Pourquoi choisir une cyber assurance ? Guide complet pour protéger votre entreprise en ligne
Publié dans Cybersécurité
24 novembre 2023 /
Par :
Partager
D’après l’enquête Asteres de juin 2023, une organisation française subit en moyenne 1,8 attaque réussie par an. Sur les 12 derniers mois, le nombre d’attaques sur une partie des entreprises françaises toutes tailles confondues a été multiplié par deux.
Dans ce nouveau article, découvrez pourquoi choisir une cyber assurance avec Rémi Bottin de Bessé Assurances.
Qu’est-ce qu’une cyber assurance ?
Par définition, la cyber-assurance est un type de police d’assurance conçue pour compenser les préjudices qui interviennent à la suite d’une indisponibilité de vos systèmes d’information. Que ce soit à la suite d’une cyber-attaque ou d’une erreur humaine.
Cette assurance va prendre en charge plusieurs types de préjudices :
- Les conséquences de votre impossibilité à délivrer votre prestation ou produit à travers ce que l’on appelle des « pertes d’exploitation » ou des « frais supplémentaires ». Ce sera la partie la plus importante de votre préjudice.
- Les frais occasionnés pendant la gestion de crise qui comprennent notamment les frais des spécialistes qui vont vous accompagner tout au loin de cette épreuve. Les experts qui vont s’attacher à trouver l’origine de la menace, y remédier et éventuellement vous aider à reconstruire vos SI afin que vous puissiez reprendre au plus vite et de façon sécurisée votre exploitation. Les communicants qui vous accompagneront tant en interne qu’en externe pour avoir un discours transparent et audible par toutes et tous.
- Un volet de recherche en responsabilité liée à votre incapacité à délivrer vos produits ou prestations est également important. Ainsi, si vous faites partie d’une supply chain vous aurez peut-être des pénalités contractuelles qui vous seront imputées et également l’éventuelle perte de chiffre d’affaires liée à l’indisponibilité de vos prestations, produits ou pièces. Il est à noter que de plus en plus de grands donneurs d’ordre vous demandent si vous êtes couverts par une police cyber afin d’évaluer votre maturité sur ce risque.
Vous avez dans le schéma suivant une modélisation d’une crise cyber qui est, à l’unité d’affaire fausse et globalement juste. Elle met en évidence ces différents préjudices et vous présente également un élément important à avoir en tête : vous serez fortement désorganisé pendant une période de 3 semaines.
Concernant les polices d'assurance contre les cyberattaques, elles vont varier selon les retours d’expériences que vont avoir les assureurs de ce risque cyber et des besoins spécifiques qui seront nécessaires à votre entreprise.
Les primes et les limites de couverture vont dépendre de facteurs tels que la taille de l'entreprise, le secteur d'activité, le montant des capitaux à couvrir et surtout le niveau de sécurité informatique en place : prévention, protection, plan de gestion de crise, exercice de gestion de crise, etc.
Comment le marché de l’assurance appréhende-t-il ce volet cyber ?
Post Covid, il n’échappe maintenant à aucun chef d’entreprise que cette assurance cyber est un des éléments permettant à son entreprise d’être résiliente en cas d’attaque de cybersécurité. Plus aucun dirigeant ne s’imagine être à l’abri des hackers et de leurs rançongiciels.
Le baromètre du CESIN de 2022 montre que 60% des cyberattaques réussies impactent assez fortement le business, en représentant une perte de plus de 25% du chiffre d’affaires. Et pour rappel, si la cybercriminalité était un état, ce serait la troisième économie mondiale après les USA et la Chine infligeant 6 000 milliards de dollars de dommages dans le monde en 2021.
Cette perte peut prendre diverses formes : perturbations ou arrêts de production (plusieurs semaines), compromissions d’informations, ou encore un impact négatif sur la réputation de l’entreprise. Parmi les dernières victimes : Pole Emploi, la commune de Betton, le CHU de Rennes, Toyota, etc. Peu importe la taille ou le secteur de l’entreprise, nul n’est épargné. Il convient donc d’anticiper les attaques, de se prémunir et surtout d’assurer la résilience en cas de compromission.
L’accroissement du nombre d’attaques et la facilité avec laquelle les hackers ont réussi à pénétrer dans les systèmes d’informations de nos entreprises ont conduit le marché de l’assurance à monter en compétence en matière de souscription. Et à demander de plus en plus d’éléments afin d’être éligible à cette assurance cyber.
L’assureur chercher donc à connaitre votre maturité en matière de cybersécurité avec évidemment des questions de plus en plus précises selon que vous ayez besoin de capitaux à assureur importants. Vous verrez ainsi apparaitre des questions sur :
- La sécurité de votre SI
- La mise en place d’EDR et d’XDR
- La gestion des sauvegardes
- La formalisation de plan de reprise d’activité (PRA) et plan de continuité (PCA)
- Les formations de vos salariés
- L'exercice de gestion de crise
- Etc.
Il est important de bien connaitre le niveau d’exigence attendu pour être sûr que les services de souscription des assureurs seront intéressés par votre dossier. Parfois, il vaut mieux attendre de mettre en place les mesures de cybersécurité indispensables et effectuer un pentest.
La problématique est donc de réussir à passer ce cap de la souscription.
"Les assureurs préféreront ne pas souscrire, plutôt que de souscrire un « risque quasi certain ou sans aléas »." Rémi Bottin, Directeur Synergies et Développement chez Bessé Assurances
Comment fonctionne une assurance cyber après un sinistre ?
Soyez conscients que les assureurs sont bien présents lors des sinistres et honorent leurs engagements contractuels. Notre rôle en qualité de courtier, mandataire du client, est de vous accompagner lors de cet évènement particulièrement traumatisant qu’est le sinistre.
Cet accompagnement commencera avant la crise et dès la signature du contrat car la clef de la bonne gestion de cette crise réside dans l’anticipation :
- Le recensement et la correction des failles
- Les exercices de simulation
- Le Plan de Continuité Informatique (PCI) visant à anticiper les rôles de chacun
Ensuite, en cas d’attaque l'assureur sert de “chef d’orchestre” avec tous les acteurs qui vont intervenir et notamment celui primordial de la réponse à incident, intégrée ou non qui devra prendre soin de conserver les journaux d’évènement afin d’identifier le vecteur de compromission. Il faudra ainsi faire le lien entre les équipes de votre assureur et de votre prestataire en cybersécurité à Rennes qui vont mettre tout en œuvre pour limiter les impacts et préjudices de cette attaque.
Les différentes étapes de la gestion d’une crise de cybersécurité sont les suivantes :
- Découverte de l’incident – indisponibilité du SI
- Déclaration de sinistre – appel du service d’assistance
- Porter plainte dans les 72H sous peine de déchéance des garanties du contrat d’assurance
- Évaluation de l’incident
- Mise en œuvre des mesures d’atténuation
- Gestion de la crise
- Indemnisation
- Suivi et résolution
Pendant toute cette gestion de crise, un point régulier entre vous, l’assureur et nous permettra d’être alignés et d’engager toutes les mesures vous permettant de redémarrer au plus vite et dans les meilleures conditions.
Faut-il doter son entreprise d’une assurance cyber ?
Vous avez compris que la cyber assurance est un des éléments qui va vous permettre de protéger votre entreprise contre les risques de cyberattaques et de violations de données. Si votre entreprise est victime d'une cyberattaque, cela entraine des pertes financières importantes et nuit à votre réputation.
Avant toute souscription, un énorme travail est fait en interne et de façon transverse avec vous pour :
- Comprendre quelles peuvent être les conséquences ?
- Quelles actions mener pour minimiser celles-ci ?
- Sur qui s’appuyer en interne et en externe pour gérer la crise ?
- Comment communiquer et qui est le plus à même pour le faire ?
- Etc.
"On peut considérer que la souscription d’une police d’assurance en cybersécurité est le gage sur le fait que vous avez correctement placé le sujet au bon niveau d’importance et avez mis en place les bonnes ressources techniques et humaines pour prémunir votre entreprise au maximum des conséquences de cette menace." Rémi Bottin, Directeur Synergies et Développement chez Bessé Assurances
C’est un peu le tampon de « validation » qui attestera à toutes vos parties prenantes (actionnaires, investisseurs, donneurs d’ordres, banquiers) de votre maîtrise du sujet et de votre résilience.
Comment rendre son entreprise éligible à la souscription d’une cyber-assurance ?
Actuellement pour les ETI, voilà les mesures à prendre pour les rendre éligibles à une cyber assurance sont :
- Établir un plan de gestion de la sécurité de l'information : un plan de gestion de la sécurité de l'information (SGSI) vous aidera à évaluer les risques de sécurité de votre entreprise et à mettre en place des mesures de protection appropriées. Et surtout, testez-le régulièrement.
- Former votre personnel : assurez-vous que votre personnel est conscient des risques de cybersécurité et qu'il sait comment les prévenir.
- Mettre à jour vos logiciels et vos systèmes : assurez-vous de toujours utiliser les dernières versions de vos logiciels et de mettre à jour vos systèmes régulièrement.
- Installer un pare-feu et un logiciel XDR ou EDR : ils aident à protéger votre réseau contre les attaques en ligne.
- Utiliser la double authentification (MFA) pour vous connecter.
- Effectuer régulièrement des sauvegardes externalisées : en effectuant régulièrement des sauvegardes de vos données, vous pourrez les récupérer en cas de perte ou de corruption de celles-ci.
- Bastion informatique (PAM) : pour la gestion des accès à privilège.
En protégeant ainsi votre entreprise, elle sera plus résiliente et donc plus facilement éligible aux cyber assurances.
Quel est le prix d’une assurance cyber ?
Les facteurs influençant le coût de la cyber assurance sont :
- Capitaux
- Taille de l’entreprise
- Secteur d’activité
- Mesures de sécurité en place
- Niveau de couverture
- Franchise
- Antécédents de cybersécurité
- Évaluation des risques
- Lieu géographique
Comparaison des tarifs et des options disponibles sur le marché
Les contrats sont généralement complets. Pour les cas les plus complexes, on peut imaginer des contrats spécifiques (remédiation / gestion de crise, perte d’exploitation, dégâts aux autres). Le cas classique reste un contrat qui couvre tout.
de Blue
Partager
NIS 2 : Comment être conforme à la Directive ? (3/4)
La Directive européenne NIS 2 nous fait nous questionner. En particulier lorsqu’il…
Retour sur le French Cyber Tour et les solutions de cybersécurité 100% françaises.
Retour d’expérience : les événements sur la cybersécurité « French Cyber Tour » de…
NIS 2 : Qui est concerné ? Présentation de la Directive (2/4)
La directive européenne NIS 2 interroge. En effet, qui est concerné ?…