Assurance des cyber-risques: quelle couverture adopter?
Publié par Benedicte Gouttebroze le - mis à jour à
Ransomwares, piratage de sites et vol de données font aujourd'hui partie des risques quotidiens pour les entreprises. Pour accompagner leurs clients face à cette menace, les assureurs ont développé des offres dédiées aux cyber-risques. Comment évaluer ses besoins en la matière ?
Au cours des cinq dernières années, 92% des entreprises européennes ont subi une cyber-intrusion, selon l'étude "Faire face au défi de la cyber-sécurité", publiée en septembre 2016 par le Lloyd's, marché d'assurance. Kaspersky Lab, société spécialisée dans la sécurité du SI, souligne dans son bulletin 2016 que toutes les 40 secondes, une entreprise est victime d'un ransomware. Alors qu'en 2015, la fréquence était d'une attaque toutes les deux minutes... La vague mondiale de cyberattaque qui est intervenue le vendredi 12 mai n'a fait que confirmer ces chiffres alarmistes.
Pourtant, l'assurance de ces cyber-risques reste encore à la marge dans nombre d'organisations: en 2015, moins de 5% des entreprises françaises avaient déjà souscrit une cyber-assurance, selon une étude conjointe d'Ifop et PwC. "Avec plus de trois milliards d'individus ayant accès à Internet dans le monde, ne pas être assuré contre les cyber-attaques devrait paraître, aujourd'hui, aussi saugrenu que de ne pas l'être contre le risque d'incendie", alerte Jean-Marc Sarter, senior consultant assurance au sein du groupe de conseil Ayming.
"L'assurance cyber n'est pas l'alternative à la prévention/protection du SI, mais son complément."
Alain Depiquigny, fondateur de Datassurances
Quels sont les risques couverts par ce type de police? Les cyber-risques regroupent toutes les atteintes touchant les systèmes électroniques et/ou informatiques, ou encore les données informatisées. Attention, donc, à la définition des risques couverts par la cyber-assurance: "Le besoin de couverture cyber ne doit pas être confondu avec celui d'assurance fraude, qui relève d'un autre type d'assurance, avertit Alain Depiquigny, fondateur de Datassurances, courtier en assurances des cyber-risques qui travaille en cocourtage avec Gras Savoye. La fraude au président, par exemple, ne sera pas couverte par une assurance des cyber-risques." Cependant, certaines compagnies, à l'instar de CNA, proposent des contrats mixtes fraude et cyber. Parmi les atteintes couvertes par la plupart des assurances cyber figurent le chiffrement des données et les demandes de rançon (ransomware), les attaques par déni de service distribué (Dos ou DDos), les fuites de données (data breach), les défaçages du site internet...
L'assistance-gestion de crise, bouée de sauvetage en cas d'attaque
Un contrat d'assurance cyber comprend généralement trois volets: dommages aux biens, responsabilité civile et assistance-gestion de crise. "Le besoin de ce dernier, qui prend en charge le financement de l'intervention de prestataires spécialisés dans une situation de gestion de crise, est commun à tous les secteurs d'activité", souligne Alain Depiquigny. Cette assistance est assurée par des entreprises spécialisées dans la sécurité informatique. Le client dispose ainsi, dans sa police d'assurance, du contact d'un maître d'oeuvre qui assurera la coordination des différents intervenants de la cellule de crise en cas de cyber-attaque. À cet effet, les assureurs se sont rapprochés des acteurs de la cyber-sécurité pour proposer des solutions complètes: Axa, par exemple, s'appuie sur Airbus, AIG sur Solucom, ou encore Allianz sur Thales.
Concernant les autres volets, le secteur d'activité de l'entreprise et les atteintes auxquelles elle sera, de fait, plus exposée, constituent des critères prépondérants pour définir ses besoins de couverture cyber. "Les fuites de données personnelles ou confidentielles, par exemple, peuvent déboucher sur la mise en cause de la responsabilité de l'entreprise, voire de celle de ses dirigeants", affirme Alain Depiquigny. Les entreprises de la santé, par exemple, qui détiennent ce type de données en grand nombre, auront donc besoin du volet responsabilité civile.
>> Lire la suite en .