-mesure. Pour Allianz par exemple, le contrat de base est accessible aux entreprises faisant moins de 25 millions d’euros de chiffre d’affaires annuel. De même, auprès d’AIG, il faudra un contrat sur-mesure si l’entité réalise un CA de plus de 50 millions d’euros par an.
Il est possible d’obtenir un devis personnalisé en ligne, et donc un tarif annuel, directement sur le site de l’assureur sondé. Cela est toutefois rare : la plupart du temps, il faudra entrer en contact avec un conseiller afin d’obtenir une estimation tarifaire et une proposition de couverture adaptée. Cela sera par exemple le cas si vous souhaitez solliciter MMA.
Une fois plusieurs devis en votre possession, comparez les au regard, notamment :
- Des garanties incluses, et donc des risques couverts,
- Des services d’assistance (de gestion de crise cybersécurité) prévus,
- Du montant des garanties (par exemple, quelle sera la durée maximale d’indemnisation des pertes d’exploitation liées à l’arrêt de l’activité ?),
- Des limites des garanties,
- Des franchises,
- De l’expérience de l’entité en matière de cyber assurance (plus de 20 ans pour AIG par exemple).
Quel est le processus de gestion de crise en cas de cyber attaque ?
Tous contrats de cyber assurance intègrent des garanties dites « de gestion de crise » qui s’activent pendant un incident qui menace la cybersécurité de l'entreprise.
Le cas échéant, l’entreprise a accès, via son contrat, à une équipe d’experts dédiés (en informatique, cybersécurité, droit…). Le plus souvent, il s’agit d’un cabinet spécialisé partenaire de l’assureur. Sa mission est de gérer la situation d’urgence afin que l’incident ait le moins de conséquences possible sur l’activité de l’entreprise : recherche de l’origine de l’attaque, sécurisation des réseaux, restauration des données…
L’équipe d’experts est disponible 24/24h et 7/7j via une ligne d’urgence. Cela assure à l’entité couverte une intervention rapide et à tout moment.
L’assureur prend en charge tous les frais inhérents à l’opération : frais d’intervention, de restauration, conseils juridiques, frais de surveillance… La prise en charge se limite bien sûr aux conditions de la garantie (et notamment au plafond posé).
Depuis un règlement européen de 2018, l’entreprise confrontée à un vol de données confidentielles doit le notifier à la CNIL et aux clients / partenaires concernés. À défaut, elle s’expose à des sanctions, pouvant être très lourdes. La notification entraîne des frais, qui seront là encore pris en charge par l’assureur.
Après l’incident, il est aussi possible que l’image de l’entreprise en ait pris « un coup ». Le contrat peut prévoir l’intervention d’experts en communication pour « réparer » cette atteinte à l’image.
À défaut d’assurance, l’entreprise qui fait face à un sinistre informatique (attaque serveurs, ransomware…) est seule pour le gérer et limiter ses conséquences. Faire appel, dans de tels cas, à un expert ou à un cabinet spécialisé coûte cher.
Un expert vous répondra