L'assurance cyber-risque
Une assurance spécifique
Les PME / TPE faces aux cyberattaques / cybermalveillances
Protégez votre entreprise en consultant cette foire aux questions
1Est-ce qu’une TPE ou une PME constitue véritablement une cible intéressante pour les hackeurs ?
VRAI : Il y a encore quelques années, les cibles principales de cyberattaques étaient les très grosses structures. Depuis, elles se sont bien protégées : investissement dans les services informatiques, achats de nouveaux matériels, souscription à des polices d’assurances cyber… Ces cibles de choix ne le sont donc plus aujourd’hui.
On assiste désormais à une recrudescence des attaques contre les TPE et les PME, qui ne sont pas préparées pour y faire face. Selon le Baromètre France Num 2023, l’étude confirme en premier lieu la part majoritaire des attaques sur les PME (44 %) et les TPE (12 %), particulièrement exposées en raison d’un niveau de protection plus faible. De plus, selon le Medef, 20% des TPE concernées ont subi un préjudice supérieur à 50 000 €.
Pour citer quelques chiffres supplémentaires : 60% des victimes de cyberattaques sont des TPE/PME.
2Un hackeur n’a aucun intérêt à m’attaquer si je n’exerce pas dans un secteur d’activité sensible, ou si je suis une TPE/PME ?
FAUX : Les exemples de TPE/PME victimes de cyberattaques se multiplient. Ces établissements enregistrent une augmentation cumulée des attaques de 59% de 2018 à 2019. Ce n’est pas forcément l’entreprise en elle-même qui intéresse le criminel, mais ses prestataires, ses clients, ses données…
3Quel est le coût d’une cyberattaque pour ces entreprises ?
14 000€ pour les TPE en moyenne sur 2019. Cette moyenne grimpe jusqu’à 184 000€ pour les PME en 2019, alors qu’elle était de 44 000€ en 2018, soit une augmentation de près de 400% du coût moyen d’une attaque. Ce coût comprend les réparations matérielles si des ordinateurs ont été endommagés, les frais de reconstruction des données, les frais de notification aux autorités compétentes, les périodes de cessation d’activité, le paiement de potentielles rançons, etc…
4Comment puis-je me prémunir un minimum contre ces incidents ?
Facile et gratuit, la plus évidente des solutions consiste à s’assurer que les différents logiciels que vous utilisez (production, comptabilité, intranet, client messagerie, etc…) soient à jour ; cela permet de corriger les potentielles failles de sécurité que des attaquants peuvent utiliser. Ensuite, il vous faut impérativement informer vos collaborateurs sur les différents risques encourus, et les bonnes pratiques en la matière.
Bien évidemment le risque zéro n’existe pas, et même si vous réduisez les risques au minimum en appliquant ces conseils, vous n’êtes pas à l’abri de subir une attaque.
5Comment se prémunir au mieux contre ces risques ?
L’assurance cyber ! C’est aujourd’hui un moyen incontournable pour être serein et prêt à toutes les éventualités en matière de cyber risques. Dans le cas d’une attaque réussie, un tel contrat vous permet d’être indemnisé de l’ensemble des conséquences dommageables : frais de reconstruction de données, de notification, cessation d’activité, gestion de crise, etc…
6« Je n’ai ni les moyens ni le besoin de souscrire à une telle assurance pour mon entreprise »
FAUX : Une assurance entièrement dédiée aux risques cyber couvrant jusqu’à 50 000€ de dommages, ne vous coûtera par plus de 20€/mois. Cette dernière prévoit un numéro d’urgence à contacter en cas d’incident, qui déclenche toute une procédure d’intervention effectuée par des professionnels : cellule de gestion de crise à distance, experts informatiques, avocats, communicants, etc… L’ensemble de l’incident sera pris en charge par la police d’assurance.
7« J’ai déjà souscrit à une police d’assurance généraliste qui comprend des clauses cyber, je suis donc couvert contre les cyber risques »
FAUX : S’il est vrai qu’un contrat d’assurance généraliste peut intégrer des clauses garantissant les dommages issus de risques cyber, ou simplement ne pas exclure leur indemnisation, cela ne suffit pas pour être effectif. Le risque cyber est de nature volatile, il est en perpétuelle évolution, les attaques d’aujourd’hui ne sont plus celles d’hier, et n’auront rien à voir avec celles de demain. Il en résulte que le fait de couvrir une entreprise contre ces risques ne se fait pas en intégrant quelques clauses dans un contrat généraliste : on parle alors de garanties mal placées, ou de couvertures silencieuses. Vous n’aimeriez pas prendre connaissance que votre couverture cyber est inefficace le jour où vous en aurez besoin.
8Qu’est ce qui fait la différence entre une couverture cyber intégrée dans un contrat généraliste, et une police dédiée ?
La mise en œuvre : du fait de la nature même du risque cyber, sa couverture nécessite une véritable préparation en amont avec un certain recul sur les incidents. Une couverture dédiée au cyber doit se situer au plus proche de la réalité d’une attaque : l’assureur doit faire preuve de pragmatisme et rythmer chaque étape de la résolution de l’incident. La simple suspicion d’attaque doit pouvoir donner lieu au déclenchement de la procédure d’urgence :
La mise en œuvre d’une telle procédure ne peut être prévue par quelques stipulations intégrées à un contrat généraliste.
Voici un exemple réel tiré de l’expérience d’un assureur : une PME reçoit un e-mail réclamant le règlement urgent d’une facture en pièce jointe. En ouvrant le document, un rançongiciel s’exécute (programme chiffrant l’intégralité des données d’un ordinateur, voire du réseau si la machine y est connectée, ce qui est très souvent le cas). Le pirate réclame alors une rançon de 800€ pour débloquer les données.
L’entreprise a immédiatement contacté la cellule de crise, qui s’est occupée de prendre en charge l’incident : au total, c’est 60 000€ qui seront indemnisés par l’assureur, comprenant entre autres les frais de reconstitution des données et la perte d’exploitation subie.
9Comment souscrire une assurance dédiée au cyber ? Quelles en sont les conditions ?
Certaines formalités préalables sont nécessaires avant de pouvoir souscrire une couverture cyber dédiée. Au regard de la spécificité de ce risque, les assureurs ont besoin de connaître la situation de l’assurée. C’est pourquoi un questionnaire vous sera adressé qui portera entre autres sur l’étendue de votre parc informatique, le nombre de données personnelles que vous gérez, le nombre et la fréquence des sauvegardes, l’emplacement des serveurs, etc.
Ensuite, il vous sera demandé d’actualiser ces informations dès que besoin s’en fait sentir.
Enfin, vous devrez vous engager à respecter une procédure précise en cas d’urgence : ne pas tenter de résoudre l’incident avec le service informatique interne, contactez immédiatement l’assureur, etc…