Extrait du guide de l’Institut Français des administrateurs (IFA) sur la Sécurité numérique et la gouvernance, 2024.
Entreprise : et si vous preniez une assurance cyber ?
L’assurance cybersécurité est un contrat d’assurance qui permet de protéger une entreprise contre les risques informatiques et de l’aider à faire face aux conséquences d’une cyberattaque. L’objectif d’une telle police d’assurance est d’accompagner les organisations pour qu’elles restent financièrement stables lorsqu’un événement de sécurité important se produit. L’assurance cyberrisque est, en effet, conçue pour aider une entreprise à atténuer les effets des risques informatiques. Pour cela, elle couvre différentes conséquences financières liées à la récupération, aux dommages ou à la réclamation de tiers.
La mise en œuvre d’une assurance cyber occasionne généralement l’audit, voire la mise à niveau des dispositifs.
En souscrivant une cyberassurance pour ces risques, l’entreprise s’assure qu’elle sera accompagnée pendant et après l’incident par une équipe d’experts dédiés en complément des équipes internes : experts informatiques, juridiques, en communication, ce qui est notamment intéressant pour les structures de petites tailles avec moins de ressources dédiées ou de profondeur d’expertise.
L’explosion des risques cyber a néanmoins entraîné une augmentation considérable des primes d’assurance, à des niveaux prohibitifs, voire des refus d’assurance par les compagnies, à divers titres (appréciation du niveau de risque au regard des dispositifs, mais également manque de visibilité du secteur de l’assurance sur le niveau d’occurrence d’ensemble en raison de l’absence d’obligation déclarative). Certains groupes ont réagi en mettant en place des captives d’assurance, le cas échéant mutualisées, comme la mutuelle MIRIS (Mutual Insurance and Reinsurance for Information System) crée par douze grandes entreprises européennes, mais cette option concerne un nombre limité d’entreprises. Dans ce cas, une alternative à considérer est le contrat d’intervention avec un prestataire qualifié en cas d’intrusion (voir ci-dessus 3.2 et le plan d’audit), en complément des mesures de contrôle interne et de mitigation des risques robustes et testées.
Quels sont les frais pris en charge par une telle assurance ?
Les assurances cyber peuvent assumer les frais en cas de cyberattaque, d’erreur humaine, de vol de données ou de cyberfraude. Ce type de contrat couvre généralement les risques exclus ou non couverts par les assurances classiques. Parmi eux, on compte les cas les plus courants, et notamment la contamination virale, ou les attaques en déni de service. Certains assureurs peuvent même couvrir les frais liés aux ransomwares sous certaines conditions.
Diverses natures de frais liés aux cyberrisques peuvent être prises en charge. Par exemple, les dépenses liées aux investigations et à l’expertise, les coûts supplémentaires pour faire face à une attaque et les frais de reconstitution des données détruites peuvent être indemnisés.
L’assurance peut également couvrir de nombreux frais et dommages financiers causés par l’incident. Il n’est pas rare, par exemple, qu’une cyberattaque ait de lourdes conséquences financières (plusieurs milliers, voire dizaines de milliers d’euros), menaçant parfois la pérennité même de l’entreprise touchée (60 % des petites entreprises victimes d’une cyberattaque font faillite dans les six mois (4)). Si son activité est bloquée pendant plusieurs jours, voire semaines, l’assurance peut être amenée à verser une compensation au titre de la garantie de pertes d’exploitation.
Tous ces points doivent être revus de façon très précise par le service juridique interne ou un avocat spécialisé, ainsi que les clauses et conditions d’exclusion, en liaison avec le département informatique (et suivi dans le temps lors des évolutions des systèmes et des dispositifs, lesquels doivent généralement être communiqués à l’assurance).
Depuis le printemps 2023, la réglementation, entrée en vigueur dans le Code des assurances, impose un dépôt de plainte dans les 72 heures suivant la cyberattaque pour une indemnisation. La difficulté réside bien dans le fait de détecter l’attaque au plus tôt, et avec 35 jours en moyenne entre l’intrusion et la détection (5), la décision de prendre (ou non) une assurance cyber doit être sérieusement considérée par la direction comme par le conseil.