Lundi 10 jan 2022
Risques cyber, quelle place faut-il accorder à la cyberassurance ?
En 2020, moins de 0,01% des PME détenaient un contrat d’assurance cyber (étude AMRAE). A l’heure où les risques cyber se multiplient, quelle place faut-il accorder à la cyberassurance ? Forts du constat que tous les types d’entreprises sont touchés, une prise de conscience générale semble s’affirmer chez les dirigeants d’entreprises. Qui n’a pas parmi ses connaissances professionnelles un chef d’entreprise touché par une cyberattaque, ou n’a pas lui-même subi une tentative d’attaque ? Nous avons rédigé cet article en collaboration avec un professionnel du secteur de l’assurance pour vous donner les clés indispensables en matière de prévention et sécurisation informatique.
Qu’est-ce qu’une cyberassurance ?
Une assurance Cybersécurité est un contrat, proposé par les compagnies d’assurance, qui permet de protéger votre entreprise, quelle que soit sa taille, des risques informatiques, appelés risques cyber. Un risque cyber est une atteinte aux systèmes informatiques, et / ou aux données informatisées (personnelles, confidentielles ou encore d’exploitation d’une entreprise). En contractant ce type d’assurance, votre entreprise se verra proposer des garanties adaptées permettant de réduire l’impact d’une cyberattaque.
Vous obtiendrez une assistance et des conseils pour identifier la nature et l’origine de l’attaque, sécuriser votre système informatique, adopter les bonnes mesures pour limiter l’impact du “sinistre”, qualifier et quantifier les dommages subis et serez accompagné pour gérer les conséquences d’une cyber-attaque
- Prise en charge des frais nécessaires pour réagir au plus vite (frais d’intervention informatique, frais de restauration du site web etc.)
- Indemnisation financière de vos pertes d’exploitation, de vos frais de notification …
- Dédommagement des tiers lésés,
- mise à disposition d’un juriste pour négocier avec la CNIL, en cas de violation de données personnelles,
- accompagnement en cas d’atteinte à l’image…
- Restauration de votre SI et de vos données.
- Paiement de la rançon (sur certains contrats)
Les TPE de plus en plus concernées par les risques cyber
Nous avons interviewé Jacques IZART, co-gérant du cabinet Assurwest à Nantes. L’équipe de ce courtier indépendant travaille avec plus de 60 organismes d’assurances. Ils conseillent leurs clients (Professionnels et Entreprises) sur les risques traditionnels : dommages aux biens (vol, incendie…), mise en cause de la responsabilité civile professionnelle, et de nouveaux risques tels que la cybercriminalité. Le cabinet a participé à la rédaction d’un livre blanc à destination des PME/ETI sur la cyber assurance.
Des dirigeants plus réceptifs à la cyberassurance
Jacques IZART constate qu’il y a encore 2 ans, lors de ses échanges avec les chefs d’entreprises, ils semblaient assez peu concernés par les enjeux de la cyber assurance. Ce qui est frappant depuis quelques mois, et seulement depuis quelques mois, c’est qu’il voit des dirigeants beaucoup plus réceptifs. Soit ils ont subi eux-mêmes une attaque soit ils connaissent un proche, chef d’entreprise, qui en a été victime.
“La tendance est une prise de conscience récente mais bien réelle.”
Tous concernés par les risques cyber !
Il constate également un profond changement dans le type d’entreprise qui le contacte pour souscrire une police d’assurance cyber. Cela va du paysagiste, au secteur immobilier, la grande distribution, ou encore l’industrie. Pour lui, la réponse à la question : “Qui est concerné aujourd’hui par la cyberassurance ?” est TOUS les types d’entreprises : TPE, PME et ETI , quel que soit le secteur d’activité.
C’est un phénomène nouveau ! Avant il s’agissait plutôt d’entreprises avec des activités numériques, comme des start-up, ou le secteur du e-commerce. Aujourd’hui ce sont toutes les entreprises car les attaques visent n’importe quelles données (production, R&D, facturation ou encore données personnelles). Qui n’a pas une base client, un dispositif de facturation, une machine connectée ou le dessin des pièces fabriquées sur une base Excel ou autre?
“Celui qui n’est pas concerné est celui qui n’est pas connecté.”
Savoir décrire son système informatique reste encore difficile
Pour souscrire une cyberassurance, l’entreprise doit justifier des mesures mises ben œuvre pour minimiser le risque de succès d’une attaque cyber (firewall et antivirus à jour, sensibilisation du personnel à la protection des données , gestion des habilitations et des mots de passe…) et l’impact d’une attaque (nature et fréquence des sauvegardes, rédaction d’un plan de reprise d’activité).
Globalement, il faut être en capacité de décrire son système d’informations, et c’est souvent une difficulté pour les petites et moyennes entreprises. Encore plus difficile lorsque l’entreprise n’est pas accompagnée par un prestataire informatique.
Aujourd’hui les questions restent basiques et mais la tendance pour 2022 est à rendre les questionnaires plus approfondis.
Faut-il payer les rançons ?
La question du paiement de la rançon est un sujet complexe qui fait actuellement débat. La question se pose au cas par cas ; certains contrats d’assurance, permettent d’indemniser le chef d’entreprise qui est contraint de payer une rançon pour récupérer ses données.
D’autres assureurs refusent ce type de garantie, pour éviter d’encourager le développement de la cyber criminalité.
Le courtier aide son client à choisir le contrat le plus adapté.
“Ce qu’il faut gagner, c’est la bataille de la sauvegarde ! “
Aujourd’hui il y a encore des entreprises qui se sentent à l’abri. Elles pensent qu’elles n’intéressent pas les pirates. Or la question n’est pas de savoir si elles seront attaquées mais quand elles le seront. ! Avec des attaques de moins en moins grossières, réalisées massivement par des robots, les pirates parviennent souvent à trouver la faille.
La question est donc de s’assurer que le dispositif de sauvegarde est performant.
Être accompagné par un prestataire informatique reste un bon moyen d’optimiser son dispositif de prévention / protection .
Mais aucun système n’est inviolable, d’où la nécessité de s’assurer.
Pour conclure, Jacques IZART nous livre ses recommandations : En matière de risque cyber il faut (comme pour les autres risques de l’entreprise!): bâtir un dispositif de prévention et de protection, avec l’appui d’un professionnel, et transférer le risque “résiduel” à l’assureur.
Les écarts entre les contrats cybers sur le marché sont importants (évènements déclencheurs, garanties, prime) il est important de choisir le plus adapté à l’entreprise.
Pour contacter les équipes Assurwest entreprise@assurwest.fr
A l’heure où la prévention joue un rôle essentiel, quelles sont les mesures à appliquer en entreprise ?
Comment prévenir les risques cyber ?
Le meilleur moyen de se protéger reste la prévention. Nous avons listé 3 mesures préventives à appliquer en entreprise :
- Le MFA : L’authentification multi-facteurs (MFA) est un processus de sécurité qui nécessite deux ou plusieurs facteurs de vérification pour prouver l’identité d’un utilisateur. Le MFA doit s’appliquer en priorité à la messagerie. Il pourra aussi être demandé sur les accès VPN, les applications cloud… Aujourd’hui, le MFA représente l’un des meilleurs outils de sécurité informatique.
- Les programmes de sensibilisation à la cybersécurité : ce type de prévention peut prendre plusieurs formes. Affichage en entreprise, tests de phishing, formations courtes et surtout régulières. La réduction des risques est l’élément déterminant de ce type de programmes. 80% des entreprises qui réalisent un programme de sensibilisation réduisent la susceptibilité de leur personnel aux attaques de phishing (source : proofpoint 2021 State of the phish)
- Se préparer ! On ne le répètera jamais assez, la préparation permet d’atténuer les conséquences d’un cyber-incident. La planification anticipée implique d’envisager les scénarios possibles qui pourraient nuire à votre entreprise. La préparation permet de s’organiser plus rapidement lorsque survient une crise cyber.
Retrouvez d’autres infos utiles dans les ressources disponibles à la fin de notre article
Avec des mesures préventives, vous atténuerez les conséquences d’une attaque. Le défi à relever reste celui de la restauration des données.
Le PCA informatique, une mesure à la portée des TPE et PME
Vous venez de subir une attaque, tout votre système informatique est bloqué. Posez-vous cette question : Combien de temps puis-je tenir sans accès à l’informatique ?
Aujourd’hui encore, trop peu d’entreprises testent régulièrement leurs sauvegardes. Surtout quand on sait que le taux d’échec des restaurations approche les 60% (source : ZDNET).
Le PCA informatique (Plan de Continuité d’Activité appliqué au domaine informatique dans l’entreprise) permet d’aller au-delà de la simple récupération de données. La continuité informatique peut sauver une entreprise en la maintenant opérationnelle face à des problèmes tels que ransomware, malware, catastrophes naturelles, coupure réseau ou erreurs humaines. Cette solution offre la possibilité de remettre immédiatement en service les systèmes informatiques de l’entreprise.
Que votre entreprise compte un salarié ou plusieurs centaines, que vous soyez en phase de création ou de développement, il existe des risques qu’il est difficile de tous anticiper. Certains évènements peuvent être couverts par votre assureur mais attention à condition d’avoir une politique de sécurité informatique interne. Avec un PCA informatique vous entrez dans une stratégie de cyber-résilience.
Appliquez le règle 3-2-1 *
*Trois sauvegardes indépendantes (y compris la sauvegarde d’origine), deux supports de stockage de copie différents, dont une copie hors site.
La solution de continuité d’activité Datto est spécialement conçue pour les TPE/PME. Elle permet de prévenir efficacement les pertes de données et minimiser les temps d’arrêt.
Pour en savoir plus contactez nous
Ce qu’il faut retenir
Face aux menaces qui ne cessent d’augmenter, il devient nécessaire de protéger son entreprise des risques cyber de la même façon que l’on se protègerait des risques d’inondation ou d’incendie. Les chefs d’entreprises sont aujourd’hui moins réticents à souscrire une police d’assurance cyber.
La cyberassurance trouve aujourd’hui sa place avec les mesures de protection et les actions préventives menées au sein des entreprises. Pour faire face à une cyberattaque, l’accompagnement et l’assistance de votre assurance seront un soutien primordial pour la reprise opérationnelle de votre entreprise.
Nous vous recommandons d’utiliser les ressources ci-dessous pour continuer à vous informer :
- – La boussole cybersécurité, cette vidéo explicative vous indique en 4 points ce dont vous aurez réellement besoin pour sécuriser l’informatique de votre TPE / PME.
- – La cybersécurité en 12 points pour les TPE/PME (source ANSSI)
- – Guide de gestion de crise cyber (source ANSSI)
