Cyber attaque, tentative d’extorsion, blocage des systèmes informatiques… En cas de survenance d’un tel cyber risque, l’entreprise couverte par une cyber assurance doit réagir vite afin de limiter au maximum les conséquences de l’incident. Comment mettre en oeuvre les garanties de son contrat d’assurance cyber risques ?
Sommaire
La gestion de crise par la cyber assurance
Un contrat de cyber assurance intègre plusieurs garanties liées à la gestion de l’incident lui-même, à condition bien sûr que celui-ci soit couvert par le contrat. Il faut donc qu’il y ait une atteinte aux données détenues par l’entreprise ou une atteinte aux systèmes et réseaux informatiques.
La première chose à faire en cas, par exemple, d’attaque réseau ou de tentative de cyber extorsion, est d’appeler la ligne d’urgence mise en place par l’assureur. Celle-ci est disponible 24/7.
Pour connaître le numéro, vérifiez votre contrat ou contactez votre cyber assureur. Faites-le le plus tôt possible : une prise en charge rapide minore les risques de voir l’activité de l’entreprise complètement arrêtée.
Ainsi, vous serez mis en contact avec une équipe d’experts en sécurité informatique. Il s’agit le plus souvent d’un cabinet spécialisé en cybersécurité / gestion des risques pour entreprises, constitué d’experts qualifiés en informatique, droit… Pour AIG par exemple, c’est le cabinet INQUEST qui se charge de la gestion de crise si une entreprise assurée est touchée par un cyber risque.
En principe, un consultant référent est assigné à votre cas. C’est lui qui vous assiste et coordonne l’intervention d’éventuels autres experts. Les actions concrètes entreprises par cette assistance sont de différents ordres : recherche de l’origine de l’incident, mise en place de mesures visant à la résolution ou favorisant la poursuite d’activité, restauration de données…
Tout cela a un coût. C’est toutefois l’assureur qui réglera la note, dans le cadre des garanties de gestion d’incident : frais d’investigation, d’enquête, de décontamination…
De votre côté, en cas de cyber attaque, coupez les réseaux (sauf indication contraire de l’expert) et débranchez tous les disques et supports amovibles.
Obligation de notification : que faire en cas de fuite de données ?
En vertu d’un règlement européen du 28 mai 2018 (le « Règlement général sur la protection des données » ou RGPD), l’entreprise doit obligatoirement notifier la CNIL si elle fait face à une fuite de données confidentielles (dans le cadre d’un vol par exemple).
Aux termes de la CNIL, la déclaration est obligatoire en cas de « perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite ».
La notification se fait directement sur le site de la CNIL (la Commission nationale de l’informatique et des libertés). Idéalement, faites-la dans les 72 heures suivant la prise de connaissance de l’incident.
Il faut donc notifier toute fuite réelle ou potentielle de données clients / de données personnelles de l’entreprise. Si la CNIL estime que c’est nécessaire, il faudra aussi notifier toutes les personnes concernées par cette fuite (les clients par exemple). Cela peut coûter très cher à l’entreprise (c’est heureusement couvert par la garantie « frais de notification » d’une cyber assurance).
L’entreprise qui ne respecte pas cette obligation légale s’expose à une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires mondial.
En cas de cyber incident type ransomware ou trojan, n’hésitez pas à consulter le site "cybermalveillance" mis en place par le gouvernement.
Quelles sont les conditions pour la cyber assurance puisse jouer ?
Plusieurs conditions doivent être réunies pour que les garanties du contrat de cyber assurance soient activées.
Premièrement, il faut que le sinistre soit causé par une personne couverte par le contrat, ou par un tiers (dans le cadre d’un piratage par exemple).
Il faut ensuite un « fait générateur » couvert par le contrat, lequel enclenche la garantie. Il peut être de divers types, comme par exemple :
- Atteinte aux systèmes informatiques de l’entreprise ou de l’entité assurée : intrusion, blocage, contamination (trojan…)…
- Atteinte aux données : données des clients, des collaborateurs, appartenant à des tiers, données de l’entreprise elle-même, des fournisseurs…
- Erreur humaine,
- Menace d’extorsion (ransomware),
- Atteinte au système informatique d’un prestataire ou d’un sous-traitant agissant sous la direction et la surveillance de l’entreprise assurée.
Au delà de cela, il faut bien entendu que le risque soit couvert par la police de cyber assurance. Tout dépend ici de la formule et des éventuelles options souscrites. Si la fraude téléphonique n’est par exemple pas intégrée dans la couverture, l’entreprise n’aura droit à aucune indemnisation le cas échéant.
Il faut enfin que l’incident intervienne pendant la période de couverture. Une enquête administrative enclenchée avant la souscription du contrat ne sera par exemple pas couverte.
Qui est couvert par l’assurance cyber ?
Les personnes et entités couvertes par le contrat de cyber assurance sont bien entendu celles qui sont mentionnées dans la police.
Il s’agit en général :
- De l’entreprise signataire (ou de l’association / du professionnel indépendant),
- De ses filiales,
- De ses préposés : employés, stagiaires, apprentis…
- De ses comités (comité d’entreprise par exemple),
- De certains de ses prestataires externes et sous-traitants, s’ils agissent sous son contrôle.
Cela signifie notamment qu’en cas de perte de données causée (par erreur) par une personne n’étant pas un préposé de l’entreprise, les garanties du contrat ne joueront pas.
Conseils de prévention contre les cyber risques
Toute entreprise peut, dans une certaine mesure, minorer les risques d’atteinte à ses réseaux et à ses données en respectant quelques bonnes pratiques.
En voici quelques-unes :
- Formation de tous les collaborateurs, y compris les nouveaux arrivants, sur les risques et la sécurité informatique,
- Bonne gestion des droits d’accès et des mots de passe (changement régulier, fermeture d’identifiants en cas de départ d’un salarié…),
- Mise en place et mise à jour régulière d’outils de protection informatique : antivirus, pare-feu…
- Mise à jour régulière des logiciels utilisés,
- Sauvegardes régulières des données de l’entreprise.
Entreprises, associations et professionnels indépendants peuvent faire réaliser une étude de vulnérabilité de leurs systèmes informatiques, site etc. par un cabinet spécialisé. Ce dernier pourra par exemple déceler des failles de sécurité et apporter ses conseils d’optimisation.
Quelle prise en charge par la garantie cyber risques ?
La garantie cyber risques intervient suite à une atteinte :
- aux données numériques (personnelles, confidentielles, médicales, bancaires) détenues par votre entreprise,
- au système informatique (logiciels, serveurs, infrastructure réseau) de votre entreprise et ou de votre sous-traitant
L’assurance cyber risques permet la prise en charge les conséquences financières telles que :
- Les dommages et intérêts versés aux tiers,
- Les frais et honoraires de prestataires (avocat, expert informatique, consultant en gestion de crise…),
- La perte d’exploitation en cas d’interruption de l’activité de l’assuré,
- Les amendes et sanctions infligées par les régulateurs.
| Garanties | Détail des prestations comprises |
|---|---|
| Gestion de crise |
|
| Responsabilité civile |
|
| Pertes d'exploitation |
|
| Enquêtes et sanctions |
|
| Cyber Extorsion |
|
| Fraude |
|
Un expert vous répondra