Cyber assurance : comment cela fonctionne ? Pour quels bénéfices ?

34 0
Cyber assurance

Face à un nombre croissant de cyberattaques contre les entreprises, le risque d’atteinte à la protection des données personnelles est plus élevé que jamais. Le coût de ces atteintes peut être considérable – coût renforcé par l’entrée en vigueur du RGPD – et de l’obligation faite de déclarer toute atteinte aux données personnelles, avec pour conséquence immédiate des coûts importants d’investigations informatiques, des coûts de notification, des mises en cause de la RC cyber (non incluse dans les contrats RC standard).

En conséquence, un nombre croissant d’organisations choisissent d’investir dans un contrat d’assurance cyber, qui les protège des conséquences financières d’une cyberattaque ou d’une violation des données personnelles même accidentelle (gestion de la crise, frais experts informatiques, frais juridiques, pertes exploitation, frais de notification RGPD). Dans cet article nous avons souhaité vous décrire les avantages de la cyber assurance et vous expliquer pourquoi, à l’ère du numérique et de la transformation digitale des entreprises, il est vital pour les organisations d’investir dans ces nouveaux contrats d’assurance, et de comprendre vos nouvelles obligations en termes de gouvernance de l’information.

Qu’est-ce qu’un cyber incident ?

Un cyber incident désigne tout événement qui menace la sécurité, la confidentialité, l’intégrité ou la disponibilité des données appartenant à une entreprise. Toute violation des politiques de sécurité informatique, des politiques d’utilisation acceptable ou des pratiques courantes en matière de sécurité informatique est considérée comme un cyber incident.

La gouvernance de l’information et la gestion des risques, ne vont sans doute pas empêcher qu’une cyberattaque se produise, mais elle peut certainement réduire son impact sur l’entreprise concernée. Une menace cyber ou une faille expose l’entreprise à une perte d’intégrité et compromet l’accès à l’information. Il en résulte une incapacité à fournir la bonne information et un traduit un non-respect de l’obligation réglementaire (RGPD) de sécuriser les données personnelles. De plus en plus d’entreprises prennent conscience des enjeux d’une bonne gouvernance et d’une bonne gestion des risques en matière de cyber-risque afin de limiter les conséquences d’une cyberattaque ou d’une violation du système d’information.

Pourquoi transférer le cyber-risque ?

Lorsqu’il s’agit de transfert de risques, un dirigeant d’entreprise peut choisir de s’auto-assurer. Selon l’étude du Ponemon Institute intitulée « 2017 Cost of Data Breach Study », le coût moyen par personne (par dossier compromis) d’une atteinte à la protection des données est de 143 € en France par organisation interrogée (ETI et Grand Comptes), le coût moyen pour une entreprise d’une atteinte à la protection des données s’élevant à plus de 2 Millions d’euros. Ainsi, une entreprise qui subit au moins une atteinte par an à la protection des données personnelle pourrait décider de mettre de côté 2 millions d’euros afin de répondre aux conséquences financières d’une atteinte à la protection des données. Il est fort probable que les investisseurs perdraient confiance dans l’entreprise, qui n’agirait pas dans une démarche de cyber résilience.

Au contraire, investir dans la cyber assurance libère des capacités financières mais s’avère plus rentable à long terme. En effet, en transférant le risque à l’assureur, les entreprises doivent fournir la preuve de leurs pratiques en matière de gouvernance de l’information. S’il n’y a pas de bonnes pratiques en place en termes de cyber sécurité, l’assurance va aider l’entreprise à élaborer un plan de sécurité informatique dans le but de prévenir la cybermenace.

bénéfices Cyber assurance

Continuité des activités

Comme toutes les entreprises ne peuvent plus rien faire sans accéder à leurs données et à leur système d’information, l’information est essentielle pour assurer la continuité des affaires. Face aux cyber-menaces et aux failles dans la sécurisation des données, il est important que les entreprises aient la capacité de réagir efficacement, ce qui comprend la mise en place d’un plan pour réagir rapidement, professionnellement et avec un impact minimal. Une entreprise doit connaître son système d’information, quelles sont les données sensibles à protéger et sauvegarder, dans le but d’atténuer les effets d’une cyberattaque.

Tout chef d’entreprise devrait se poser les questions suivantes :

  • Mon système d’information, ses logiciels, ses données sont-elles parfaitement sauvegardées ?
  • Un test de réinstallation de mes sauvegardes a-t-il été réalisé ?
  • Pendant combien de temps mon système d’information est-il non opérationnel suite à une cyber attaque, avant redémarrage et réinstallation de mes sauvegardes ?
  • Le risque de compromission des sauvegardes existe…. Ai-je mis tout en forme de manière à réduire les risques ?
  • Existe-t-il un plan écrit de continuité des activités ?
  • Tous les employés sont-ils formés et bien informés sur les mesures à prendre si le risque se produit ?

Il est essentiel que tous les employés et toutes les parties concernées aient accès à l’information sur la façon de réagir face à un cyber incident afin de minimiser tout dommage. Cette approche des cyber risques, c’est exactement le processus que les cyber assureurs veulent voir en place, afin de limiter leur propre exposition.

Confiance dans la politique de protection des données

La confiance et les relations sont les facteurs les plus importants pour assurer la viabilité à long terme d’une entreprise. Une compagnie d’assurance cyber avisée n’acceptera pas le transfert de risque si une entreprise ne peut démontrer qu’elle a pris des mesures adéquates pour maintenir la confiance de toutes les parties prenantes et, surtout, des clients. Les compagnies d’assurance s’attendent à ce que les entreprises qu’elles assurent prouvent leur cyber maturité au travers des réponses aux questions suivantes :

  • En stockant les données des clients, l’entreprise remplit-elle ses obligations face au RGPD de bonne gouvernance de l’information dans la collecte, le stockage, l’utilisation et l’archivage des données ? L’information est-elle cryptée ou « anonymisée » ?
  • Quelle est la politique de mise à jour des anti-virus, des logiciels ? Comment sont sauvegardées les données de l’entreprise ?
  • L’entreprise a-t-elle anticipé une atteinte à la protection des données personnelles ?
  • Existe-t-il des procédures afin de contrôler les droits d’accès à l’information et la gestion des habilitations ?

Personnes, politiques et procédures

Une compagnie d’assurance cyber souhaitera comprendre le fonctionnement de votre entreprise avant d’accepter un engagement. Ils analyseront un certain nombre de choses, notamment :

  • Les rôles et les responsabilités sont-ils compris ?
  • Leurs contrôles d’approbation des transferts de fonds sont-ils en place ?
  • L’entreprise dispose-t-elle d’une politique de protection de la vie privée adéquate qui communique aux intervenants la façon dont elle recueille et gère l’information ?
  • L’entreprise a-t-elle une politique régulière de gestion des correctifs ?
  • L’entreprise a-t-elle une politique visant à s’assurer que la propriété du risque et la responsabilité sont décrites dans tous les contrats conclus avec des tiers ?

Le transfert du risque à un assureur tiers doit être étayé par une preuve de bonne gouvernance de l’information. Toute négligence dans les pratiques de gouvernance de l’information reflète l’incapacité d’une partie de l’entreprise à prendre les bonnes mesures pour prévenir et atténuer un cyber incident.

Pourquoi souscrire un contrat de cyber assurance ?

Beaucoup de choses sont écrites au sujet des contrats de cyber assurance. Non seulement les cyber-risque ne sont pas bien compris et les conséquences financières d’une cyber attaque mal appréhendées, mais les entreprises sont souvent incapables de consacrer suffisamment de ressources à la mise en place d’une bonne gouvernance de la sécurité informatique.

D’un côté nous avons des contrats de cyber assurance aux libellés et garanties conçues pour répondre à des scénarios de cyber-risques bien spécifiques.

De l’autre nous avons des chefs d’entreprise désireux de s’acheter une solution de cyber sécurité au travers d’un contrat d’assurance qui couvrirait tous les cyber risques. Un travail préalable doit être réalisé par les entreprises afin d’éliminer les principaux risques cyber pour ne transférer que les risques résiduels. Il est essentiel que les contrats de cyber assurance répondent à la fois aux besoins des assurés et à ceux des entreprises. En vous appuyant sur un courtier d’assurance cyber spécialisé (il en existe quelques-uns dont CYBER COVER pour ne citer que lui), vous serez accompagnés dans le choix des garanties et de la Compagnie d’assurance mais surtout vous aurez une meilleure vision des enjeux d’une bonne cybergouvernance au sein de votre entreprise.

Les contrats d’assurance cyber offrent des garanties de plus en plus complètes : gestion de crise, large panel d’experts informatiques capables d’identifier les risques et de réduire l’impact d’une cyber attaque. Les Compagnies d’assurance se sont également dotées d’une équipe d’experts en relations publiques et e-communication, d’experts juridiques afin de minimiser les menaces ou les coûts liés aux violations des données personnelles, et d’experts en analyse forensic capables de déchiffrer exactement ce qui s’est passé, pourquoi et comment éviter que de futurs cyberincidents ne se produisent.

Rôle du courtier d’assurance cyber

Les cyber-risques évoluent. La technologie devenant de plus en plus avancée chaque jour, il est difficile pour les entreprises de suivre le rythme. Avec les risques émergents, les courtiers traditionnels ont eu du mal à appréhender ces nouveaux risques. Les courtiers en cyber assurance spécialisés sont en mesure de comprendre et d’analyser les besoins d’une entreprise, de mesurer les impacts financiers d’une cyberintrusion et de déterminer le bon niveau de garantie. Ils comprennent également les complexités des cyber-risques et disposent d’un réseau de prestataires cyber capables de répondre à vos questions. Enfin cette nouvelle génération de courtier en assurance peut vous aider à comprendre les garanties, les exclusions et les différences entre les contrats d’assurance cyber proposés. Au moment de souscrire votre contrat de cyberassurance, ce courtier vous conseillera sur la façon d’obtenir le meilleur bilan cyber afin que les lacunes présentées ne pénalisent pas l’entreprise dans la tarification et l’acceptation de l’offre par un assureur. Il vous vous accompagnera dans la durée, en défendant vos intérêts, en transférant si nécessaire votre contrat cyber auprès d’une compagnie d’assurance plus compétitive en termes d’offre.

Pas de commentaire

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *