Qu’est-ce que la cyber assurance ?

Les violations de données coûtent des milliards aux organisations chaque année, et la cyber assurance permet aux organisations de se décharger de la fiabilité résiduelle liée au risque et des coûts associés aux événements de cybersécurité.

La cyber assurance (ou assurance contre les cyber risques) minimise les coûts d’un événement de cybersécurité tel qu’un ransomware, une violation de données ou une compromission de réseau, afin que les entreprises ne souffrent pas de graves tensions financières.

Toute entreprise qui héberge ou stocke des informations sensibles peut bénéficier d’une cyber assurance. Plus le risque ajouté à un réseau est grand, plus il est important pour les entreprises de souscrire des polices d’assurance cybernétique afin de réduire les coûts si le réseau est compromis.

Si une menace conduit à un vol de données, l’organisation doit payer pour la réponse à l’incident, la remédiation, les dommages à la marque, les litiges, les amendes de conformité et les réparations potentielles aux clients. La cyber assurance permet d’alléger une partie de ces coûts.

La destruction du réseau et des données est également un risque lié à une compromission, et les polices d’assurance cybernétique couvrent les coûts des retombées de ces événements de cybersécurité. Par exemple, un ransomware est un événement paralysant qui peut prendre des semaines à être corrigé par le biais d’une reprise après sinistre ; une police d’assurance contre les cyber risques couvre donc une partie de ces coûts.

Après un incident de cybersécurité, l’organisation doit couvrir les coûts de plusieurs mesures correctives ultérieures. La réponse à l’incident, le confinement, les analyses et enquêtes médico-légales, les litiges, les audits de conformité, l’infrastructure de sécurité supplémentaire et les changements de politique ne sont que quelques-uns des événements qui suivent la compromission d’un réseau.

Tout événement cyber qui entraîne une perte de données, des enquêtes et des conséquences financières peut être couvert par une police d’assurance, mais la couverture dépend de la compagnie d’assurance et du type de couverture choisi par l’entreprise.

Le type de couverture détermine les primes de la police, de sorte que le coût est souvent un facteur dans le choix de la police de l’organisation. La plupart des polices couvrent les coûts associés au vol de justificatifs, au phishing, aux attaques de ransomware, de malware et aux menaces internes.

Dans de nombreuses polices d’assurance, les incidents cybernétiques sont spécifiquement exclus de la couverture. Chaque propriétaire d’entreprise doit vérifier sa police pour obtenir des informations sur la couverture, mais il est courant que l’assurance responsabilité civile générale exclue le piratage et les autres vols de données numériques et oblige les propriétaires d’entreprise à souscrire une cyber assurance supplémentaire.

Un seul incident de cybersécurité peut coûter des dizaines de milliers de dollars, il est donc trop coûteux de l’inclure dans les polices d’assurance responsabilité civile générale. En outre, le nombre de risques est un facteur important dans les primes d’assurance, de sorte que les primes pourraient changer à mesure que les entreprises se développent et ajoutent plus d’infrastructures à leur environnement.

Chaque entreprise ayant ses propres risques et préférences en matière de couverture, le coût de la cyberassurance n’est jamais une structure unique. La taille de l’entreprise et le revenu annuel sont également des facteurs qui influent sur les primes d’assurance. Les industries telles que la santé et la finance sont des cibles majeures, ce facteur peut donc également influencer la couverture et les coûts.

Tout comme pour les assurances générales, les événements passés influent également sur le coût de la couverture. Si une organisation a déjà été victime de piratage, le coût de la couverture sera probablement plus élevé que pour une organisation qui se défend avec succès contre les menaces.

Les coûts dépendent de plusieurs facteurs, notamment de la couverture choisie par l’entreprise.

Lorsque les propriétaires d’entreprise recherchent une couverture, chaque compagnie d’assurance propose ses propres formules et politiques. Les agents d’assurance enverront des devis pour des options de couverture avec des coûts différents, et le propriétaire d’une entreprise pourra choisir parmi une liste de polices.

En général, l’assurance cyber risques couvre :

• La perte de données et la récupération associée.
• La perte de revenus due aux interruptions d’activité dues à un événement de cybersécurité.
• La perte de fonds transférés suite à des événements tels que la fraude et l’ingénierie sociale.
• La perte de fonds due à la fraude informatique et à l’extorsion.

La liste ci-dessus couvre le cyber-événement proprement dit, mais les polices d’assurance couvrent généralement les conséquences et les événements de suivi associés à une violation de données.

Après avoir subi une violation de données, une police d’assurance cyber risques couvrira probablement les éléments suivants :

• Les coûts de notification : Les coûts associés à l’identification des victimes et à l’envoi d’avis pour qu’elles soient informées de la violation. Cette activité est souvent une exigence de conformité.
• La surveillance du crédit : Les coûts associés à la surveillance du crédit de la victime (client) après la perte de données et le vol d’identité.
• Les litiges civils : Coûts associés aux poursuites judiciaires et aux réparations des clients.
• Expertise judiciaire : Coûts liés à l’embauche de consultants et d’experts en criminalistique afin de pouvoir analyser les dommages et leur cause profonde.
• Dommages à la marque : Coûts associés aux relations publiques pour réparer les dommages causés à la réputation de l’organisation.

Les organisations devraient vérifier auprès de leur compagnie d’assurance si elle couvre les coûts pour aider à stopper les attaques avant qu’elles ne se produisent. Une compagnie d’assurance peut aider à la formation à la prévention contre le phishing et l’ingénierie sociale.

Les organisations souscrivent des polices d’assurance cyber risques pour couvrir les pertes financières en cas d’incident de cybersécurité, mais les polices ne couvrent pas tout. Par exemple, une police de cyber assurance ne couvre pas les pertes de revenus futures prévues. Toute perte de propriété intellectuelle résultant d’une violation de données doit être couverte par une autre police adaptée.

Les actes de guerre de la part d’attaquants étrangers ne sont généralement pas couverts, et les coûts associés à la mise en place d’une infrastructure de cybersécurité avant et après la violation peuvent ne pas être couverts. Comme d’habitude, vérifiez auprès de la compagnie d’assurance et de la police pour connaître les éventuelles exclusions de couverture.

Comme toute autre police d’assurance, la cyber assurance comporte une franchise, mais vous pouvez la choisir au moment de la souscription de la police. Les compagnies d’assurance offrent aux organisations un choix de franchise, et le prix de la franchise détermine les primes d’assurance. Plus la franchise est basse, plus l’organisation paiera ses primes.

On pourrait croire que la cyber assurance est la solution miracle en cas de violation de données, mais elle ne doit être utilisée que comme un complément à votre stratégie de cybersécurité et jamais comme une stratégie à part entière. Il est important de lire la police d’assurance cyber risques pour s’assurer que toutes les conditions sont respectées, y compris un plan qui couvre l’infrastructure nécessaire à la protection des données.

Une violation de données coûte cher, et la cyber assurance ne couvre pas les revenus futurs des produits nouvellement lancés et la croissance de l’entreprise. Ce revenu perdu à cause de l’atteinte à la marque et aux coûts associés à une violation de données peut affecter de façon permanente les revenus futurs. Pour qu’une organisation soit viable, elle doit avoir une stratégie de cybersécurité qui contribue à réduire les risques et à éviter une compromission.

En 2017, plusieurs incidents de cybersécurité majeurs ont détruit les données de grandes organisations et d’entités gouvernementales à travers le monde. WannaCry, Petya et NotPetya ont été quelques-unes des attaques par ransomware qui ont touché les petites et grandes organisations. On pourrait penser que les cyber assurances couvrent les dommages causés par ces attaques de ransomware, mais les experts en criminalistique ont suggéré que les attaques pourraient viser des pays spécifiques.

Comme mentionné ci-dessus, les “actes de guerre” ne sont pas couverts dans la plupart des cyber assurances. Après les nombreuses attaques de ransomware en 2017, certaines compagnies d’assurance ont affirmé qu’elles n’avaient pas besoin de payer pour les dommages causés par les ransomwares car ils étaient considérés comme des actes de guerre. Plusieurs organisations ont dû couvrir par elles-mêmes les dépenses après les dommages causés par les ransomwares, qui sont l’une des attaques les plus coûteuses.

La première étape vers l’acquisition d’une cyber assurance consiste à auditer l’infrastructure actuelle et à documenter vos politiques et systèmes de cybersécurité en place. Une compagnie d’assurance voudra savoir quels systèmes sont actuellement en place pour déterminer la couverture et les coûts. Comme toute compagnie d’assurance, une société de cyber assurance ne couvrira pas une organisation qui n’a pas de stratégie et d’infrastructure de cybersécurité en place, car une telle organisation est sûre d’être victime d’une violation de données dans un avenir proche.

Après un audit de l’infrastructure de cybersécurité, il est temps de rechercher une police d’assurance en contactant plusieurs compagnies d’assurance. Chaque compagnie a ses propres normes, exceptions et coûts. Veillez donc à lire les conditions générales de la police avant de l’accepter. Une compagnie d’assurance examinera les stratégies actuelles en matière de cybersécurité pour déterminer si elle est prête à souscrire une police pour vous.

Les événements liés à la cybersécurité coûtent des milliards aux organisations chaque année. Un seul événement peut coûter à une organisation un montant à six chiffres pour contenir la menace, remédier à la vulnérabilité, payer les analyses médico-légales, puis la perte monétaire due à l’atteinte à la marque et aux violations de la conformité.

Comme de plus en plus d’organisations réalisent le coût énorme associé à un incident de cybersécurité et à une violation de données, elles voudront payer des polices qui couvrent les dommages et les pertes monétaires de ces événements.

Les compagnies d’assurance adapteront leurs polices afin de gagner de l’argent sur les primes, et les organisations doivent donc toujours être conscientes des exclusions inscrites dans le contrat. Les paiements importants sont coûteux pour les compagnies d’assurance, qui ajoutent donc des limitations pour s’assurer que la couverture ne concerne que les incidents pour lesquels l’organisation a mis en place l’infrastructure de cybersécurité nécessaire et a fait tout ce qui était nécessaire pour empêcher une compromission.

Comme les compagnies d’assurance hésitent à souscrire des polices pour des organisations dont les contrôles de cybersécurité sont insuffisants, vous devez mettre en place des stratégies et une infrastructure spécifiques avant de chercher un fournisseur. De meilleurs contrôles de cybersécurité réduiront également les risques et, par conséquent, les primes d’assurance et les coûts de la couverture. Avant de chercher une police d’assurance, une organisation peut réduire ses primes en installant une infrastructure de cybersécurité efficace dans tous ses environnements.