Le piratage informatique ne doit plus être assimilé à un problème technique, mais à une gestion du risque économique. D’où la nécessité pour les entreprises de se protéger efficacement contre les attaques informatiques en faisant couvrir leurs pertes par un assureur.
Toutes les entreprises deviennent hyper connectées. Les données sont au cœur de l’activité économique de toute organisation. Et elles le seront encore plus demain avec la dématérialisation des factures et la numérisation des archives. Anticiper des pertes ou des vols d’informations est donc essentiel pour garantir la pérennité de l’entreprise. Dans cette optique, un contrat de cyberassurance apparaît comme l’un des piliers majeurs. Mais peu de décideurs en sont persuadés. D’après une étude du cabinet PwC, parue en janvier dernier, 52 % des entreprises françaises seraient prêtes à souscrire à une cyberassurance. Mais pour l’instant, ce sont principalement les grands groupes qui y adhèrent : 10 entreprises du CAC 40 sont déjà couvertes, alors que 9 autres sont en voie de l’être.
Pour convaincre beaucoup plus d’entreprises, et notamment les PME, de souscrire à un contrat, les assureurs doivent renforcer leur communication tout en expliquant les enjeux. Plus de 6 dirigeants sur 10 ne connaissent pas leur existence. Et seul un tiers s’est déjà vu proposer une telle assurance.
Mais la cyberassurance, c’est quoi ? Elle se positionne en complément des contrats classiques de l’entreprise pour traiter en particulier ce qui touche aux dommages immatériels, souvent absents des couvertures.
La cyberassurance permet à une entreprise victime d’un piratage de ses données d’être indemnisée contre les dommages immatériels qu’elle subit ou qu’elle fait subir à un tiers. Cette assurance peut protéger l’entreprise contre différents préjudices :
– l’introduction sur son système d’information;
– la suppression de data;
– le vol de data.
La cyberassurance peut couvrir les pertes directes, les frais d’expertise technique, les frais de justice, les frais de notification client, les frais de préservation et de restauration de l’image, les frais de surveillance des données et les frais liés à l’extraction de données communément appelée cyberextorsion (frais de négociation, demande de rançon).
Le souscripteur doit aujourd’hui percevoir la cyberassurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.
Les tarifs dépendent de la taille de l’entreprise, de la nature et quantité des informations détenues et de sa dépendance à son système d’information. Mais avant de souscrire à un tel contrat, l’entreprise doit réaliser deux étapes indispensables. Premièrement, il faut évaluer correctement le niveau de sécurité de son entreprise. Or, cette analyse de risques doit être menée par un prestataire extérieur qui réalisera un audit de sécurité (ISO 27001). La seconde étape n’est pas simple, car il s’agit d’estimer le côté immatériel d’un piratage.
Dès lors, la cyberassurance implique un arbitrage entre l’exposition de l’entreprise, son niveau d’expertise sécurité, le risque résiduel à couvrir, les garanties proposées et le montant de la prime annuelle. Or, la majorité des TPE-PME sous-évaluent leur exposition à ces nouveaux risques…