Assurance cyber risques

Assurance Cyber risques

Virus, piratage, malware, phishing, ransomware… La cybercriminalité est devenue un véritable fléau qui touche toutes les entreprises.
Comment s'en prémunir et quelle assurance cyber risques retenir ?

Il devient capital de se protéger contre les cyber attaques endommageant ou bloquant les systèmes informatiques et de s'assurer contre les risques financiers qui peuvent en résulter. Qu'est-ce qu'une assurance cyber ? Quand faut-il souscrire une assurance cyber risques ? Nos conseils pour se protéger des risques numériques.

1 - Les risques cyber : un fléau qui concerne toutes les entreprises

Ces dernières années, alors que les entreprises sont de plus en plus dépendantes de leurs systèmes informatiques, les attaques visant les entreprises françaises ont augmenté de manière exponentielle, avec des techniques de plus en plus sophistiquées : virus informatiques, phishing, ransomware, vol de données, espionnage, déni de service...

Ce risque s'est tellement accru que, pour beaucoup d'entreprises, la probabilité d'être victime d'une cyber attaque est désormais plus élevée que celle de subir un incendie. Et, contrairement aux idées reçues qui désignent les grandes entreprises comme des cibles de choix, les TPE/PME et les professionnels indépendants sont tout aussi vulnérables face aux cyber-attaques. Moins sensibilisées, et donc moins vigilantes, les TPE (petites et moyennes entreprises) constituent des cibles idéales pour les pirates informatiques. Notamment parce qu'elles ne disposent pas toujours des ressources nécessaires pour se protéger, mais aussi parce qu’elles sont le vecteur permettant d’initier des attaques de masse ou d’accéder aux informations sensibles de plus grandes entreprises dont elles sont par exemple sous-traitantes.

Le risque cyber : un risque qui concerne largement les TPE et PME

Une enquête conduite en 2019 par la CPME (Confédération des petites et moyennes entreprises) révélait que 41 % des entreprises de 0 à 9 salariés et 44 % des entreprises de 9 à 49 salariés avaient déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques.

Depuis, le phénomène a continué de prendre de l'ampleur, avec des conséquences parfois dramatiques : pertes de plusieurs mois de travail, arrêt momentané de l'activité, voire disparition de l'entreprise incapable de redémarrer.

2 - Les cyber attaques : en quoi consistent-elles ?

Les entreprises, autrefois, étaient victimes essentiellement de virus susceptibles d'endommager des données. Désormais, les cyber attaques sont déclenchées par des pirates ayant une motivation avant tout criminelle : celle d'obtenir un gain financier.

Les entreprises sont aujourd'hui surtout concernées par le phishing. Cette méthode repose au départ quasi-systématiquement sur une usurpation d'identité et utilise différentes variantes : e-mail de la banque demandant de vérifier une opération bancaire, alerte d'un site sur la nécessité de mettre à jour ses coordonnées bancaires, e-mail d'un fournisseur pour informer d'un changement de RIB… L'objectif est de récupérer des données (un identifiant et un mot de passe, par exemple) qui vont ensuite servir à l'attaquant pour s'infiltrer dans le système d'information de l'entreprise.

Une fois introduit dans le système informatique, le pirate peut, selon les cas :

  • chercher à récupérer directement des données, à des fins, par exemple, de piratage industriel ou de récupération de données personnelles de clients ou salariés (qui vont ensuite être utilisées ailleurs, souvent après avoir été vendues) ;
  • détourner directement des fonds, par exemple, par une prise de contrôle sur des opérations bancaires ;
  • placer un logiciel malveillant qui va crypter des données ou bloquer le système informatique avant qu'une rançon soit exigée pour débloquer les données (on parle de ramsonware).

Plus de 1 000 attaques par jour

Selon la société ASTERES, on peut estimer à 385 000 le nombre d'attaques informatiques ayant touché en 2022 des entreprises et des entités publiques.

Parmi les 347 000 cyber attaques réussies ayant concerné des entreprises, 330 000 auraient touché des PME et TPE.

Le coût global de ces attaques représenterait sur une seule année environ 2 Mds €.

3 - Pourquoi souscrire une assurance cyber risques ?

Les conséquences financières consécutives à des malveillances informatiques peuvent être importantes pour une entreprise : frais de remise en état des systèmes informatiques, pertes d’exploitation résultant de l’arrêt ou du ralentissement de l’activité, mise en cause de l'entreprise par un fournisseur ayant reçu un email infecté et qui s'est propagé à son tour, plainte d'un client dont des informations personnelles ont été divulguées…

Il est donc désormais indispensable de disposer d'une assurance cyber-risques proposant des garanties spécifiques et adaptées à la prise en charge des conséquences de la cybercriminalité. Seul un contrat d’assurance cyber-risques garantit à la fois la responsabilité civile de votre entreprise et les dommages qu'elle pourrait subir.

SMABTP propose une solution d’assurance contre les risques Cyber performante, incluant des services d’assistance essentiels pour permettre à votre entreprise de reprendre son activité dans les plus brefs délais et des garanties pour prendre en charge les surcouts financiers. L'assurance des risques cyber par SMABTP, c'est en effet à la fois :

  • une assistance 24h/24 et 7 jours/7  

Face à une cyber attaque, il n’est pas toujours facile de prendre les bonnes décisions et de trouver les parades. Le contrat d'assurance SMABTP inclut une assistance immédiate, 24h/24 et 7j/7. En cas de crise, des experts en cyber sécurité accompagne l'entreprise assurée dans la résolution de l’incident et dans la remise en état de son système informatique ;

  • la couverture des conséquences de la cyber attaque, en particulier :

- la prise en charge des frais de remise en état du système informatique de l'entreprise et de ses données ;

- la prise en charge des frais engagés par l’assuré en cas de compromission des données personnelles (concernant des salariés, des clients…). La réglementation européenne sur la protection des données personnelles (RGPD) impose aux entreprises d'informer individuellement les personnes dont les données ont été piratées ou détournées : l’assurance CYBER RISQUES couvre les frais de notification résultant de cette obligation, les honoraires d’un conseil juridique pour représenter l’assuré auprès des autorités publiques ; les frais et honoraires de défense au titre de toute procédure réglementaire ;

l'indemnisation de l'entreprise en cas de pertes d’exploitation, si l'incident a eu pour conséquence de perturber l’activité de l’entreprise ;

- la couverture de la responsabilité civile de l'entreprise, en cas de dommages causés à des tiers (divulgation de données confidentielles, propagation d’un virus à d’autres entreprises…).

Bon à savoir : l'obligation à porter plainte pour pouvoir être indemnisé

La Loi d'Orientation et de Programmation du Ministère de l'Intérieur (LOPMI), promulguée début 2023, stipule que la victime d'une cyber attaque doit porter plainte pour prétendre à une indemnisation au titre de son contrat d'assurance.

Cette obligation concerne les personnes morales et les personnes physiques dans le cadre de leur activité professionnelle. Le délai pour porter plainte est de 72 heures à compter de la connaissance par la victime de l'attaque.

4 - La protection contre les cyber risques doit passer aussi par la prévention

La protection contre les cyber risques et contre les conséquences des cyber attaques ne doit pas se limiter à la mise en place d'une solution d'assurance. Il est également essentiel de mettre en place des mesures de prévention. Ces dernières peuvent passer, d'une part, par le déploiement de dispositifs de sécurité informatique et, d'autre part, par la sensibilisation et la formation des salariés.

Grâce à un partenariat avec un spécialiste de la sécurité des systèmes d'information, SMABTP peut proposer à ses assurés ayant souscrit un contrat CYBER RISQUES, des services d'accompagnement dans la compréhension et l'analyse de leurs risques numériques.

Avec SMABTP, développez la prévention des risques cyber dans votre entreprise

SMABTP propose aux entreprises ayant souscrit le contrat CYBER RISQUES des services spécifiques élaborés par des spécialistes en cyber sécurité. Ces services permettent à l'entreprise assurée d'évaluer et mieux comprendre ses risques numériques.

Les prestations proposées s’articulent autour de 2 axes :

  • la réalisation d’un audit :
    Il permet d'évaluer le niveau de sécurité informatique de l'entreprise. Il porte sur la gouvernance et une analyse technique du système d’information de l'entreprise. Des synthèses et des préconisations sur des actions à mettre en place et/ou à consolider sont ensuite proposées pour prévenir les risques ;
  • un scan de l’exposition de l'entreprise sur internet :
    Réalisé en complément de l'audit, il permet d’identifier les points de vulnérabilité du système d’information. Un rapport d’analyse et des recommandations sont là aussi remis à l'entreprise pour que cette dernière puisse identifier les mesures de sécurité à mettre en place.