L’assurance du risque cyber ne remplace donc pas la cybersécurité, mais complète l’arsenal, en permettant la résilience de l’entité.
Dans un monde où les dangers liés à la cybersécurité sont quotidiens, la question de l’assurance cyber peut légitimement se poser dans le cadre du management du risque cyber. En effet, le coût d’un incident cyber est très élevé, tant en termes financiers qu’en termes de réputation, et la probabilité qu’un tel incident se réalise est de plus en plus forte : + 30% d’attaque par rançongiciel entre 2022 et 2023 (ANSSI) par exemple. Pour contrer ces chiffres alarmants, les mesures de sécurité traditionnelles jouent un rôle essentiel en réduisant la probabilité, la fréquence et l’intensité des attaques. Ce constat est d’ailleurs confirmé par les assureurs : 46% de sinistres tous segments confondus sont couplés à une baisse de la sévérité de ces derniers.
Cependant, même les systèmes les plus robustes ne sont pas infaillibles. C’est là qu’intervient l’assurance cyber, qui permet à une entité de pouvoir repartir après un incident. En offrant une protection financière et un soutien en cas de crise, l’assurance cyber devient un pilier incontournable pour garantir la continuité des activités et minimiser les impacts dévastateurs des cyberattaques. L’assurance du risque cyber ne remplace donc pas la cybersécurité, mais complète l’arsenal, en permettant la résilience de l’entité.
Qu’est-ce qu’une assurance cyber ?
Pour comprendre ce qu’est une assurance cyber, il faut déjà comprendre ce qu’est le risque cyber du point de vue de l’assureur. Nous pourrions le décrire ainsi : il s’agit de l’ensemble des risques liés à l’usage des technologies numériques et peut être défini comme un risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’informations. De fait, pour déclencher une cyber-assurance, il faut à minima l’existence d’un aléa (date et gravité de l’atteinte), disposer d’un contrat d’assurance cyber préalablement à l’incident, et avoir déposé une plainte auprès des autorités compétentes dans les 72h maximum (après la connaissance de l’atteinte par la victime). Précisons tout de suite qu’il faut faire la distinction avec la garantie fraude, c’est-à-dire faire la distinction entre cyber fraude et fraude.
Une fois ce préalable posé, que couvre une assurance du risque cyber ? Voici les 3 grands volets de couverture d’une telle assurance :
- Frais d’urgence / Réponse à incident : Intervention d’experts (notamment informatiques) pour circonscrire et arrêter l’attaque au plus vite.
- Dommages subis par l’entreprise : Frais (experts informatiques, monitoring et surveillance, notification, conseils juridiques, gestion de crise…), restauration des données, enquêtes et sanctions (autorité administrative, PCI DSS), cyber extorsion (rançongiciel notamment), cyber fraude (détournement de fonds, arnaque au président…) et pertes liées à la non-production / non-vente des services ou de produits, et/ou frais supplémentaires d’exploitation.
- Dommages aux tierset responsabilité civile : Frais de défense, réclamations et conséquences financières.
Voici un exemple concret de ce que peut faire une cyber-assurance lors de la survenue d’un sinistre de type phishing (hammeçonnage) : un collaborateur d’une société de conseil en investissement ouvre par mégarde un e-mail frauduleux. Celui-ci introduit dans le système d’information (SI) un malware sans que cela soit détecté. Trois mois après, ce cabinet sera victime d’un ransomware. L’assurance cyber verse alors les indemnités suivantes : reconstitution de données, frais d’investigation.
Qui peut être cyber assurable ?
Avec des probabilités de plus en plus fortes d’attaques cyber tous azimuts, il semble logique qu’un cyber assureur exige de nombreux prérequis et un minimum de sécurité attendu pour envisager de vous couvrir le cas échéant. Voici une liste, variant d’un assureur à l’autre, mais qui peut vous donner une idée de l’attendu et des manques à combler :
- Fonction RSSI et DPO, externalisé ou non, en fonction de l’activité pour le second.
- Mises à jour des logiciels (avec décote possible dans le remboursement en fonction des manquements), suppression des logiciels obsolètes, utilisation d’antivirus.
- Procédures de sauvegarde des données, éprouvées et testées.
- Systématisation de la mise en œuvre du MFA (double authentification à minima).
- Comptes administrateurs séparés.
- Sensibilisation des personnels, campagne anti-phishing.
- Scans réguliers : externe, Cloud, active Directory…
- Audit, test d’intrusion (idéalement annuellement).
- Double validation des opérations sensibles (modification des coordonnées bancaires, paiements à des tiers, etc.).
Il peut également vous être demandé des mesures complémentaires, comme la mise en place d’une identification proactive des menaces via des solutions Endpoint Detection and Response (EDR), ou d’agréger et de stocker de façon centralisée les données relatives aux événements de sécurité (SIEM – Security information and event management), ou encore d’externaliser un Security Operation Center (SOC), qui va venir travailler sur les alertes générées par l’EDR et le SIEM.
Qui plus est, une cyber-assurance ne vous exempt pas de respecter les nombreuses réglementations en vigueur. En fonction de la taille de votre entreprise et de votre activité, il peut s’agir de NIS2, DORA … sachant tout de même que certaines d’entre elles concernent toutes les organisations, comme le RGPD. Ce dernier vise en effet les organismes privés, publics et les associations disposant, de manière physique ou dématérialisée, de données personnelles de citoyens européens sur ses salariés, les clients, les fournisseurs, les partenaires, les prospects, etc.
Comment se préparer ?
Commencez déjà par faire un état des lieux solides, notamment organisationnel, pour être aligné avec le guide d’hygiène cyber de l’ANSSI par exemple. Ce qui va vous permettre de vérifier si vos mesures de sécurité sont à l’état de l’art et bien appliquées (en interne comme en externe). Ce qui peut prendre la forme d’un audit, qui peut être étendu à vos fournisseurs si vous souhaitez vous assurer que les prestataires respectent les exigences contractuelles de l’assureur. À la suite de cet audit, à chaque écart, non-conformité ou vulnérabilité décelé, il conviendra de répondre par des actions correctives appropriées.
En complément, nous avons imaginé le Passeport Fidens, votre billet pour une posture cyber ready, garantissant une cybersécurité renforcée et une cyber assurance accessible. Ce Passeport valide la préparation face aux menaces numériques, où chaque étape est approuvée par un tampon, certifiant ainsi les compétences et les mesures mises en place. En obtenant le passeport Fidens, vous accédez non seulement à une cybersécurité renforcée, mais également à une assurance cyber simplifiée, renforçant ainsi la confiance de vos partenaires et clients. Ce transfert du risque cyber apporte ainsi une démarche incontournable dans un contexte de renforcement des normes et de l’exigence croissante de certifications !
Enfin, rien de tel qu’une campagne de pentests (tests d’intrusion) pour connaître avec certitudes les « trous dans la raquette ». Concrètement, cette démarche vous permettra d’évaluer votre niveau de sécurité à un instant donné par rapport aux pratiques réelles de piratage. Les tests s’appliquent sur un système informatique, un réseau ou une application web, afin de déceler des vulnérabilités susceptibles d’être exploitées en cas d’attaque. Il vous suffit de mettre en place une autorisation de tests et/ou un accord de confidentialité, et de définir un périmètre cible en amont de la mission.
Consultant en cybersécurité depuis 9 ans, j’interviens sur toutes les problématiques de gouvernance, risques et conformité et j’accompagne également les clients à choisir la meilleure offre pour renforcer leur maturité cybersécurité.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com