Aujourd’hui seulement 1% des entreprises se dote d’une assurance contre le cyber-risque. On estimerait pourtant à 753 milliards de dollars le montant des pertes potentielles estimées sur le domaine seul de la Haute Technologie. Alors pourquoi si peu d’entreprises sautent le pas ? comment fonctionne l’assurance contre le cyber-risque ?
Les menaces en chiffres
163 jours c’est en moyenne le temps qu’il faut, dans le monde, pour repérer une cyber-attaque. Attention la France n’est pas un bon élève en la matière puisque si les Américains mettent en moyenne 90 jours, pour nous c’est 175 jours ! (Ce chiffre avoisine même les 400 en Asie)
92% des attaques sont le fait du phishing, ou hameçonnage, c’est-à-dire une technique de fraude utilisée par des pirates informatiques qui a pour but de récupérer des informations personnelles (notamment bancaires mais aussi les identifiants et mots de passes) en usurpant l’identité d’un tiers de confiance comme votre banque, une institution publique…
L'arnaque au président et l'ingénierie sociale sont également devant des attaques véritablement techniques telles que le DDoS (attaque par déni de service). Les ransomwares pénètrent les systèmes avec la complicité involontaire des collaborateurs, simplement par mail.
Il y a aussi des intrusions via des failles web ou utilisant les API de télémaintenance, avec les trous dans la sécurité impliquées par les autorisations accordées aux télémainteneurs. Une attaque par ransomware commence par le chiffrement des sauvegardes accessibles. Lorsque le chiffrement des données d'exploitation commence et l'attaque est détectée, les sauvegardes sont déjà inutilisables.
Les coûts pour l’entreprise
Une cyber-attaque a des conséquences financières importantes pour l’entreprise :
-
Le coût de réparation (logicielle et datas).
-
Le coût de ressaisie
-
Le coût résultant de l’arrêt d'exploitation
-
Le coût de l’atteinte à la réputation
-
Le coût de l’atteinte à des données personnelles qui peut entraîner des amendes au titre du RGPD : jusqu'à 4 % du chiffre d'affaires mondial.
Les solutions apportées par la couverture
Le système d’information (SI), c’est-à-dire l’ensemble des ressources de l’entreprise qui permettent la gestion de l’information, doit être étudié avec une logique de gestion de risque. Les entreprises doivent examiner :
-
Le type de menaces qui pèsent sur le SI
-
La gravité de ces menaces
-
La probabilité de survenance de ces menaces
Après cette étude seulement, on peut déterminer quelles menaces l’entreprise doit contrer et lesquelles elle peut assumer.
Des experts peuvent être mandatés par votre assureur pour :
-
Établir le diagnostic des menaces
-
Prendre en charge de la formation des collaborateurs
-
Accompagner la gestion de crise
La cyber-assurance a un périmètre dédié : en effet, s’il existe une interdiction de couvrir une condamnation pénale par une assurance, certaines polices peuvent tout de même couvrir les amendes administratives infligées par la CNIL, pour autant que ce soit légalement assurable.
L'atteinte aux données, dans le sens donné à ces termes par le RGPD, et l'atteinte au SI sont les deux grands événements déclencheurs d'une indemnisation au titre d'une cyber-assurance.
L'assurance peut également couvrir les dommages propres internes à l'entreprise comme les coûts d'investigation, le surcoût d'exploitation, la participation de personnels ou de prestataires à l'enquête officielle, la perte d'exploitation, la restauration des systèmes, les fonds versés dans le cadre d'une extorsion, les frais de communication (notamment la notification RGPD aux personnes concernées par une atteinte à leurs données).