Cyber assurance : nécessaire ou pas ?

La cyber assurance, nécessaire ou pas pour une petite entreprise ?

S’il existe une idée reçue selon laquelle seules les grandes entreprises seraient ciblées par des cyberattaques, la réalité est tout autre, et une petite structure doit également se protéger. Mais la souscription d’une assurance cyber risques est-elle vraiment nécessaire ? En quoi consiste ce type de garantie et comment choisir sa cyber assurance ? Nous décryptons tout ceci pour vous dans cet article.

Cyberattaque d’entreprise : qui est concerné ?

Les cyberattaques constituent aujourd’hui un risque majeur pour toutes les entreprises présentes en ligne, quels que soient leur taille, leur secteur d’activité, leur localisation... Au sein d’un monde numérique qui a vu le nombre d’attaques informatiques augmenter avec la pandémie de Covid-19, les entreprises, qui ont eu davantage recours au télétravail aux quatre coins du monde, sont particulièrement exposées.

Spécialiste de l’assurance professionnelle proposant une protection spécifique contre les cyberattaques, Hiscox publie depuis plusieurs années un rapport annuel sur la gestion des cyber-risques des entreprises. Celui de 2021 confirme que le nombre global d’entreprises touchées par des attaques a augmenté par rapport à 2020, et notamment en France puisque la moitié des participants français à l’étude (49 % exactement) ont signalé avoir été victimes d’une attaque contre 34 % l’année précédente.

Les cyberattaques ont été au premier plan dans les médias en 2021 : de celle ayant touché le plus grand opérateur américain d’oléoducs pour produits raffinés Colonial Pipeline et ayant fait craindre une pénurie d’essence en Georgie, à celles visant de nombreux groupes français (La Martinière, In Extenso, Würth France, Fraikin, etc.) et le secteur de la santé du pays.

Si les grandes entreprises peuvent être particulièrement ciblées par les pirates informatiques, les plus petites structures ne sont pas épargnées. Les cyberattaques actuelles sont en effet souvent réalisées en masse par les pirates informatiques et leurs cibles sont alors aléatoires. Des hackers peuvent par exemple lancer une attaque à grande échelle qui visera toutes les entreprises utilisant une version obsolète d’un logiciel, sans cibler de sociétés ou de groupes en particulier.

D’après le rapport Hiscox de 2021 sur la gestion des cyber-risques, les petites entreprises sont même les entreprises les plus touchées en termes de pertes financières proportionnellement à la taille de la structure.

La bonne qualité des outils et pratiques de sécurité informatique d’une entreprise n’est plus optionnelle mais un minimum requis pour faire face à la situation. Au titre des top risques figurent les ports de connexions à distance à son bureau professionnel, le manque persistant de correctif de vulnérabilité des systèmes d'exploitation, logiciels, applications et composants réseau, et les failles liées à des réseaux privés virtuels (VPN).

Réputés pour leur capacité à renouveler leurs types d’attaques, les pirates informatiques disposent d’un panel très large sous la main. Exemple de cyberattaque moderne, le ransomware consiste à bloquer l’activité d’une entreprise ou à en subtiliser des données informatiques importantes, et à lui demander une rançon en l’échange d’un retour à la normale. Ce type de cyberattaque peut avoir des sources différentes, comme l’envoi d’un courrier électronique contenant un lien malveillant (technique de phishing), l’attaque de vos serveurs publics, de votre réseau d’entreprise, etc.

En plus du ransomware et de l’infection classique via un virus, on trouve parmi les cyberattaques les plus répandues actuellement le piratage des messageries professionnelles et l’attaque par déni de service distribué (DDoS) qui a pour but d’empêcher le fonctionnement d’un service informatique (site Internet, réseau, serveur, etc.).

Quel est le coût des cyberattaques ?

Le coût des cyberattaques s’avère très différent en fonction du type d’attaque, de l’entreprise touchée, de son niveau de protection, etc. Il se révèle souvent complexe à quantifier car, au-delà des coûts matériels aisément chiffrables (rachat d’un serveur, changement de suite logicielle pour pallier à une faille, etc.), un problème de cybersécurité induit souvent des dommages immatériels. On peut par exemple évoquer la fuite de données clients qui peuvent porter atteinte à la réputation de votre entreprise et à votre futur chiffre d’affaires.

D’après le rapport Hiscox de 2021, le coût médian de l’ensemble des attaques répertoriées par les entreprises de 10 moins de salariés était de 7 273 €, mais certaines entreprises ont essuyé des pertes supérieures à 280 000 € (430 909 € pour la perte la plus élevée). Le coût des cyberattaques peut donc s’avérer désastreux pour des petites structures, et même les mener à la faillite.

Si vous êtes à la tête d’une petite structure, vous devez donc prendre en compte cette problématique de cyber sécurité en entreprise, en veillant à bien protéger vos systèmes d’information… mais vous pouvez également souscrire une cyber assurance, qui aura l’avantage de limiter l’impact financier colossal que peut avoir une cyberattaque.

La cyber assurance, est-ce vraiment utile ?

Appelée également assurance cyber-risques ou assurance cybersécurité selon les offres, une cyber assurance peut sauver une petite entreprise d’une faillite en cas de cyberattaque ou, a minima, vous épargner d’importants problèmes de trésorerie. Encore faut-il que cette assurance cyber vous garantisse une protection complète et adaptée à vos besoins. Chez Hiscox, spécialiste de l’assurance Responsabilité Civile (RC Pro) des indépendants et TPE, l’option Cyber proposée prend en charge toutes vos pertes :

Vos pertes financières (les coûts matériels chiffrables).
Vos pertes réputationnelles (perte de crédibilité aux yeux des clients, des partenaires, etc.).
Vos pertes opérationnelles (temps perdu à résoudre l’incident, mise en pause de la production, etc.).

En demandant cette option sur votre RC Pro, vous bénéficierez d’une cyber assurance qui sera à vos côtés dès l’instant où vous décelez une attaque, et vous aidera à rechercher quelle est la faille de sécurité de votre système informatique. Ce sont également les services d’Hiscox qui nommeront un expert en cybersécurité responsable de l’enquête et qui constitueront votre dossier de recours.

La prise en charge de vos frais par Hiscox inclut :

Vos honoraires d’avocat en cas d’enquête ou action diligentée au titre d’une violation de données personnelles ou d’un manquement aux règles de sécurité « PCI-DSS ».
Vos éventuelles amendes et pénalités légalement assurables au regard du droit applicable.
Le montant de la rançon en cas de ransomware, si toutefois il est jugé nécessaire de la payer.
Vos frais d’expert en sécurité IT, d’expert en récupération de données et de spécialiste en communication de crise (possibilité de créer une hotline pour informer de la situation les tiers concernés par l’incident).
Vos pertes d’exploitation causées par le sinistre.

Comment choisir une cyber assurance ?

Comme c’est le cas pour toute assurance, une bonne cyber assurance est celle qui protège de manière complète les besoins spécifiques de votre activité. Toutes les entreprises n’ont pas les mêmes besoins en termes de cyber assurance.

Par exemple, si vous exercez une activité e-commerce, votre chiffre d’affaires repose essentiellement sur votre activité en ligne et vous manipulez de nombreuses données numériques sensibles (noms, adresses, coordonnées bancaires de clients), vous aurez donc besoin d’une protection renforcée, et le prix de votre cyber assurance en tiendra compte.

Les besoins spécifiques de votre entreprise en termes de cybersécurité et le niveau de couverture demandé en conséquence vont impacter le coût de votre cyber assurance. Par ailleurs, le tarif va dépendre comme pour toute assurance professionnelle du profil de votre activité : le secteur d’activité dans lequel vous travaillez, le nombre de salariés que vous employez, votre chiffre d’affaires, etc.

Enfin, il faut savoir que chaque compagnie d’assurance a sa propre politique tarifaire, et que celle-ci est souvent liée au niveau de prise en charge. Attention donc à ne pas tirer de conclusion hâtive. Il vaut mieux en effet payer un prix plus élevé et obtenir une prise en charge immédiate et complète de vos problèmes afin d’être protégé contre l’éventuel coût faramineux pouvant être provoqué par une cyberattaque.

Chez Hiscox, l’option Cyber peut être incluse avec votre assurance RC Pro. Vous pouvez évaluer facilement en ligne le coût par mois de cette garantie en fonction du profil de votre entreprise, en utilisant notre simluateurdevis d’assurance responsabilité civile professionnelle.

Cybersécurité en entreprise : évaluez vos cyber-risques

Votre entreprise est-elle vulnérable ? Pour le savoir, vous pouvez regarder dans un premier temps si vous avez mis en place les éléments essentiels de cybersécurité en entreprise présents dans cette liste :

L’activation de la double authentification sur tous les outils d’entreprise et boîtes mail.
La mise en place de sauvegardes automatiques régulières (si possible dans un lieu différent des locaux de l’entreprise).
La mise en place d’un système de sécurité très performant pour votre réseau d’entreprise.
La mise en place d’un antivirus, d’un pare-feu et du chiffrement des données sur tous les ordinateurs portables et mobiles utilisés par votre entreprise.
La formation des salariés à la cybersécurité en entreprise.
La mise en place d’une politique « réactive » de mise à jour des logiciels et d’installation des correctifs de sécurité.
L’anticipation d’un plan de reprise d’activité (PRA) après catastrophe et d’un plan de continuité des activités.

Les éventuels éléments de cette liste qui vous manquent représentent autant de facteurs de cyber-risques pour votre entreprise. Plus votre entreprise est vulnérable et plus vous devez la protéger, à la fois en mettant en place des systèmes de sécurité performants et en souscrivant une cyber assurance.

Prêt à faire un devis ?

Je commence mon devis