Votre assurance cyber correspond-elle à votre niveau de risque?

La direction
il y a 17 heures
4 min de lecture

L’AMRAE (Association pour le management des risques et des assurances en entreprise) constate en 2022 un doublement du tarif des cyberassurances en parallèle avec une réduction de la couverture des risques. Les (futurs) assurés sont confrontés à une décision : faut-il ou non conserver un contrat d’assurance cyber?

Un homme en chemisier et cravate, travaille assis devant son écran d'ordinateur, des pages de contrat flottant dans les airs, sur son bureau. Les murs sont tapissés de coupure de journaux, articles, photos et autres documents. — Votre assurance cyber correspond-elle à votre niveau de risque?

La cyberassurance : une des mesures qui améliorent la résilience d’une organisation

Une cyberattaque réussie est souvent une crise majeure mettant en péril la survie de l’entreprise.

De ce fait, ce type de risque est la première crainte de 40 % des dirigeants français (Allianz, baromètre des risques 2023), et des entreprises de toutes tailles complètent leur arsenal de défense par l’ajout d’une assurance cyber.

Comment anticiper le coût d’un incident de sécurité avant de l’avoir subi?

Comme toute mesure de sécurité, il est crucial d’estimer un retour sur investissement, c’est-à-dire quel montant est investi pour quelle diminution du risque – voyez la section « Mise en pratique ».

À noter qu’il est évidemment possible, en première approche, de ne pas effectuer de négociation avec l’assureur, qui applique alors des abaques par industrie et par taille de l’entreprise.

Dans ce cas, le niveau de maturité cyber de l’entreprise et ses spécificités internes ne sont que rarement prises en compte.

Vous disposez probablement de plus de données sur vos risques que vous ne le pensez

Le problème récurrent lorsqu’on réalise une estimation financière quantifiée des risques cyber est un sentiment de ne pas disposer des données nécessaires.

Comment chiffrer un événement qui ne nous est jamais arrivé?

La première étape pour aborder un problème complexe est de le segmenter en problèmes simples.

Ceux qui ont déjà subi une cyberattaque le savent : les répercussions financières globales sont composées de six principaux types de pertes (Risk Taxonomy (O-RT), Version 3.0.1, The Open Group) :

Perte de productivité (heures supplémentaires, perte de chiffre d’affaires...);
Coûts de réponse à l’incident (gestion de crise, reprise des activités, services juridiques…);
Coûts de remplacement du matériel (projets de remédiation, augmentation du coût d’assurance…);
Perte d’un avantage concurrentiel (propriété intellectuelle, données d’un projet stratégique…);
Frais judiciaires (amendes);
Dégradation de la réputation (perte de part de marché, perte de valorisation boursière...).

« La cyberattaque est le premier risque

que craignent les dirigeants français! »

Allianz, baromètre des risques 2023

Police d’assurance : 3 points de vigilance

1. Comment s’appliquent les franchises et les plafonds?

Imaginons un incident cyber à 5,4 M€ – 0,9 M€ pour chacun des six types de pertes – et que le contrat d’assurance de la victime présente une franchise à 1 M€ et un plafond de garantie à 6 M€.

Dans cet exemple, le coût de chaque type de perte est inférieur à la franchise, aucun paiement ne peut être réclamé.

2. Quelles sont les exclusions pratiquées par l’assureur?

Certaines conséquences, pourtant significatives, peuvent ne pas faire l’objet d’un paiement par l’assureur.

Typiquement, il peut s’agir des éléments suivants :

les heures supplémentaires et la rémunération des employés,
une amende pour non-conformité si l’entreprise n’était déjà pas conforme avant l’incident,
la perte de levalorisation boursière, ou la perte de chiffre d’affaires liée à des conditions commerciales non favorables.

3. Quelles sont les exigences pour demander un paiement à l’assureur?

Les prérequis sont inscrits au contrat d’assurance. Si des procédures de réponse à un incident sont existantes, il est fortement recommandé de les mettre à jour pour inclure les prérequis de l’assureur.

Par exemple, les conditions de couverture exigent parfois que l’incident soit géré par un partenaire du cyberassureur.

Par ailleurs, la loi française exige qu’une plainte soit déposée auprès des autorités dans les 72 heures suivant la découverte de l’incident pour pouvoir avoir recours à son assureur.

La cyberassurance est un outil de résilience très efficace, et il est de plus en plus utilisé parmi les entreprises de toutes tailles.

Comme toutes les mesures de sécurité, il est crucial de définir un cadre et des objectifs et de s’assurer d’un rendement de l’investissement connu et maîtrisé.

L’estimation financière du risque connaît un fort essor en Europe, par exemple pour :

Communiquer avec le comité de direction sur le risque cyber en utilisant une devise monétaire comme langage commun;
Rationaliser les coûts de cybersécurité;
Défendre et mieux prioriser une feuille de route de projets de sécurisation.

Article rédigé par Matthias Pouyane

Matthias Pouyane, consultant indépendant, propose ces trois expertises clés :

Gestion des risques et conseil en cyberassurance (quantification des risques, modélisation de la posture de sécurité, analyse du rendement d’un investissement);

Stratégie de valorisation du renseignement sur la menace;

Ingénierie de la cybersécurité (architecture sécurisée, security operating center, outils de résilience et de détection et réponse aux incidents de sécurité).

Matthias.Pouyanne@rule-3.net

Pour en savoir plus : linkedin.com/in/pouyannematthias

COMPLÉMENT : 3 Méthodes pour optimiser les conditions d’assurance en faveur de l’assuré

La méthodologie ci-dessous permet une prise de recul sur la couverture d’un contrat d’assurance, pour in fine définir des conditions plus favorables à l’assuré.

1. Estimation financière du risque cyber

Il faut d’abord identifier les cinq risques cyber dont les conséquences seraient les plus désastreuses pour l’entreprise : par exemple, un rançongiciel, une fuite majeure de données clients ou la divulgation d’un projet d’innovation phare.

Il faut ensuite évaluer pour chaque risque la valeur de chacun des six types de pertes (cf. corps de l’article). La probabilité que le risque se matérialise est une donnée intéressante, mais souvent difficilement défendable.

Une expertise extérieure est la plupart du temps nécessaire.

2. Calcul du paiement de l’assureur

Les éléments contractuels permettent d’établir pour chaque risque un montant de paiement qui pourrait être réclamé sous réserve du respect des prérequis.

Il peut être intéressant à cette étape de se faire accompagner par un consultant spécialisé ou un courtier en assurances pour s’assurer de la bonne compréhension des clauses et des prérequis.

3. Calcul du rendement d’un investissement

Le rendement d’un investissement peut donc être calculé et servir de base tangible et concrète pour alimenter des discussions avec un assureur ou un courtier.