Qu’est-ce qu’une assurance cyber et faut-il la souscrire ?

cyber-attaque
 
 
Il ne se passe pas un jour sans qu’une entreprise, petite ou grande, ne soit victime d’une attaque cyber. Pour les organisations, la question n’est plus de savoir si elles vont en être victimes mais quand. Face à cette situation, comment les assureurs couvrent-ils ce risque ? Etat des lieux.
 
L’assurance cyber constitue la solution ultime une fois que l’entreprise a déployé toutes les mesures de prévention pour protéger ses données numériques, sécuriser son environnement informatique et se conformer à la règlementation en vigueur. « Sans ce travail préalable, et les investissements indispensables qui en découlent, il sera difficile pour une entreprise de s’assurer, explique Sophie Di Meglio, Directrice des Risques spéciaux chez Swiss Risk & Care. 

Ce que couvre une assurance cyber

L’assurance cyber s’applique en cas d’incident de sécurité et d’atteintes au système d’information ou aux données personnelles et confidentielles d’une entreprise. Elle offre principalement :
  •  L’assistance et la gestion de la crise : l’assureur met à la disposition de l’entreprise une hotline 24h/7j qui va l’orienter vers des spécialistes IT, des experts en gestion de crise et des juristes. Ce service mobilisable aux premières heures de l’attaque est déterminant dans la gestion de la crise afin d’en limiter l’impact, notamment sur la réputation de l’entreprise. 
  •  La garantie dommages propres : elle couvre notamment les coûts engagés pour permettre la restauration des données, la décontamination des systèmes, les frais de notification aux autorités et tiers, de monitoring et de surveillance ainsi que la perte de revenus consécutive à une interruption d’exploitation (avec un délai de carence entre 6h et 48h selon l’assureur). Sont également pris en charge les frais relatifs à la cyber extorsion, tels que le coût des consultants mobilisés afin d’éviter que la menace de blocage ou de vols de données ne soit exécutée. Certains assureurs acceptent encore de payer la rançon en l’absence d’aucune autre alternative mais c’est de plus en plus rare. Cette garantie devrait pouvoir s’étendre aux prestataires du preneur d’assurance qui gèrent son système informatique ou hébergent ses données, en cas d’incidents. 
  •  La garantie responsabilité civile : elle prend en charge les frais de défense et les dommages-intérêts éventuels dans le cadre de réclamations de tiers liées à la protection des données ou en cas d’atteinte dans le cadre de diffusion de contenu électronique.
Certains assureurs proposent une extension cyber à leur police d’assurance Choses ou Responsabilité Civile mais les garanties sont généralement moindres et les compensations financières faibles. « Néanmoins, c’est une solution intéressante pour les PME, précise Sophie Di Meglio, les compagnies pionnières de l’assurance Cyber étant aujourd’hui plus exigeantes pour les assurer voire, pour certaines, n’assurant plus les PME en deçà d’un certain chiffre d’affaires. »

Et ce que l'assurance cyber ne couvre pas

Parmi les principales exclusions, nous trouvons les dommages corporels, matériels et de préjudices de fortune, les dommages dus à l’usure ou au vieillissement des supports de données ou au manque de compatibilité entre données numériques et logiciels ou entre logiciels, la défaillance ou panne d’infrastructures d’utilité publique (interruption de réseau), la violation de brevets commerciaux, etc. D’un assureur à l’autre, les obligations imposées au preneur d’assurance diffèrent et pourraient le priver de garantie en cas de non-respect. Et Sophie Di Meglio de rappeler : « Il est important de lire l’intégralité des contrats ce qui peut être complexe pour un néophyte. Se faire accompagner par un courtier constitue la bonne solution d’autant que les critères et les conditions des assureurs évolue dans le temps, en particulier en raison de la hausse exponentielle du nombre des cyber attaques depuis 2 ans. »


Ne seront également pas couverts les dépenses consécutives aux nouveautés introduites à la suite d’un sinistre (par exemple, l’actualisation de logiciels ou du système IT), les frais et pertes liés à un manque de capitaux causé par un sinistre assuré, et ce qui relève d’un contrat Responsabilité Civile des Dirigeants. Pour en savoir plus sur les moyens disponibles pour faire face aux risques en tant que dirigeant, nous vous invitons à visionner notre webinaire en replay > Administrateurs, dirigeants : comment faire face aux risques en responsabilité civile ?


Sophie Di Meglio ajoute : « certains secteurs professionnels considérés comme très exposés au risque cyber sont de fait exclus par les assureurs. C’est le cas des entreprises qui réalisent la majorité de leur chiffre d’affaires sur internet, des prestataires IT, des infrastructures « critiques » telles que les sociétés de télécom, les établissements médicaux ou les fournisseurs d’eau, etc. »

Ce que vous demandera un assureur

Généralement, l’entreprise devra renseigner un questionnaire de souscription. Certaines compagnies n’en exigeront pas s’il s’agit de l’extension d’un contrat Choses ou RC existant.

Pour accepter d’assurer l’entreprise, les compagnies portent une attention particulière à plusieurs points tels que la formation régulière du personnel sur la protection des données et la sécurité, le profil et la quantité de données sensibles traitées, la régularité des mises à jour, la protection contre les malwares, la sécurité du réseau et l’authentification multi-facteur, la sauvegarde et la restauration des données, le plan de réponse et les tests de ce dernier.
 
Attention : un seul incident survenu par le passé peut suffire à rendre l’entreprise difficilement éligible à une assurance cyber !

L’assurance cyber, une aide à la prévention

Protéger ses données doit constituer la priorité des conseils d’administration et des comités de direction. Ils pourraient se voir reprocher une absence ou une insuffisance de gestion des risques cyber (en référence aux articles 717 et 754 du Code des Obligations). L’assurance Cyber constitue un outil de prévention efficace. Les conditions exigées par les assureurs pour la souscription sont finalement les mesures que toute entreprise devrait aujourd’hui avoir mises en place pour lutter efficacement contre les attaques cyber.
 
 
 
chiffres-cles-cyberattaque-suisse

Le risque cyber… l’affaire de tous dans l’entreprise

 

Le risque cyber est-il bien pris en compte par les entreprises ? 

La plupart des PME minimisent le risque cyber. Pourtant, elles ne sont pas à l’abri des attaques. Pour les cybercriminels, il est plus facile de pirater des PME, qui manquent de ressources dédiées, et d’obtenir le paiement d’une rançon. Par ailleurs, elles sont la porte d’entrée pour atteindre leurs clients, avec lesquels elles sont connectées. 

Le risque cyber n’est pas qu’un sujet IT. C’est aussi une responsabilité des dirigeants. Comment les sensibiliser ? 

Les dirigeants sont responsables de la pérennité de l’entreprise. Une cyberattaque peut avoir des impacts graves, en termes financiers et de réputation. La faille étant à 95% humaine, la formation de tous est indispensable. Les outils IT sont nécessaires, mais ne suffisent pas : les dirigeants doivent identifier les actifs critiques à protéger, mettre en place une organisation, des processus, des règles, un audit régulier, et se préparer à gérer la crise qui va arriver. 

Quels sont les enjeux à venir de la cyber sécurité ? 

Les attaques vont se multiplier. La cybersécurité est basée sur la gestion de risques, l’anticipation de la crise, la mise en place de moyens, notamment humains, le développement d’une culture dans l’ensemble des organisations (le risque est systémique !). Comme pour l’automobile, la sécurité s’améliorera avec du matériel fiable, des contrôles techniques, un permis de conduire obtenu grâce à de la formation, un code de la route et un contrôle de l’application de règles standard.

 
 
 
Marie-de-Fréminville
Marie de Fréminville, est experte en gouvernance et en gestion du risque. Après un parcours au sein de grandes entreprises internationales, elle met son expérience au service des entreprises suisses au sein de son cabinet de conseil Starboard Advisory. Par ailleurs, elle est Vice-Présidente du Cercle suisse des administratrices.
 
Ce dossier est paru dans Insurance Inside n°25 - mars 2022. 
 
Nos services associés

Assurer mon entreprise

couvrir-les-risques-conseiller-crop
En tant que courtier en assurances toutes branches, nous proposons aux entreprises, quelle que soit leur taille, une couverture complète de leurs risques, et ce, au meilleur rapport couverture/risque.
En savoir plus
Nos actualités