Pourquoi souscrire une assurance cyber ?


Pierre Fruchard - 09 Juillet 2024

4.7 | 488 avis

En 2024 plus que jamais, toutes les entreprises, associations ou professionnels indépendants s’exposent à des « cyber risques » : piratage de leurs réseaux, vol de leurs données… Heureusement, il est possible de souscrire à un contrat de cyber assurance, lequel interviendra, en cas de sinistre, pour minorer les conséquences de l’incident. Voyons ensemble à quel point il est important d’y pense pour votre entreprise.   

Qu’est-ce qu’une assurance cyber risques ?

La cyber assurance est un contrat qui couvre l’entreprise pour tous les risques liés à l’informatique. Ces risques comprennent des cyber attaques telles que : le piratage de ses systèmes, les virus et trojans, les ransomwares (blocage des données et demande de rançon), les attaques Dos, etc.

S’agissant d’un contrat dit « multirisque », l’assurance cyber se compose de plusieurs types de garanties. Certaines sont liées à la gestion de crise, c’est-à-dire à la gestion de l’incident lui-même (cyber attaque), d’autres à la prise en charge des dommages causés à l’entreprise (pertes d’exploitation). Enfin, le contrat intègre aussi des garanties de cyber responsabilité (au cas où la responsabilité de l’entreprise serait engagée par un tiers). 

Ce type d’assurance ne couvre donc pas que les cyber attaques, même s’il s’agit du premier risque auquel on pense en matière d’informatique et de réseaux. 

À qui s’adresse la cyber assurance ?

Les assurances cyber s'adressent à toute entité possédant des données sensibles et essentielles à leur fonctionnement en ligne. Lorsqu'il s'agit de cyber sécurité, les assureurs commercialisent de nombreux contrats adaptés à tout type de clients : TPE, PME, associations, auto-entrepreneurs, professions libérales ; et s'adaptent à tout type d'activité. Cela permet à chacune d’avoir une couverture adaptée aux risques effectifs auxquels elle fait face (selon sa vulnérabilité, le volume de données qu’elle collecte…). 

Au delà de 25 à 50 millions de CA annuel (selon les contrats), les assureurs proposent un contrat sur-mesure. La formule / l'offre de base ne sont pas adaptées pour de telles entreprises.

Faut il souscrire une cyber assurance pour son entreprise ?

Selon des études récentes, les cyber risques font partie des tous premiers risques d’entreprise en 2024, avec une hausse des cyberattaques de +400% sur l'année précédente. Cette réalité a notamment été renforcée par le Covid-19 et le développement du télétravail. 

Aujourd’hui, la grande majorité des entreprises ont une présence en ligne, communiquent via des réseaux et des supports informatiques, y compris les PME, TPE… Elles conservent aussi,  pour la plupart, des données parfois sensibles, sur leurs clients notamment. 

Parfois sans en prendre la mesure, elles s’exposent ainsi à des cyber risques tels que

  • Le vol ou la perte de leurs données, 
  • Le piratage, 
  • La cyber extorsion (via un système de blocage de données et de demande de rançon pour les débloquer), 
  • Les attaque serveurs, 
  • Le vol du matériel informatique, 
  • Le blocage de tous les systèmes informatique (qui entraîne souvent une paralysie de l’activité), 
  • L'atteinte à l’image de l’entité, 
  • Une panne de serveur entraînant une perte d’activité. 

En souscrivant une cyber assurance pour ces risques, l’entreprise (ou l’entité signataire quelle qu’elle soit) s’assure tout d’abord qu’elle sera accompagnée pendant et après l’incident, par une équipe d’experts dédiés : experts informatiques, juridiques, en communication… 

En plus, l’assurance prendra également en charge de nombreux frais et dommages financiers causés par l’incident. Il n’est pas rare, par exemple, qu'une cyber attaque ait de lourdes conséquences financières (plusieurs milliers voire dizaines de milliers d’euros), menaçant parfois la pérennité même de l’entreprise touchée. Si son activité est bloquée pendant plusieurs jours / semaines, l’assurance versera une compensation au titre de la garantie de pertes d’exploitation. 

La cyber assurance prévoit une prise en charge pour un large spectre d’événements : incidents techniques, erreurs humaines, enquête d’une autorité administrative, amendes…

Quelles sont les garanties d’une cyber assurance ?

Voici une liste de quelques garanties essentielles dans une formule cyber assurance basique

  • Des garanties d’assistance / de gestion de la crise elle-même, par l’assureur ou un cabinet spécialisé partenaire,
  • Des garanties de prise en charge des conséquences financières de l’incident, 
  • Une garantie de prise en charge des pertes d’exploitation, d’une demande de rançon en cas de cyber extorsion…
  • Une garantie Responsabilité Civile professionnelle
  • Une garantie en cas d’enquête administrative (l’assureur peut par exemple assumer les frais de défense de l’entreprise).

De manière générale, l’assurance prévoit une prise en charge de frais divers nécessaires pour réagir au plus vite : frais d’intervention informatique, frais de notification (dans le cadre du règlement européen), frais de restauration (du site web de l’entreprise notamment)… 

Quels sont les risques encourus sans assurance cybersécurité ?

La cyber assurance a un coût, parfois non négligeable. Il est toutefois déconseillé de faire l’économie de cette dépense.

À défaut d’assurance, l’entreprise supportera seule les conséquences financières d’un sinistre informatique, quel qu’il soit. Pendant l’incident, surtout si elle n’a pas de service informatique en interne ou s’il n’est pas qualifié (pour une cyber attaque par exemple), elle devra souvent faire appel à un cabinet spécialisé en cyber-sécurité, et cela coûte cher. 

De même, l’entreprise devra assumer tous les autres frais seule, tels que par exemple :

  • Les frais d’assistance juridique, 
  • Les frais de défense (si sa responsabilité est engagée par exemple), 
  • Les amendes d’autorités administratives (en cas de non notification d’une faille de données à la CNIL par exemple), 
  • Les frais de négociation / paiement d’une rançon (ransomware), 
  • Les frais de restauration / récupération des données. 

Si l’activité s’arrête, l’entreprise supportera là encore la perte sèche de chiffre d’affaires (alors que celle-ci aurait été compensée, dans une certaine mesure, par une assurance cyber risques). 

D’autres conséquences, auxquelles on pense moins, peuvent aussi résulter de l’incident : atteinte à la réputation de l’entité, paiement de dommages et intérêts à des tiers lésés (un client dont les données auraient fuité par exemple)… Autant de risques qui sont couverts par une assurance dédiée. 

Au final, même si la cyber assurance fait l’objet d’un prix parfois un peu élevé, il s’agit d’une sécurité fondamentale.

Quels sont les principaux cyber risques ?

La Cyber Extorsion

Une PME a reçu un email de l’un de ses fournisseurs réclamant le règlement urgent d’une facture. Il s’agit en réalité d’un faux message et la pièce jointe est un « ransomvare » logiciel-rançon qui crypte un grand nombre de données du système informatique de l’entreprise, rendant ces dernières totalement inaccessibles.

Le pirate informatique réclame une rançon de 800 € pour débloquer les données.

La PME appelle la cellule de crise. Le coordinateur de la cellule l’oriente vers un expert, afin qu’il puisse analyser le problème et déterminer si le cryptage peut être ou non facilement défait.

L’assureur a pris en charge les frais d’expert, le montant de la rançon, les frais de reconstitution des données ainsi que la perte d’exploitation subie par l’entreprise pendant la durée du blocage de son activité pour un montant de 60 000 €.

L’attaque par déni de service

Le site internet de réservation d’une franchise de location de véhicules est rendu inaccessible. Plus aucune réservation ne peut être effectuée.

Des mesures d’urgence sont mises en œuvre :

  • Intervention d’un expert informatique pendant 72 heure sans franchise afin de déterminer la méthode d’attaque, d’émettre des recommandations et de remettre en marche et sécuriser le service.
  • Intervention d’un expert en communication de crise afin de mettre en place un plan de communication en cas de besoin.

L’assureur a pris en charge les réclamations au titre de l’assistance et la perte d’exploitation pour un montant de 28 000 €.

Le vol et la perte de données

Un hacker s’est introduit dans le système informatique d’une société et a réussi à modifier l’un des fichiers exécutés lors de la connexion au compte client. Cette modification a permis au hacker de recevoir le nom d’utilisation (adresse email) et le mot de passe des clients de l’entreprise.

Cette intrusion a été déclenchée lors d’une maintenance de routine.

Les clients de l’assuré, du fait de cette intrusion, sont en risque lorsqu’ils utilisent ce même couple adresse mot de passe sur des sites plus sensibles comme par exemple leur messagerie électronique, leur compte Paypal…

Suite à la sollicitation de la cellule de crise par l’assuré, l’assureur a pu accompagner rapidement ce dernier en mettant à sa disposition un consultant informatique pour déterminer la méthode d’attaque et émettre des recommandations. L’assuré a été accompagné par un consultant en communication afin de prévenir les 6 500 clients impactés.

La nouvelle réglementation européenne visant à obliger la notification auprès des personnes ayant vu leurs données personnelles diffusées (GRDP applicable au 28 mai 2018) aurait engendré un coût de 400 000 € pris en charge par le contrat d’assurance.

Qu'est-ce qu'une assurance cyber risques ?

Une cyber assurance couvre tous sinistres liés à l'informatique, que ce soit en cas de cyber attaque ou de matériel endommagé.

À qui s'adresse la cyber assurance ?

Les assurances cyber s'adressent à tous types d'entreprise avec des données sensibles en ligne.

Faut-il souscrire une assurance cyber pour son entreprise ?

Les cyber attaques font partie des premiers dangers auxquels une entreprise est exposée. Il est donc conseillé d'y souscrire.

Quelles sont les garanties d'une cyber assurance ?

L'assurance cyber a de nombreuses garanties telles que : la gestion de crise, prise en charge des pertes d'exploitation et autre remboursements, la RC Pro, etc.

Quels sont les risques encourus sans assurance cybersécurité ?

En cas d'attaque ou d'arrêt de son activité, l'entreprise devra faire appel à un cabinet de cybersécurité. Ces entreprises sont coûteuses, et tous les frais (assistance juridique, restauration des données, rançon) seront à votre charge.

Quels sont les principaux cyber risques ?

Les principaux cyber risques sont l'extorsion, l'attaque par déni de service et les vols et pertes de données.

Avez-vous aimé cet article ?


Un expert vous répondra