Le marché complexe des assurances Cyber

‍

Les attaques Cyber se démultipliant et coûtant de plus en plus cher aux entreprises et établissements privés, un marché d’assurances Cyber commence à s’implanter dans le milieu professionnel européen.

En effet, en 2018 le coût moyen estimé d’un malware est de 2,6 millions de dollars et de 3,9 millions de dollars pour une brèche de données ce qui représente une perte importante pour l’entreprise si celle-ci n’est pas couverte par une assurance.

L’entrée en vigueur du RGPD en Europe entraîne aussi l’apparition d’amendes et de sanctions pouvant s’élever à 4% du chiffre d’affaires mondial consolidé, ou 20 millions d’euros en cas de violation de données à caractère personnel.

Bien que la sécurisation des systèmes d’information au sein d’une entreprise permette de limiter le nombre de vecteurs d’attaques et leurs conséquences, personne n’est à l’abri d’une attaque Cyber exploitant une faille récente ou liée à une erreur humaine (ou l’action malveillante d’un employé).

Pour les PME, où la sécurité informatique est souvent moins mature, une attaque Cyber a un taux de réussite plus important et les répercussions sont plus grandes que pour une grande entreprise qui dispose de plus de moyens financiers et plus de main d’oeuvre.

Ainsi, de nouvelles solutions ayant déjà fait leurs preuves aux USA émergent en Europe : les assurances Cyber.

Promesses et limites

Ces assurances visent à protéger les entreprises des coûts et pertes associés à une attaque Cyber. Les attaques prises en compte dans le cadre de l’assurance varient selon la solution choisie et la formule sélectionnée (une formule plus coûteuse couvre en général plus de cas de figure et assure un plafond de remboursement plus élevé).

Les assurances actuellement présentes sur le marché ont donc des offres similaires mais présentent parfois des options plus ou moins avantageuses pour une PME ou une plus grande institution. Certaines offrent d’autres services tels qu’un accompagnement dans les audits ou encore dans l’élaboration d’un Plan de Continuité d’Activité. Il faut donc choisir celle qui correspond au mieux aux besoins et au profil de risque de l’entreprise.

Les attaques généralement couvertes sont les plus fréquentes, à savoir des atteintes aux données d’une entreprise, les pertes d’exploitation ou encore la Cyber extorsion. En revanche, les dommages matériels occasionnés suite à une attaque informatique et le social engineering sont rarement inclus dans les offres de base.

‍

‍

L’assurance d’indemnité professionnelle (Professional Indemnity Insurance « PII »), ou responsabilité civile professionnelle, offre déjà une certaine couverture vis-à-vis des prestataires et des données des clients, mais ne couvre pas les attaques citées ci-dessus.

La couverture proposée par une assurance n’est pas seulement limitée aux risques pris en charge, elle est aussi limitée par un plafond, selon les risques, qui dépasse rarement les 200 millions d’euros. Cette somme peut paraître élevée au premier abord, cependant les menaces Cyber coûtent de plus en plus cher et, dans certains cas, cette somme couvre à peine les frais légaux.

Ainsi, selon la structure de l’entreprise (nombre d’employés, profil de risque), le choix du plafond maximum va être primordial à la fois pour mieux se protéger mais aussi afin de choisir la meilleure offre selon le budget disponible.

‍

‍

Concernant les prix, ceux-ci varient fortement selon le chiffre d’affaire, le niveau de garantie et l’infrastructure sécurité déjà présente au sein de l’entreprise. Ainsi une entreprise ayant investi sur le développement de ses outils et de son infrastructure cybersécurité, ainsi que sur certaines certifications (ISO par exemple), verra généralement ses primes d’assurance diminuer.

Une prestation limitée aux entreprises ?

Bien que les assurances Cyber soient plus nombreuses et développées sur les offres destinées aux entreprises, certaines prennent le parti de cibler les particuliers.

Ces offres sont donc orientées vers un public inquiet du monde numérique et informatique. Les offres se déclinent de différentes manières en ciblant particulièrement leurs principales inquiétudes, à savoir les litiges lors d’achat en ligne, l’usurpation d’identité et l’escroquerie sur Internet.

Ces assurances sont donc accessibles à tous, pour un tarif généralement de l’ordre de 7 à 10 euros par mois et pouvant couvrir environ 3000€ de sinistres informatiques par an.

Le potentiel impact positif des assurances Cyber

Selon le baromètre 2018 du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), 50% des grandes entreprises auraient souscrit à une assurance Cyber en 2018 et 18% d’entres elles envisageraient de souscrire à plus long terme.

Ces assurances sont donc de plus en plus populaires mais nécessitent un ticket d’entrée onéreux pour les entreprises présentant un niveau de risque élevé. Ainsi, l’essor des assurances Cyber pourrait promouvoir l’adoption de certifications et référentiels de sécurité au sein des entreprises, tels que la suite ISO (27K notamment) ou SecNumCloud, afin de bénéficier d’un tarif plus avantageux sur les offres d’assurance. De plus, la souscription à une assurance impose la réalisation d’une cartographie des risques et une évaluation des enjeux de sécurité, ce qui permet aux entreprises de prendre conscience de leur niveau d’exposition aux risques et de leurs besoins en termes de sécurité.

Il nous faudra cependant attendre encore quelques années avant de pouvoir constater l’impact des assurances Cyber sur le renforcement des certifications au sein des entreprises.

Récapitulatif des offres en France

‍

‍

Légende :

1. Cyber extorsion : Attaque Cyber fonctionnant principalement sous la forme de rançon (ex: ransomware, DDoS contre rançon…)
2. Cyber fraude : Arnaques utilisant principalement les moyens de communication répandus (phishing, arnaque par téléphone…)
3. Mise à disposition d’experts : Certaines assurances fournissent une assistance d’experts suite à une attaque. Cette assistance peut être technique (remise en état du SI, réparations…) ou fonctionnelle (accompagnement dans la mise en conformité, élaboration de plan de continuité d’activité…)

‍

Sources :

• https://www.challenges.fr/high-tech/cyber-cover-l-assurance-cyber-risques-fraude-pour-pme_649046
• https://www.lawsociety.org.uk/support-services/practice-management/cybersecurity-and-scam-prevention/cybersecurity-for-solicitors/cyber-insurance/
• https://www.sra.org.uk/globalassets/documents/sra/consultations/pii-potential-options-sar-pii-requirements.pdf
• http://www.leparisien.fr/economie/business/terrorisme-cyberattaques-intemperies-comment-assureurs-et-entreprises-font-face-16-10-2017-7333932.php
• https://www.newsassurancespro.com/pourquoi-souscrire-a-une-cyber-assurance/0169773424
• https://kelips.fr/article/assurance-cyber-risques-pour-les-particuliers-kelip-s
• http://www.globalsecuritymag.fr/L-essor-des-cyber-assurances-pour,20191106,92495.html
• https://www.yesassurances.fr/cyber-secure-axa/
• https://www.cyber-cover.fr/cyber-assurance
• https://www.generali.fr/professionnel/assurance-cyber-risques/
• https://community.spiceworks.com/blog/3166-data-snapshot-how-common-is-cyber-insurance-in-the-workplace
• https://www.pwc.fr/fr/decryptages/securite/lassurance-cyber-un-risque-catastrophe-ou-un-placement-davenir.html
• https://www.msspalert.com/cybersecurity-news/aig-cyber-insurance-coverage/
• https://www.oodrive.fr/blog/securite/cyberassurance-une-nouvelle-reponse-aux-attaques-informatiques-pour-les-entreprises/
• https://cyberinsureone.com/cyber-insurance-companies/
• https://acti-assur.fr/pages/assurance-professionnelle/cyber-assurance.php
• https://heimdalsecurity.com/blog/cyber-insurance/
• https://er.educause.edu/articles/2018/4/the-value-and-limits-of-cyber-insurance
• https://www.scor.com/sites/default/files/lacouvertureducyberrisque_fr.pdf
• https://www.leclubdesjuristes.com/wp-content/uploads/2018/01/cdj_rapport_cyber-risk_jan-2018_fr_web.pdf

‍