Une cyberassurance, pour quoi faire ?
Le marché de la cyberassurance est encore jeune, mais promis à un bel avenir. En effet, les risques cyber sont aujourd'hui identifiés comme une menace majeure pour les entreprises. Fait-il pour autant s'assurer ? Si oui, quels sont les points auxquels faire attention ? Éléments de réponse.
Je m'abonneQuel est le coût moyen d'une cyber-attaque ? 10 000 € ? 100 000 € ? 500 000 € ? 1 M€ ? 8,6 M€ ? Plusieurs études ont tenté de chiffrer le préjudice subi, mais il n'existe aucun chiffre officiel. " Le marché de la cyberassurance est en pleine structuration et nous ne disposons pas encore de statistiques sur la sinistralité, ni sur le montant des indemnisations ", indique Christophe Delcamp, directeur adjoint en charge de la direction des assurances de dommages et responsabilité de la FFA (Fédération française de l'assurance). Pourtant, l'estimation du préjudice financier est un critère qui pèse dans la balance quand il s'agit d'arbitrer entre assumer le risque ou le transférer à un assureur.
Un autre facteur à prendre en compte est la probabilité de la survenance du risque. Là encore, nombre d'études se montrent plus ou moins alarmistes quant à la recrudescence et à la fréquence des actes de cybermalveillance. Néanmoins, il est avéré que l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a recensé, en 2018, 1 869 signalements, 391 incidents hors opérateurs d'importance vitale et 16 incidents majeurs. Même si ces chiffres sont en baisse par rapport à l'année précédente, une chose est sûre : nulle entreprise, quels que soient sa taille et son niveau de sécurité informatique, n'est à l'abri.
Des bénéfices pour les PME et ETI
" Pour augmenter leur résilience, 80 % des entreprises CAC 40 ont souscrit une cyberassurance, ce qui est loin d'être le cas des plus petites, constate Christophe Delcamp. Pourtant, les bénéfices sont nombreux. " Au premier rang d'entre eux, figurent des services en amont et en aval. Un audit des systèmes d'information de l'entreprise est, en effet, préalable à toute souscription. " Cela permet d'obtenir une évaluation précise de la qualité des protections mises en place, mais aussi de bénéficier de recommandations pour améliorer le dispositif ", souligne Christophe Delcamp.
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
Par ailleurs, post-sinistre, l'assureur met à disposition un panel de prestataires spécialistes de la gestion de crise : analyse forensique (analyse d'un système informatique après incident), avocat, communication ... De quoi limiter l'impact d'un cybersinistre et poursuivre l'activité au plus vite. Bien sûr, une cyberassurance permet d'être indemnisé pour reconstituer les données volées ou détruites (sous certaines conditions), couvrir la perte d'exploitation liée à l'incident et les frais de notification ... " À l'heure du RGPD, une cyberassurance peut aussi constituer un élément de réassurance pour contracter avec certains donneurs d'ordres, qui ont obligation d'apprécier le niveau de cybersécurité de leurs sous-traitants ", note Christophe Delcamp.
Comme pour toute assurance, il est important de s'intéresser aux exclusions de garanties. " Par exemple, l'erreur humaine, telle une erreur de codage d'un salarié chez un client, n'est pas toujours couverte, confie-t-il. En revanche, cet incident sera pris en charge par l'assurance responsabilité civile de l'entreprise. Un collaborateur qui clique sur une pièce jointe vérolée n'est pas, a contrario, considéré comme une erreur humaine et entre, donc, dans le champ du contrat. " L'expert recommande de se faire bien expliquer ce qui est couvert et l'articulation des couvertures entre les différentes assurances de l'entreprise pour éviter au maximum les recoupements.