Cabinet d'assurances pour protection numérique et assurances cyber-risques à Lyon

Ces dernières années le risque cyber est devenu prépondérant dans le management des risques des entreprises on considère que près de la moitié des entreprises françaises ont fait l'objet d'attaques cyber ciblées en 2020.
La situation sanitaire et la mise en place du télétravail massif ont rendu vulnérable l’informatique de nos entreprises.
Les attaques ont augmenté en fréquence et en intensité.

Qu’est ce que le risque Cyber?

Il existe 4 grandes catégories de risque cyber aux conséquences diverses :

• la cybercriminalité avec deux angles d’attaques :
  • l’attaque par Hameçonnage (phishing ou usurpation d’identité)
  • la demande de rançon
• l'atteinte à l'image :
  • l’attaque par déni de service (ddos) vise à bloquer votre site internet
  • l’attaque par défiguration va davantage être utilisée par les activistes pour véhiculer des messages idéologiques ou religieux.
• l'espionnage,
• le sabotage.

Pourquoi s’assurer ?

Vous avez beau mettre en place tout un arsenal de sécurité : firewall, antivirus, données cryptées le risque 0 n'existe pas car l'élément de faiblesse de votre système est le facteur humain.
Il apparaît dès lors que parallèlement à tout cet arsenal il est nécessaire de s'assurer.
Alors qu'il y a quelques années les informaticiens et les entreprises spécialisées en sécurité informatique voyaient les polices d’assurances comme un aveu de faiblesse, ils sont devenus maintenant les promoteurs de nos polices d'assurance. Celles-ci s'intègrent maintenant parfaitement dans la politique de sécurité informatique.

Le taux d’équipement en assurance risque numérique est très faible en France mais en forte progression. Aujourd’hui, 90 % des entreprises du CAC 40, et 50 % du SBF 120 sont assurées contre ce risque. Mais le taux d’équipement des PME assurées est inférieur à 5% et paradoxalement ce sont elles qui ont le risque de défaillance le plus important en cas d’attaque cyber.

Avec la loi sur le RGPD, une pression accrue pour les entreprises

La loi sur le RGPD du 25 mai 2018 a eu deux impacts importants sur les entreprises : elles sont maintenant obligées de déclarer sous 48h toute intrusion et vol de données personnelles. Cette contrainte a assurément un réel impact sur leur notoriété.
Qu’un avocat, qu'un notaire, soit obligé de déclarer à la CNIL, le vol de ses mails a un effet désastreux sur sa notoriété.
De plus le RGPD impose aux entreprises d’établir la cartographie des données : où sont stockées mes données, les sauvegardes sont-elles complètes ? C'est à l'occasion d'une attaque contre demande de rançon (ransomware) qu'une entreprise de Grenoble s'est aperçue que ses sauvegardes étaient incomplètes. Les cartes des pièces qu'elle usinait, stockées au niveau des machines n’étaient pas sauvegardées.

Une assurance cyber doit avoir une assistance efficace et disponible

Une assistance efficace doit être associé à un bon contrat : il faut souvent agir vite et identifier ce qu’il faut faire et surtout ne pas faire en cas de suspicion d’attaque cyber.
Il faut des experts en informatique, des personnes spécialisées dans la communication de crise vis-à-vis des clients, des fournisseurs, de la CNIL.

L’assurance cyber prend en charge les dommages.

Elle prend en charge les frais d’expertise pour identifier l’étendue du problème et relancer l’outil informatique. Le prestataire informatique habituel peut être réticent d’engager des moyens humains importants s’il n’a pas la certitude d’être payé.
Le second gros poste est celui du traitement et de la récupération des données. Si les sauvegardes sont incomplètes ou inutilisables, des moyens financiers permettent de recruter du personnel en vue de la reconstitution des données.
En cas de problématiques de données personnelles (RGPD), les frais de notifications peuvent être prises en charge.
Le paiement de la rançon est déconseillé car elle favorise les attaques. La France est particulièrement touchée par les demandes de rançon car une grande majorité des entreprises françaises payent les rançons. Certains assureurs préfèrent eux aussi prendre en charge ces rançons plutôt que d’indemniser les frais de reconstitution des données ou de perte d’exploitation.

D’autres garanties annexes mais toutes aussi importantes existent comme le monitoring pour voir où se trouvent vos données, les frais d’atteinte à la réputation...
L’autre important volet dommage est de vous indemniser de la perte d’exploitation. Si votre outil de production est paralysé, votre équipe commerciale ou votre site à l’arrêt, la survie de l’entreprise peut être menacée.

la Responsabilité Civile est un pan important des polices risques cyber.

La responsabilité de votre entreprise peut être mise en cause par des tiers ou par les autorités en cas d’attaque cyber. Le risque cyber est généralement exclu des polices traditionnelles en responsabilité civile. Grâce à cette assurance RC, les conséquences financières seront prises en charge dans la limite du plafond défini et selon les garanties souscrites.

Citons par exemple :

• le préjudice d’un client occasionné par la non délivrance d’une prestation

• en cas d’atteinte aux données ou aux systèmes informatiques de tiers (clients, fournisseurs…) ;
• en cas de publication sur internet qui entraîne un dommage à un tiers (clients, fournisseurs…) ;
• en cas d’enquête par une autorité administrative.

• le montant des dommages et intérêts réclamés en cas d’atteinte au respect de la vie privée ;

La fraude peut être une option à la plupart des contrats

Elle couvre les conséquences

• d’une fraude au président (usurpation d’identité),
• d’une fraude téléphonique entraînant une utilisation frauduleuse du système de télécommunication : la part des factures émises par son opérateur de télécommunications correspondant aux actes frauduleux.
• Fraude informatique. Tous vol, et/ou escroquerie, et/ou abus de confiance, et/ou faux ou usage de faux, et/ou chèque contrefait ou falsifié, résultant de l’accès non autorisé au système informatique. Par exemple seraient couverts aussi les détournements de commandes mais pas la perte de monnaie virtuelle ou de monnaie non réglementée.

Exclusions

Parmi les exclusions le plus courantes, nous trouvons: 

• toute atteinte corporelle subie par une personne physique ;
• tout dégât ou disparition de matériel ;
• tout dommage résultant d’un abus de confiance, d’une escroquerie, d’un faux ou usage de faux ;
• tout dommage résultant d’une action punie par la loi et commise par un membre de la direction de l’entreprise (par exemple : une tentative de cyber-extorsion…)
• Pour certains contrats le paiement des rançons demandées par les cyber criminels et le paiement des amendes infligées par la CNIL