Quels sont les risques couverts par l’assurance cyber ?

La cyber assurance est aujourd’hui essentielle pour toutes les entreprises, associations et professionnels indépendants qui utilisent l’outil informatique (autant dire : tout le monde). Reste à bien comprendre quels sont les risques couverts et les garanties incluses dans une telle couverture. Voyons tout cela ensemble.   

Qu’est-ce qu’une cyber assurance multirisque ?

À l’époque de la transition numérique, chaque entreprise, association ou professionnel s’expose à un large éventail de « cyber risques ». 

La cyber assurance est un contrat multirisque qui couvre tout ou partie de ces risques : incidents liés au systèmes informatiques de l’entreprise, aux serveurs, aux données stockées (perte ou vol), piratage… Bon nombre d’assureurs sont aujourd’hui positionnés sur ce produit. 

L’étendue de couverture dépend bien entendu de la formule souscrite, et des éventuelles options ajoutées. La majorité des entreprises ont accès aux packs « de base »  mis au point par les compagnies d’assurance. Ceux-ci intègrent un socle de garanties essentielles. Les grandes entreprises (réalisant plus de 25 à 50 millions de chiffre d’affaires annuel, selon les polices d’assurance), auront quant à elles un contrat sur-mesure, conçu spécifiquement par l’assureur qu’elles auront choisi. 

L’assurance cyber risques intervient à différents niveaux

  • Pendant l’incident (piratage, ransomware, attaque Dos…), 
  • Après l’incident : garanties de prise en charge de frais et de sinistres cyber causés par l’incident, indemnisation d’éventuels tiers lésés (« cyber responsabilité »), accompagnement en cas d’enquête administrative… 
VoletGaranties principales
Gestion de l'incidentIntervention d'experts informatique, restauration de données, frais de notification…
Dommages subisPrise en charge de frais supplémentaires pour continuer l'activité, pertes d’exploitation, cyber-extorsion…
Cyber responsabilitéAtteinte aux données, atteinte à la sécurité du système informatique, responsabilité engagée pour non respect de l'obligation de notification…

L’objectif pour l’entreprise cherchant à se couvrir est alors, au moment de la comparaison de devis personnalisés, de dénicher le contrat au meilleur rapport qualité de couverture / prix. Idéalement, ce choix interviendra après un audit, réalisé en interne ou par une société extérieure, de la vulnérabilité aux risques informatiques

La gestion de crise par l’assurance cyber risques 

Un contrat de cyber assurance intègre tout d’abord des garanties dites « de gestion de crise ». Celles-ci s’activent pendant l’incident (une cyber attaque par exemple). 

Le cas échéant, l’entreprise a accès, via son contrat, à une équipe d’experts dédiés (en informatique, cybersécurité, droit…). Le plus souvent, il s’agit d’un cabinet spécialisé partenaire de l’assureur. Sa mission est de gérer la situation d’urgence afin que l’incident ait le moins de conséquences possible sur l’activité de l’entreprise : recherche de l’origine de l’attaque, sécurisation des réseaux, restauration des données… 

L’équipe d’experts est disponible 24/24h et 7/7j via une ligne d’urgence. Cela assure à l’entité couverte une intervention rapide et à tout moment. 

L’assureur prend en charge tous les frais inhérents à l’opération : frais d’intervention, de restauration, conseils juridiques, frais de surveillance… La prise en charge se limite bien sûr aux conditions de la garantie (et notamment au plafond posé). 

Depuis un règlement européen de 2018, l’entreprise confrontée à un vol de données confidentielles doit le notifier à la CNIL et aux clients / partenaires concernés. À défaut, elle s’expose à des sanctions, pouvant être très lourdes. La notification entraîne des frais, qui seront là encore pris en charge par l’assureur.  

Après l’incident, il est aussi possible que l’image de l’entreprise en ait pris « un coup ». Le contrat peut prévoir l’intervention d’experts en communication pour « réparer » cette atteinte à l’image

À défaut d’assurance, l’entreprise qui fait face à un sinistre informatique (attaque serveurs, ransomware…) est seule pour le gérer et limiter ses conséquences. Faire appel, dans de tels cas, à un expert ou à un cabinet spécialisé coûte cher. 

La prise en charge des dommages par l’assurance cyber

Cyber attaque, cyber extorsion, attaque des serveurs de l’entreprise… Tous les types d’incidents peuvent avoir des conséquences (notamment financières) plus ou moins graves pour l’entreprise. Il est même possible que son activité se retrouve paralysée, et cela se traduit inévitablement par une perte de chiffre d’affaires. 

La cyber assurance intègre heureusement des garanties « cyber dommages ». Celles-ci se traduisent par la prise en charge de tout un éventail de frais engagés, mais aussi des préjudices causés par l’incident. 

La principale garantie est celle couvrant les « pertes d’exploitation ». Si l’activité de l’entreprise s’arrête pendant une période plus ou moins longue, l’assureur versera une compensation. Cette prise en charge est bien sûr limitée (en termes de jours indemnisés / de montant). Attention ici à la franchise éventuelle et aux cas d’exclusion. Le contrat peut aussi inclure une garantie « frais supplémentaires d’exploitation » (frais engagés pour la bonne continuité de l’activité). 

La paralysie de l’activité, à la suite par exemple d’une attaque Dos, peut aller jusqu’à menacer la survie de l’entreprise, notamment s’il s’agit d’une petite structure. L’assurance a ici vocation à minorer l’impact financier de l’incident. 

La garantie « cyber extorsion » (ransomware) est aussi fondamentale. Si les données de l’entreprise sont bloquées jusqu’au versement d’une rançon, l’assureur pourra intervenir de diverses façons, selon le contrat : négociation, paiement de la rançon…  

Autres garanties que l’on trouve dans ce type de contrat multirisque : celles qui s’activent en cas d’enquête d’une autorité administrative. Selon les termes du contrat, l’assureur pourra prendre en charge les frais de défense de l’entreprise, les honoraires d’expert, le montant d’une éventuelle amende ou sanction…  

Cyber responsabilité : que fait l’assurance ?

La cyber assurance multirisque prévoit aussi des garanties de cyber responsabilité. En cas, par exemple, de fuite de données stockées et gérées par l’entreprise, il est possible que des tiers se sentent lésés et engagent sa responsabilité. Il peut s’agir de clients, de partenaires, de sous-traitants… De nombreux incidents peuvent causer ce sinistre : erreur humaine, atteinte à la sécurité du réseau informatique, piratage… 

Le cas échéant, le contrat peut prendre en charge les dommages et intérêts des parties lésées, les frais de défense, de procédure… Tout dépend ici des garanties souscrites. 

La garantie Responsabilité Civile professionnelle (RC pro « classique ») ne joue pas pour les sinistres liés à l’informatique / les cyber risques (ces derniers font en général l’objet d’exclusions). À défaut d’assurance cyber, ce sera à l’entreprise d’indemniser elle-même les victimes. 

Autres cas que nous avons déjà abordé : celui du manquement à l’obligation de notification d’un tel incident à la CNIL et aux personnes physiques / morales concernées par l’atteinte aux données. L’amende peut aller, le cas échéant, jusqu’à 4 % du chiffre d’affaires mondial. L’assurance peut prendre en charge les amendes et sanctions prononcées à l’encontre de l’entreprise couverte. 

Enfin, ce type de contrat prévoit souvent une garantie « média ». Concrètement, il s’agit d’un accompagnement et de conseils de professionnels du droit et des communications, destinés à redorer l’image de l’entreprise si celle-ci a été ternie par une fuite de données.  

Notez cet article

Note moyenne 5 / 5. Votes : 1


Un expert vous répondra