L’économie mondiale dépend fortement des systèmes informatiques hyper connectés, pour le commerce et les communications, la distribution d’énergie et le transport, sans oublier bon nombre d’activités essentielles (finance, formation …). Les pannes informatiques, les violations des systèmes d’information avec le vol ou la diffusion de données confidentielles, quelles qu’en soient les causes (panne matérielle, erreur humaine, cybercriminalité), font partie intégrante de la vie des affaires.
« Cela ne nous arrivera jamais ! Nous sommes trop petits … Nous sommes trop bien protégés ! … »
C’est le genre d’affirmation fréquemment rencontrés lorsque l’on évoque les risques d’atteinte à la sécurité du système d’information….Et ce, malgré le fait que les atteintes à la cyber sécurité peuvent ternir la réputation des entreprises et nuire gravement à la santé financière des entreprises.
Les Directeurs des systèmes d’information (DSI) et Responsables de la sécurité des systèmes d’information (RSSI) devraient s’intéresser davantage à la cyber assurance et l’intégrer dans leur plan de sécurité informatique, véritable moyen de garantir leur budget informatique contre des incidents imprévus (cyber attaque, violation des données personnelles…)
Lorsque des brèches dans le système d’information se produisent ou que l’entreprise est victime d’une cyber attaque, ce n’est pas seulement la réputation de l’entreprise qui est en question mais l’équilibre financier de l’entreprise et de sa direction informatique. Les services informatiques qui sont souvent sur la corde raide entre la gestion des attentes de l’entreprise et la gestion de la relation client, avec des budgets offrant peu de marge de manœuvre… Une atteinte au système d’information imprévue va mobiliser des moyens non budgétés extrêmement couteux qui oblige les directions informatiques à reporter certains investissements jugés moins prioritaires.
Les coûts des incidents
Selon un nouveau rapport, l’étude de 2018 sur le coût de l’atteinte à la protection des données, réalisée par le Ponemon Institute, le coût moyen d’une atteinte à la protection des données ne fait qu’augmenter et est estimé en France à 147 € / donnée … Il est prévisible avec l’entrée en vigueur du RGPD qui impose en cas de violation des données personnelles, une obligation de déclaration à la CNIL et impose une obligation de notification, que ces coûts augmentent encore fortement.
Les coûts d’une entreprise victime d’une atteinte à la protection des données sont proportionnels à la taille de l’entreprise, dépendent du secteur d’activité et de la volumétrie des données stockée… En moyenne le coût d’un sinistre cyber pour une PME s’élève à environ 300 k€ pour atteindre rapidement plusieurs millions d’euros pour une ETI…
La négligence continue d’être la cause la plus fréquente de perte de données, car les employés perdent soit leur « matériel nomade » (ordinateur portable, téléphone..) contenant des informations confidentielles ou échouent dans leur responsabilité de sécuriser les données qui leur ont été confiées (ouverture d’un email contenant un virus, un crypto locker…).
Cependant, ce sont les attaques malveillantes émanant de cyber criminels qui constituent la forme la plus coûteuse d’atteinte à la protection des données, occasionnant dans un tiers des cas une perte de données.
Portée et avantages de la cyber assurance
Il n’existe pas d’entreprise sécurisée à 100 % pouvant garantir le risque zéro. Même le plan le plus robuste de sécurité de l’information et de reprise après sinistre n’est jamais sans faille. Le risque cyber est un risque nouveau, protéiforme, changeant qui vient s’ajouter aux menaces d’erreur opérationnelle, aux ruptures d’approvisionnement et risques d’erreurs administratives.
L’assurance peut être le véhicule idéal pour transférer le risque résiduel.
La cyber assurance intervient en cas d’atteinte à la protection des données et couvre généralement les frais suivants :
- Gestion de crise (avec un prestataire spécialisé qui intervient sur votre système d’information pour limiter les conséquences de la cyber attaque subie par l’entreprise)
- Analyse forensics / experts informatiques
- Conseil/assistance juridique (déclaration RGPD, défense recours)
- Frais de Notification (rédaction / impression / centre d’appel / publicité)
- Restauration des données / du système d’information
- Services de monitoring
- E communication (réhabilitation de votre image)
- Pertes d’exploitation / frais supplémentaires d’exploitation
- Coûts indirects causés à des tiers (RC Cyber)
Des variantes existent entre les compagnies d’assurance et la terminologie employée varie d’une Compagnie d’assurance à une autre. Le sujet est complexe et nécessite une excellente compréhension des risques cyber.
Comment définir votre besoin en cyber assurance ?
Pour discuter des options de couverture, nous vous recommandons de consulter un courtier spécialisé en cyber assurance. Il pourra effectuer une » analyse des failles » de votre programme d’assurance actuel, » cartographier les risques pesant sur vos actifs immatériels » (c.-à-d. vos données électroniques). Certains courtiers spécialisés comme CYBER COVER vous proposeront également de réaliser un cyber diagnostic (gratuit) de votre gouvernance interne en termes de cyber sécurité.
Demandez ensuite à votre courtier d’effectuer une analyse d’impact financier des conséquences d’une violation de votre système d’information. Il vous aidera à prendre des décisions éclairées concernant vos options de transfert de risque, en comparant le coût du risque cyber et le coût de l’assurance cyber. Vous serez alors dans une position idéale pour identifier les types de polices disponibles et concevoir des couvertures sur mesure pour répondre à vos besoins spécifiques et à votre goût du risque.
Le marché de la cyber assurance s’est ouvert au cours des dernières années en raison d’une concurrence accrue. Les primes sont devenues plus concurrentielles à mesure que l’expérience s’accumulait et que de plus en plus d’assureurs avaient accumulé un historique de sinistres. Profitez-en ! Les DSI ou RSSI ne devraient pas considérer la perspective de souscrire une cyber assurance comme un échec dans leurs propres capacités à défendre leur réseau informatique de leur entreprise. Les entreprises prennent des précautions similaires dans d’autres domaines, comme l’installation de détecteurs de fumée et d’extincteurs automatiques à eau dans leurs immeubles et la souscription annuelle d’une assurance habitation. Les cyberattaques vont se poursuivre, mais avec la mise en place de mécanismes éprouvés de gestion des risques et de transfert des risques, il y a moins de raisons pour lesquelles ces incidents devraient mettre en péril la gestion informatique de l’entreprise et la rentabilité de l’entreprise.