Cybersécurité

La Cyber assurance : Pour quoi faire, comment faire ?


Christelle Barat - Ludovic Van Egroo


Dans son rapport annuel la plateforme Cyber malveillance de l'ANSSI fait le constat d’une croissance continue des demandes d’assistance suite à des cyberattaques de la part de part des entreprises et particuliers pour atteindre 104 999 demandes contre 90 604 en 2019.



La Cyber assurance :  Pour quoi faire, comment faire ?
  • A la différence à des incidents tels qu'un incendie ou un cambriolage, les cybers incidents ne sont souvent pas limités sur un périmètre circonscrit. Aussi, est-il essentiel de comprendre le mode de fonctionnement de votre organisation et les interdépendances (notamment interconnections de vos Systèmes d’Information) pour déterminer l'étendue des impacts d'un incident. Un incident peut avoir des implications mondiales d’autant plus dans le contexte géopolitique actuel et votre organisation peut devenir un point de rebond et une victime collatérale.
     
  • Dans son Rapport 2021 sur la gestion des cyber-risques, l’assureur Hiscox fait état d’une prise en compte disparate de la menace accrue résultant de la pandémie. Toutes les entreprises ne sont pas égales face aux cyberattaques. Si les conséquences des cyberattaques coûtent davantage en valeur absolue aux grandes entreprises, les PME et ETI font face à des dommages plus importants en pourcentage de chiffre d’affaires. PME et ETI ne disposent pas des ressources humaines, techniques et financières pour faire face aux cyber attaques. Pour autant, elles subissent les dommages qui peuvent mettre en péril leur activité. Dans ce contexte, souscrire une assurance cyber permet de mutualiser les risques et de palier les besoins de ces entreprises. 
Hiscox, relève qu’à peine un tiers des entreprises sondées souscrivent une assurance cyber avec une inégalité dans la souscription de ces dispositifs assurantiels.


Dans ce contexte, les pouvoirs publics européens mettent en place des dispositifs d’assistance aux entreprises

 
  • En France, la plateforme cyber malveillance, de l’ANSSI, a créé un dispositif d’assistance aux PME et ETI[1]
  •   Au Royaume-Uni Dans son livre blanc  “The future of Technology Assurance in the UK [2]  , le NCSC [3] insiste sur la nécessité d’une assurance contre le risque cyber pour les ETI et PME et fourni des grilles de lecture [4] .
    L’objectif est de mutualiser le risque cyber et les moyens et ressources d’assistance.
 

Notes

[[1]]url:#_ftnref1 :#_ftnref1 Entreprise de Taille Intermédiaire (entre 250 et 4 999 salariés)
[[2]]url:#_ftnref1 Paru le 23/01/2022
[[3]]url:#_ftnref2 NCSC : National Cyber Security Center, équivalent britannique de l’ANSSI, Agence Nationale de la Sécurité des Système d’Information
[[4]]url:#_ftnref3 Is cyber insurance right for you? https://www.ncsc.gov.uk/collection/board-toolkit/embedding-cyber-security ; NCSC

Quelle différence entre une Responsabilité Civile Professionnelle et une assurance cyber ?

  • Nombre de dirigeants sur leurs assurances existantes sans avoir une réelle connaissance de la couverture. On pense souvent que la RC Pro couvre les incidents cyber. Or, une Responsabilité Civile Professionnelle couvre les dommages causés aux tiers et non les dommages subis par l’entreprise. Elle peut notamment couvrir la perte des données causée suite à une mauvaise manipulation. Par conséquence les coûts liés à la restauration des données seront pris en charge mais à ne pas confondre avec la perte de données par l’entreprise générée d’un piratage informatique.
A la différence des RC Pro, la cyber assurance prend en charge :
  • Les coûts relatifs aux diverses assistances qui peuvent s’avérer nécessaires par des experts pour :
    • Rétablir le système d’information et les sauvegardes,
    • La gestion de la communication de crise,
    • La mise en œuvre de plan de continuité d’activité,
    • Gérer les aspects juridiques notamment les obligations et frais de notifications au régulateur (CNIL).
    • Dans l’éventualité d’une enquête administrative, les frais inhérents de ces enquêtes peuvent être pris en charge par l'assurance.
  • Une partie des pertes d’exploitations subies par l’entreprise,
  • Les dommages engendrés à des tiers par effet domino, notamment dans l’éventualité d’une latéralisation (propagation à des tiers.
 

Comment sélectionner une assurance cyber ?

Là où votre RC professionnelle couvre vos conséquences dommageables aux tiers, l'assurance vous permettra de couvrir les coûts (besoins d'assistance), vos pertes (dommages internes).

Une assurance cyber implique des échanges entre le responsable du service informatique et le responsable juridique peu coutumier à interagir.

L' approche du courtier consiste à :
  • Evaluer les actifs à assurer, apprécier leur criticité pour l’entreprise,
  • Identifier les mesures de protection déjà mises en œuvre,
  • Définir les mesures restantes à mettre en œuvre face aux risques identifiés,
  • Négocier les termes et conditions des polices d’assurance adéquates (limite d’indemnité, conditions et exclusions),
  • Identifier les risques de dommage consécutifs aux tiers (clients, partenaires et tiers).

Anticiper l’avenir et projeter son entreprise, revient à s’assurer contre les risques qui pèsent sur son entreprise mais en protégeant aussi ses clients et partenaires : jouer la carte du bon acteur et de la bienveillance.

Co-Auteur : Christelle Barat - Responsable Commerciale chez Geodesk

« Christelle a un Master en commerce international. Elle a été expatriée durant 18 ans à Londres où elle a travaillé au sein de la cellule opérationnelle d’Eurostar UK Ltd. Christelle a ainsi développé une grande capacité d’adaptation et un sens des priorités qui lui permettent de gérer facilement des situations d’urgence. En outre, en tant que Responsable export dans le secteur de l’énergie solaire durant 6 ans sur les zones Afrique de l’Ouest et Centrale, Christelle a beaucoup voyagé. Elle a ainsi pu acquérir un solide réseau et une riche expérience de terrain.

Christelle a rejoint GEODESK, cabinet de courtage depuis 30 ans spécialisé dans l’assurance de personnes et de l’entreprise, notamment les risques spéciaux. Les ONG et les entreprises représentent la majorité de la clientèle de GEODESK. Cette clientèle détient des datas sensibles et sont des cibles. Leurs collaborateurs se déplacent à l’international, vendent à l’international, ce qui fragilisent leur sécurité en tant que personne mais aussi en tant que transporteur d’informations sur leur entreprise. Christelle veille à préserver leurs intérêts et leur sécurité en négociant régulièrement avec les compagnies d’assurance de nouveaux outils et garanties. »
Le médiateur de l’assurance peut être saisi aux coordonnées qui suivent :        
➢ A partir du site : https://www.mediation-assurance.org/ 
➢ Par mail : le-mediateur@mediation-assurance.org  
 

Co-Auteur : Ludovic Van Egroo - Manager GRC cybersécurité & conformité Atos Consulting

GARGEZ LE CONTACT
GARGEZ LE CONTACT
Ludovic VAN EGROO
Manager en Gestion des Risques et Conformité, accompagne entreprises et organisations les problématiques organisationnelles et réglementaires relatives à la cybersécurité.  Expériences professionnelles variées permettent aujourd'hui d'appréhender les enjeux de la cybersécurité au-delà du risque informatique.  Contributeur au Think Tank Insol Partners Europe et précédemment enseignant vacataire.