Avec l’émergence de la digitalisation et de l’archivage des données, la cybercriminalité concerne toutes les catégories d’entreprises. Selon le rapport de l’éditeur « ThreatMetrix », la France se situe aujourd’hui comme le troisième pays au monde le plus ciblé par la cybercriminalité. Les cyber assureurs ont un rôle important face aux risques de cybercriminalité.
L’idée de couvrir et d’assurer ces risques devient un enjeu majeur pour les entreprises. En effet, les grandes entreprises, les entreprises à taille intermédiaires (ETI) ainsi que les petites et moyennes entreprises (PME) sont toutes exposées aux risques liés à l’intégrité de leurs systèmes d’information et des données à caractère personnel en leur possession. Les petites et moyennes entreprises croient souvent qu’elles ne sont que peu concernées par ce phénomène, à tort. Face à ces enjeux, les assureurs ont un rôle important dans la lutte contre les cybercriminels.
Qu’est-ce qu’un cyber assureur et quelle est sa mission ?
Les cyber assureurs proposent aujourd’hui des services destinés à protéger les entreprises qui sont des cibles potentielles de la cybercriminalité. La cyber assurance assure la responsabilité civile de l’entreprise à l’égard des tiers et de ses clients, mais aussi les dommages immatériels subis en cas de cyberattaque (frais de notification, frais d’expertise informatique et juridique, frais de gestion de crise, frais de veille contre l’utilisation des données). Le rôle des cyber assureurs sera donc d’avertir les entreprises à la cybercriminalité, de couvrir les risques informatiques des entreprises et de proposer des plans de reprises d’activité après une attaque.
Les services de cyber assurances sont proposés par les grands groupes du marché de l’assurance actuel mais également par des assurances spécialisées dans la cybercriminalité.
Impacts et enjeux de la cybercriminalité pour les entreprises
Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur. Les entreprises sont donc dans l’obligation de notifier aux tiers tout vol ou manipulation de leurs données personnelles. Celles qui ne seront pas en conformité pourront être sanctionnées à hauteur de 4% du chiffre d’affaire annuel ou de 20 millions d’euros en fonction de la gravité de l’infraction. À titre d’exemple, la CNIL a infligé à Google France une première amende de 50 millions d’euros au titre du RGPD le 21 janvier 2019. Il doit donc y avoir de la transparence par rapport à la manipulation de ces données personnelles et donc à leur sécurité.
Une cyberattaque peut avoir un impact important sur l’activité d’une entreprise. Elle peut entraver l’image et la fiabilité de cette entreprise, et peut même être un élément répulsif vis-à-vis à ses clients. En effet, selon une étude menée par Arcseve (fournisseur de solutions pour la protection des données), environ 45% des clients seraient prêts à quitter leurs banques à la suite d’une cyberattaque majeure. De plus, les partenaires et prestataires hésiteraient à collaborer davantage avec une entreprise victime de cyberattaques. En effet, toujours selon l’étude d’Arsceve, 55% des entreprises éviteraient probablement de travailler avec une autre entreprise ayant subi une cyberattaque au cours de l’année écoulée.
Face à ces enjeux majeurs, les entreprises sont davantage enclines à payer plus cher, si la tarification garantit la sécurité des données personnelles et de leurs systèmes d’information. Ils se rapprochent de leurs assureurs et n’hésitent plus à prendre des contrats de cyber assurance malgré des coûts parfois onéreux.
Quelles solutions sont proposées par les cyber assureurs ?
Différentes solutions sont proposées dans les contrats de cyber assurance afin d’accompagner les entreprises assurées :
- Mise en place d’audits et de diagnostic des systèmes de protection présents dans l’entreprise.
- Formations en présentiel ou en e-learning proposées aux employés des entreprises assurés. L’objectif est de former les employés des entreprises aux bonnes pratiques face à la cybercriminalité.
- Mise à disposition d’experts en cybercriminalité, dans une logique d’appréhension puis de compréhension de cette typologie de risques. D’autres experts, pourront intervenir en amont ou en aval des incidents pour informations ou pour participer à l’indemnisation des frais liés à la perte de données pour une entreprise.
- Mise en place d’un dispositif de veille et de cyber assistance. L’objectif est d’offrir une surveillance accrue aux entreprises assurées pour détecter et alerter d’une utilisation suspecte des données sensibles ou des systèmes d’information.
- Mise en place de campagne de prévention. Afin de sensibiliser les employés des entreprises assurées aux risques de cyberattaque.
- Accompagnement dans la gestion de crise à la suite d’une cyberattaque.
Les contrats de cyber assurance sont souvent très spécifiques en fonction des entreprises à assurer. Face aux enjeux majeurs, leurs souscriptions exigent des implications fortes des DSI, des Risk Manager, des responsables assurances, des responsables juridiques et RH des entreprises assurées. Ces contrats sont donc très engageants car l’assureur sera impliqué avant le début d’une éventuelle crise, jusqu’à la résolution de celle-ci. Ces contrats de cyber assurances seront probablement au premier plan des sociétés d’assurance et des entreprises assurées dans les années à venir.
Auteur : Dylan MAGOUDOUX – Consultant mc2i
Sources :
https://www.meilleurtauxpro.com/credit-professionnel/assurance-professionnelle/type-professionnel/assurance-cybercriminalite.html
https://www.meilleurtauxpro.com/credit-professionnel/assurance-professionnelle/type-professionnel/assurance-cybercriminalite.html
https://www.assureur-conseil-en-ligne.fr/assurances-complementaires/assurance-cybercriminalite.html
https://bluebearsit.com/rgpd-seulement-3-entreprises-sur-10-conformes/