11 août 2023
Paroles d'experts

Cyber assurance, le guide complet pour se protéger

Florent Skrabacz President ERIUM
Written by Florent Skrabacz
FacebookTwitterLinkedInMessenger

Qu’est ce qu’une cyber assurance ?

Désormais, la quasi-totalité des activités relationnelles et transactionnelles des organisations sont présentes sur internet, et cette présence entraîne un risque. Ce risque est considéré comme le principal risque à l’ère de la révolution numérique : celui des attaques cyber. En effet, depuis près d’une décennie, le nombre de cyberattaques explose. Les cyber attaquants ne cessent de réinventer de nouveaux modes d’attaques pour faire du profit. Et cette menace ne cesse de croître : on ne décompte pas moins de 385 000 cyberattaques réussies contre des organisations (publiques comme privées) en France en 2022.

Face à cette hausse constante, les entreprises et organisations encourent plusieurs risques : celui de la violation de données, des attaques de ransomware, ou de tout autre incident pouvant leur nuire. Face à une cyberattaque, les risques pour les organisations sont doubles : juridique lors de la violation de données sensibles et financier en cas d’arrêt d’activité notamment. Une assurance cyber est donc une assurance qui couvre les conséquences juridiques comme financières liées aux attaques informatiques.

Souscrire à une cyber assurance pour être indemnisé en cas de pertes liées à la cybercriminalité est devenu un moyen nécessaire et judicieux pour les entreprises d’être présentes sur le web en sécurité.

Pourquoi choisir une assurance en cybersécurité ?

Avantages et coûts associés aux cyber incidents

La raison principale à la souscription à une cyber assurance est la couverture contre les coûts engendrés lors d’une cyber-attaque.

En effet, selon le cabinet Astères, on estime en France que le coût total des cyberattaques réussies en France s’élève à 2 milliards d’euros en 2022. Ces coûts sont répartis entre les coûts directs (perte voire arrêt de productivité), les heures de travail perdues et les rançons payées. Une étude menée par Ponemon Institute sur les chiffres clés concernant la violation de données pour les entreprises en 2022 estime le coût de la violation de données à 4.34 millions de dollars en France et 83% des 550 entreprises observées auraient été victimes de vol de données.

La souscription à une cyber assurance semble dès lors essentielle pour assurer la pérennité des organisations en cas d’attaques cyber puisqu’elle permettra de réduire l’impact d’une cyberattaque en couvrant les pertes financières et la responsabilité de l’organisation de l’entreprise en cas de violation de données confidentielles notamment.

Cependant, avec l’explosion du nombre de cyberattaques, le montant des indemnisations versées a été multiplié par trois en l’espace d’une année. Les primes d’assurance sont donc désormais plus élevées et obtenir une assurance cyber nécessite des prérequis.

Les prérequis pour souscrire à une cyber assurance

Avec l’inflation des primes d’assurances, les prérequis à la souscription d’une cyber assurance sont de plus en plus nombreux et ceux-ci évoluent avec le temps. Les assureurs exigent aujourd’hui que les organisations aient des politiques de cybersécurité effectives avec des procédures de gestion des risques définies et des systèmes de protection optimisés.

Une politique claire de cybersécurité

Il est donc essentiel d’avoir tous ces prérequis et de rester informé de leur évolution auprès des courtiers en assurance. Parmi les prérequis nécessaires à la souscription d’une cyber assure, il est tout d’abord essentiel de mettre en place une politique de cybersécurité interne clairement communiquée et suivie d’actions de relayage auprès des parties prenantes (fournisseurs, partenaires, prestaires informatiques) et de sensibilisation ou de formation auprès de ses collaborateurs.

Des outils de protection

Ensuite, il est obligatoire d’avoir, a minima, déployé des outils de protection sur les endpoints tels que des EDR, antivirus, antimalwares et un pare-feu pour détecter et prévenir les menaces potentielles.

Une solution de filtrage des emails doit également être mise en place pour réduire le risque de phishing et d’attaques par email. L’authentification à double facteurs doit être activée, notamment pour les comptes admin et les accès distants, ajoutant ainsi une protection supplémentaire pour les comptes sensibles. La conformité au RGPD  est nécessaire pour protéger les données sensibles de vos partenaires et clients, qui doivent être stockées de manière sécurisée.

Un EDR ou XDR managé au sein d’un SOC, essentiel pour détecter, analyser et répondre rapidement aux incidents de sécurité sera demandé pour les gros comptes par les cyber assureurs lors de votre demande de souscription à une cyber assurance.

Des évaluations régulières

Des audits d’évaluation réguliers permettant de mesurer la maturité cyber et d’identifier les vulnérabilités à corriger seront également parmi les prérequis nécessaires pour souscrire à une cyber assurance.

Il est également crucial d’être préparé en cas de crise cyber, en ayant des plans d’urgence et de réponse aux incidents en place, ce qui peut être fait avec des exercices de gestion de crise.

En outre, il est important d’optimiser les protocoles de sécurité liés à l’IoT pour éviter les compromissions potentielles.

Enfin, en utilisant une solution de cyber rating, l’entreprise peut obtenir un diagnostic de son état en matière de cybersécurité et identifier les domaines à améliorer avant de souscrire à une cyber assurance. Cette démarche étant essentiellement déclarative, elle peut avantageusement être renforcée par des logiques de simulation d’attaques qui démontrent l’effectivité réelle des mesures en place. En renforçant le scoring cyber, ces approches permettent d’apporter une preuve d’efficacité cyber à l’assureur et cela ouvre la voie aux négociations.

En mettant en œuvre ces prérequis, l’entreprise renforce sa posture de cybersécurité, réduit les risques d’incidents coûteux et peut souscrire à une cyber assurance pour être protégée en cas de cyberattaque réussie.

Quelles attaques et indemnisations couvre une cyber assurance ?

Selon les polices d’assurance, les conditions et exclusions varient ; il est donc essentiel de comprendre les détails de la police d’assurance de son organisation et d’en négocier les spécificités pour qu’elle corresponde aux besoins de l’organisation en matière de cybersécurité.

Cependant, d’une façon générale, un assurance cyber couvre les frais suivants :

La violation de données : les cyber assurances peuvent couvrir les frais engendrés par la récupération, la restauration ou le remplacement de données volées. Si des données sensibles ont été compromises, l’assurance peut couvrir les frais associés aux litiges éventuels et aux obligations réglementaires.

La perte d’exploitation : les cyber assurance indemnisent les pertes financières dues aux interruptions d’activité liées aux cyberattaques

Les frais de récupération et restauration : les cyber assurances couvrent les frais liés à la restauration des systèmes informations

Les pertes de fonds : qu’il s’agisse de pertes de fonds transférés à la suite d’événements tels que la fraude, l’ingénierie sociale) ou à de l’extorsion, les cyber assurances peuvent prendre en charge une partie de ces pertes et verser des indemnisations aux organisations victimes Bien entendu, cette liste est non exhaustive et il est essentiel de vérifier auprès de son assurance les éventuelles exclusions de couverture.

Quels sont les prix d’une cyber assurance ?

Il n’y a pas de règles générales concernant le prix d’une police d’assurance cyber qui dépend de plusieurs facteurs tels que le type d’entreprise, la taille, les antécédents en cybersécurité, le secteur d’activité, le revenu annuel et la géolocalisation.

Une prime d’assurance peut commencer à quelques milliers d’euros par an pour une petite structure aux risques cyber faibles et augmenter considérablement pour une structure avec des besoins forts en matière de cybersécurité. 

Par exemple, les secteurs comme la santé ou la finance sont les secteurs les plus en proies aux cyberattaques, les couvertures des coûts par les cyber assurances sont donc fortement impactés.

Pour obtenir une estimation juste du prix de la cyber assurance adaptée à votre organisation, il est donc nécessaire de se rapprocher d’une compagnie d’assurance pour obtenir un devis personnalisé.

Les éléments non couverts par l’assurance

Bien que chaque police d’assurance soit unique et que les clauses varient d’une organisation à l’autre, certains éléments ne sont généralement pas couverts par une cyber assurance.

Parmi lesquels nous trouvons :

  • Les actes malveillants internes, commis par des employés ou sous-traitants
  • Les défaillances de sécurité (faille ou vulnérabilité) connues par l’entreprise mais n’ayant pas fait l’objet de mesures correctives ; entraînant de fait l’exclusion de la couverture pour les incidents qui en découlent
  • Le non-respect des politiques de sécurité établies
  • Les frais engendrés par des actes de guerre, terrorisme ou attaques liées à des conflits géopolitiques sont parfois excluent des clauses d’indemnisation des polices d’assurance
  • Les attaques attribuées ou soutenues par des gouvernements ou services de renseignement
  • La perte de propriété intellectuelle qui est souvent exclue selon les circonstances
  • Les dommages matériels (incendie, inondation, etc.) qui sont exclus des cyber assurances et couverts par d’autres types d’assurance
  • Délais non respectés dans la notification de l’incident à la police d’assurance cyber

Lors de la souscription à une cyber assurance, il est primordial d’avoir en tête les termes, conditions et éventuelles exclusions de la police d’assurance pour s’assurer d’avoir une couverture adaptée aux besoins de l’organisation et éviter les mauvaises surprises en cas d’attaque réussie.

Comment choisir la meilleure cyber assurance ?

Pour choisir la meilleure cyber assurance, c’est-à-dire la plus adaptée aux besoins de l’organisation en matière de cybersécurité, plusieurs facteurs sont à prendre en compte.

Comprendre son contexte

Tout d’abord, une évaluation minutieuse de votre contexte (secteur, taille, chiffre d’affaires) et risques cyber auxquels la structure est la plus exposée est essentielle. Elle permettra d’évaluer le niveau de maturité de l’entreprise et de déterminer les menaces auxquelles l’organisation est la plus susceptible d’être confrontée afin de s’assurer de leur couverture par l’assurance cyber.

L’évaluation cyber en conditions réelles, mise en place par Erium, évalue le niveau d’efficacité cyber d’une entreprise avec un score allant de 0 à 100. Sont pris en compte le niveau de maturité cyber des collaborateurs de l’organisation (évalué grâce à la plateforme d’acculturation cyber Cyber Investigation), les capacités de défense et de réaction face à une cyberattaque (évalué avec l’outil de Breach and Attack Simulation BlackNoise) et la capacité de gestion de crise et de cyber résilience (évalué avec Cyber XP, des exercices de crise en environnement réel).
Les outils de mesures en condition réelle permettent de dresser un aperçu réel de la couverture des risques cyber de l’organisation. Et ainsi,  de mettre en place les politiques de cybersécurité adéquates et de négocier et choisir l’assurance cyber la plus adaptée.

L’étendue de la couverture

Ensuite, il est fondamental de choisir une assurance cyber expérimentée et réputée dans le domaine de la cybersécurité, capable de comprendre les enjeux et menaces cyber auxquels les organisations sont confrontées. Et bien que le prix soit un paramètre important, il ne doit pas être privilégié au détriment de la qualité ou de l’étendue de la couverture de la police d’assurance.

L’étendue de la couverture offerte par l’assurance cyber ainsi que les exclusions éventuelles sont le critère majeur à prendre en compte lors de la souscription à la police d’assurance. En effet, il est indispensable de s’assurer que tous les risques auxquels l’entreprise est exposée sont couverts par l’assurance. Il en va de même pour les conditions et modalités qui doivent être compris avant tout engagement dans un contrat d’assurance, lesquelles permettent de comprendre les engagements mutuels des deux parties.

En prenant en compte ces différents facteurs, il sera plus simple de choisir une assurance cyber qui protègera l’entreprise en cas d’attaques cyber réussie.

Comment souscrire à une cyber assurance ?

Une fois l’évaluation des risques cyber et les besoins de l’entreprise en matière de couverture cyber, la souscription a une cyber assurance se fait en plusieurs étapes.

Tout d’abord, il est nécessaire de procéder à un bilan assurantiel, lequel clarifie les besoins de couverture et les vulnérabilités cyber à couvrir.

A côté de cela, il faudra choisir un courtier en assurance compétent sur la question de risques cyber qui accompagnera l’organisation durant toutes les étapes du processus. Ce dernier guide l’entreprise dans l’identification de l’assurance cyber la mieux adaptée aux besoins de l’entreprise en prenant en compte sa taille, son secteur et ses différentes activités.

Conjointement avec le courtier, le périmètre de couverture et le plafond de garantie sont définis et transmis à l’assureur choisi. De son côté, l’assureur procède ensuite à une analyse des risques qui évalue la maturité cyber de son client. Sur la base de cette analyse, l’assurance cyber propose un montant de prime de garantie reflétant le niveau de préparation de l’entreprise à faire face aux cyber menaces.

En dernier lieu, la phase de négociation est entamée et vise à parvenir à un accord sur l’étendue de la couverte, le plafond de garantie et le montant de la prime d’assurance. Une fois toutes les parties satisfaites, le contrat de la police d’assurance cyber peut être signé, offrant ainsi à l’organisation une protection solide et ciblée contre les risques cyber auxquels elle est exposée.

Bonnes pratiques pour compléter la cyber assurance

Sensibilisation à la cybersécurité pour les collaborateurs

Pour compléter la couverture de l’assurance cyber, des bonnes pratiques solides sont à adopter en matière de cybersécurité. La sensibilisation, ou plutôt l’acculturation, à la cybersécurité pour les collaborateurs de l’organisation constitue le socle de cette démarche. Cette sensibilisation passe par une politique cyber interne clairement communiquée qui établit les règles et responsabilité de chacun.

Une formation cyber régulière pour tous les collaborateurs contre les risques et menaces cyber garantit que chacun a compris les enjeux cyber et sait repérer et réagir face à une menace cyber potentielle. Il est également crucial de mesurer la maturité cyber de ces employés pour prendre les mesures de protection adaptés en fonction des résultats.

Une plateforme comme Cyber Investigation est idéale pour former ses collaborateurs de manière interactive et ludique. Cet outil immersif qui permet de se mettre dans la peau d’un hacker favorise l’appréhension des mécanismes d’une cyberattaque. Enrichi en contenus complémentaires (fiches réflexes, quiz, vidéos) elle forme les collaborateurs aux bons réflexes cyber. La plateforme donne également aux RSSI la possibilité de mesurer les résultats de leurs collaborateurs pour piloter par la suite les mesures à mettre en place en fonction des risques spécifiques auxquels ils sont exposés.

Découvrir la solution

Je découvre

Mises à jour des logiciels et des systèmes

En outre, maintenir les systèmes et logiciels à jour est une pratique essentielle pour renforcer les capacités de défense face à une cyberattaque. Qu’il s’agisse des logiciels, site internet, antivirus ou pare-feu, les mises à jour permettent de corriger les vulnérabilités et failles de sécurité.

Tout signe d’activité suspecte doit être reporté ce qui permet une réaction rapide et donc efficace en cas d’incident potentiel. Face à la détection d’une faille de sécurité, les mesures nécessaires doivent être appliquées pour corriger et minimiser les risques.

A titre d’exemple, un Breach and Attack Simulator (BAS) comme BlackNoise permet de simuler des attaques en temps réel pour évaluer la capacité de l’entreprise à détecter et réagir aux cyberattaques. Cette approche innovante et proactive permet d’identifier les vulnérabilités et de les corriger, permettant de facto l’amélioration continuelle des mesures de sécurité.

En définitive, adopter une politique d’acculturation cyber, maintenir à jour les systèmes et être prêt à réagir en cas de crise constituent les éléments clés pour compléter de manière optimale sa couverte d’assurance cyber.

La cyber assurance à l’ère de l’IA

Erium ne pouvait conclure cet article sans aborder la question de l’IA qui occupe désormais une place centrale dans le secteur de la technologie.

L’émergence de l’intelligence artificielle ces dernières années a engendré une transformation globale et majeure de divers secteurs, dont notamment celui de la cyber assurance. Cette technologie nouvelle et révolutionnaire a la capacité d’automatiser des tâches, d’analyser des volumes de données massifs et prendre des décisions basées sur ces analyses.

Les avantages de l’Intelligence Artificielle

Dans le domaine de la cyber assurance, l’IA transforme le processus de souscription en automatisant son fonctionnement. Avec sa capacité d’analyse de données, l’IA peut fournir aux compagnies d’assurance des informations concernant les risques cyber auxquels les entreprises et institutions sont les plus exposées. De ce fait, le processus automatisé devient plus efficace et efficient. Dans une autre mesure, l’IA améliore le traitement et le règlement des sinistres en automatisant la collectes des données liées aux réclamations, ce qui a pour effet de favoriser l’efficacité et la justesse des règlements de sinistres.
Pour les assureurs, l’IA présente aussi l’avantage de pouvoir détecter les fraudes et tentatives de fraude, renforçant ainsi la sécurité et l’intégrité du secteur de la cyber assurance.

Les limites et défis

Toutefois, malgré ses avantages, l’IA a des limites et pose des défis pour le secteur de la cyber assurance. En effet, les risques cyber sont complexes et en constante évolution, l’IA peut donc avoir du mal à évaluer les risques associés à la couverture d’assurance cyber. De même, l’IA peut avoir du mal à prédire l’impact de nouvelles technologies et des évolutions réglementaires liées aux menaces cyber, entraînant ainsi des inexactitudes dans ses évaluations.

En outre, l’IA peut perpétuer des biais en fonction des données sur lesquelles elle a été formée, ce qui favorise un traitement inégal voire injuste entre les clients.  

Enfin, le rôle de l’IA peut réduire celui des souscripteurs humains et des gestionnaires de sinistres, ce qui a pour effet d’entraîner une perte d’expertise, une expérience personnalisée et un niveau de service réduits.

En définitive, l’IA a un impact considérable sur le secteur de la cyber assurance. Elle offre un potentiel d’amélioration des processus de souscription comme de règlement des sinistres ainsi qu’une nouvelle façon de se protéger des fraudes pour les compagnies de cyber assurance.

Cependant, elle est confrontée à des limites avec la perpétuation de préjugés puisqu’elle s’appuie sur les connaissances opérationnelles de son utilisateur et des données fournies à un instant T, et avec la réduction du rôle de l’humain. Il est essentiel de garder en tête que l’IA reste un outil et non un substitut aux souscripteurs et gestionnaires humains.

Plus que jamais, il est important d’adopter une approche critique des informations fournies par l’intelligence artificielle et une utilisation responsable de cette dernière, qui doit se concilier avec les compétences et les jugements humains.

Conclusion

En synthèse, le marché de la cyber assurance se structure rapidement. Mais pour en tirer le meilleur, il est indispensable :

  • de travailler avec un courtier efficace et spécialisé,
  • de mettre en place une politique de cyber sécurité pour réduire la prime de cyber assurance
  • d’éviter tout contentieux en cas de sinistre cyber d’établir un contrôle de l’efficacité de cette politique cyber en conditions réelles pour en faire la démonstration d’efficacité et d’appuyer son recours en cas de contentieux.

Découvrez aussi 👇