Statistiquement, le risque qu’une entreprise subisse un jour ou l’autre une attaque informatique frôle le 100%.
Ces dernières peuvent être divisées en deux catégories : les attaques ciblées et les attaques non-ciblées.
Les attaques non ciblées sont semblables à la pêche au filet. Elles visent souvent plusieurs centaines de milliers ou millions de personnes. Plus faciles à identifier que les attaques ciblées il est souvent possible de les déjouer en prenant quelques précautions d’usages.
Les attaques ciblées, quant à elles, sont souvent plus élaborées et peuvent, selon les cas, être difficiles à déjouer même pour des personnes attentives.
Une cyberattaque réussie coûte très cher à l’entreprise : les conséquences financières peuvent aller de la simple reconstitution des données à, plus grave, la perte du chiffre d’affaires ou encore nuire à la réputation de l’entreprise avec pour conséquence la perte de confiance de ses clients.
Depuis 3-4 ans, certaines compagnies d’assurance se sont emparées de ce nouveau marché et proposent des contrats d’assurance cyber-risques.
Une assurance cyber, comment ça marche ?
SECU-IT a pris contact avec deux compagnies d’assurance pour en savoir plus : La Mobilière et La Bâloise.
Dans les deux cas, tout commence avec le remplissage d’un questionnaire qui permettra d’établir les facteurs déterminant le montant de la prime et la limite de couverture. Les questions visent à identifier les mesures de cyber sécurité existantes et à comprendre la nature des risques encourus.
La limite de couverture financière est définie dans le contrat. Dans le cas de la Bâloise, trois catégories de dommages sont couvertes dans des limites différentes (propres dommages, dommages de tiers et assistance). Leur expert en cyber assurances, nous explique : « Nous avons structuré notre produit en paquets pour une simplification de compréhension et de conseil, il est toutefois possible d’individualiser une offre en choisissant une somme d’assurance par couverture. »
Ces mesures permettent aux compagnies d’assurance de limiter leur propre risque. En effet, le potentiel destructeur d’une cyber-attaque est énorme et peut aller jusqu’à la fermeture de l’entreprise. Etre prêt à en assumer le risque demande une forte solidité financière.
Les deux compagnies sont donc particulièrement attentives à la nature du commerce; par exemple la prime d’assurance d’une entreprise qui obtient tout son chiffre d’affaires sur internet (e-commerce) sera différente de celle d’une entreprise d’artisanat. L’assureur se réserve également le droit de simplement refuser le risque, s’il l’estime trop important.
Une fois le contrat d’assurance conclu, que se passe-t-il en cas d’attaque ?
Le traitement diffère un peu d’une assurance à l’autre. Globalement, les deux assureurs ont une ligne de déclaration de sinistre ainsi que des partenariats avec des prestataires de services informatiques qui peuvent intervenir et sont disponibles 24 heures sur 24 et 7 jours sur 7.
Pour l’un des assureurs, des experts forensiques sont envoyés si une attaque est découverte au sein de l’entreprise et annoncée. Ils pourront l’aider à stopper, mitiger et prendre des mesures correctives. Le coût total de l’attaque sera ensuite calculé et revu par l’assureur.
Pour l’autre, le choix du prestataire informatique revient à l’assuré. Il existe une ligne d’annonce de sinistre qui peut lui envoyer de l’aide si besoin mais suggère que l’attaque soit gérée par son propre prestataire informatique au vu de sa connaissance préalable du système IT et structure organisationnelle de l’entreprise.
Ensuite, le calcul des dommages subis et le remboursement (dans les limites de la couverture) se fait par l’assureur.
Souscrire à une assurance cyber est une manière de mitiger les conséquences d’une attaque informatique, mais ne réduira pas sa probabilité. Une assurance cyber ne devient pas un remplacement de la prévention des attaques. Elle est surtout là pour vous aider à supporter les conséquences financières d’un dommage. Pour reprendre les propos de l’expert de La Bâloise, « nous restons dans la position d’assureur ».
Une assurance cyber vous apporte la tranquillité d’esprit nécessaire à la poursuite de vos objectifs mais ne remplace pas le besoin d’une hygiène numérique forte et de sensibilisation régulière (et efficace !) de vos employés.
Commentaires récents