Une assurance cyber risques est une assurance qui couvre les conséquences financières d’une cyber attaque, susceptible de désorganiser ou bloquer l’activité d’une entreprise, ou se traduire par une fraude et un détournement de fonds.

Une cyber attaque peut porter de nombreux préjudices à une entreprise, quelle que soit la taille de cette dernière :

• blocage du système informatique, destruction de données informatiques ;
• ralentissement, désorganisation, voire arrêt de l’activité, chômage partiel pour les salariés ;
• confrontation à un chantage pour récupérer les données ;
• fraude financière (virements frauduleux, modification de coordonnées bancaires…) ;
• vol ou fuite de données confidentielles sur l’entreprise ou de données personnelles (concernant les clients, les salariés...), avec pour conséquence une atteinte à l’image et à la réputation de l’entreprise ;
• mise en cause de l'entreprise par un fournisseur à son tour infecté par un virus qui s'est propagé via un échange d’e-mails.

Les canaux par lesquels s’effectuent les cyber attaques sont variés :

• le phishing (hameçonnage) : il repose sur l’envoi de messages (e-mails, sms, messageries instantanées) imitant une source légitime, afin d’inciter l’utilisateur à cliquer sur un lien malveillant pour ouvrir une pièce jointe infectée ou communiquer des informations sensibles (identifiants, mot de passe…).
  C’est l’un des vecteurs les plus courants des cyber attaques ;
• le recours à un logiciel malveillant (malware) : le programme peut, selon les cas, chiffrer les données pour exiger ensuite une rançon, espionner l’activité de l’utilisateur pour récupérer des données sensibles (identifiants et mots de passe, RIB…) ou provoquer l’arrêt de logiciels.
  Un malware se diffuse par différents moyens préalablement infectés  : un e-mail, une clé USB, une connexion à un site web, un logiciel légitime, un ordinateur d’une société de maintenance… ;
• l’exploitation de failles de sécurité : les attaquants exploitent des vulnérabilités techniques (logiciels non mis à jour, mauvaise configuration d’un pare feu, mots de passe faibles…) pour accéder au système informatique de l’entreprise ;
• l’utilisation d’un identifiant volé : l’attaquant utilise l’identifiant et le mot de passe d’un salarié, obtenus préalablement sur un site web mal protégé ou sur le darknet.

Parce qu’une cyberattaque peut menacer votre entreprise du jour au lendemain et paralyser son activité, SMABTP met d’abord à votre disposition une hotline 7 jours/7, 24 heures/24. Des experts en cybersécurité vont alors assister l’entreprise pour :

• établir un diagnostic sur la nature et l’ampleur de l’attaque ;
• vous conseiller sur les moyens à mettre en œuvre pour stopper la propagation de l’attaque ;
• rechercher les éventuelle fuites de données ;
• vous assister pour redémarrer votre informatique, puis reconstituer et réinstaller vos données.

Si l’attaque est rendue publique et que cela est susceptible de nuire à l’image de votre entreprise, vous pouvez également bénéficier d’une aide en matière de communication de crise et de relations publiques.

Le contrat CYBER RISQUES de SMABTP fournit aux entreprises une protection spécifique, non prévue par les assurances traditionnelles. Il prend en effet en charge :

• les frais résultant directement de la cyber attaque: analyse de l’attaque, rétablissement du fonctionnement du système informatique, récupération des données, remboursement à l’assuré d’une demande de rançon en cas de tentative de cyber extorsion… ;
• les pertes d’exploitation subies par l’entreprise, du fait de la baisse ou de l’arrêt momentanée de son activité ;
• les frais de communication devant éventuellement être mis en œuvre, pour respecter le RGPD (Règlement général sur la protection des données. En cas d’atteinte à des données personnelles, ce règlement impose en effet aux entreprises victimes d'un piratage informatique d'informer la CNIL (Commission Nationale de l’Informatique et des Libertés) et d’informer individuellement les personnes dont les données personnelles ont été atteintes ou détournées.

Après une cyber attaque, votre entreprise peut se voir tenue responsable de la propagation d’un virus vers un tiers (client, fournisseur) ou de la divulgation d’informations confidentielles, comme des données personnelles de clients ou prospects. La responsabilité civile de l’entreprise peut alors être engagée et des tiers peuvent réclamer une indemnisation du préjudice subi, en termes de dommages et intérêts : ils seront pris en charge par le contrat d’assurance CYBER RISQUES.

Le contrat d’assurance CYBER RISQUES couvre également les cas de fraude :

• vol de fonds exécuté à la suite d’une intrusion dans le système informatique ou vol de coordonnées bancaires (RIB) à partir d’une action de phishing (par exemple, e-mail avec incitation à cliquer sur un lien frauduleux pour effectuer un règlement, ou à communiquer des informations comptables) ;
• fraude externe commise par tromperie, afin d’inciter une personne (un salarié de l’entreprise ou l’entrepreneur lui-même) à effectuer un virement de fonds : paiement de la facture d’un fournisseur sur un compte ayant supposément changé de RIB, opération financière urgente à réaliser (technique de la fraude au Président)… ;
• frais de communication téléphonique ou d’utilisation de bande passante. en cas de surconsommation téléphonique occasionnée par une utilisation non autorisée.

Le savez-vous : pour beaucoup d’entreprises, la probabilité d'être victime d'une cyber attaque est désormais plus élevée que celle de subir un incendie de ses locaux professionnels. Et, contrairement aux idées reçues, il n’y a pas que les grandes entreprises qui sont victimes de cyber attaques : les artisans, les TPE et les PME sont tout autant les cibles des hackers.

C’est pourquoi, le contrat d'assurance CYBER RISQUES de SMABTP permet d’assurer toutes les entreprises, quelles que soient leur taille et la nature de leur activité.

En matière de cyber risques, la prévention et la maîtrise des risques s’avère essentielle. C’est pourquoi SMABTP propose à ses assurés professionnels un accès privilégié à des services élaborés par des spécialistes en cyber sécurité. Ces prestations ont été conçues pour faire face aux risques des cyber attaques et aux expositions courantes. Elles s’articulent autour de deux axes :

• la réalisation d’un audit pour évaluer le niveau de sécurité informatique de l’entreprise. Cet audit porte sur la gouvernance et sur une analyse technique du système d’information. Au terme de cet audit, des préconisations sur des actions à mettre en place et/ou à consolider vous sont proposées pour prévenir les risques ;
• un scan de l’exposition de votre entreprise sur internet, afin d’identifier les points de vulnérabilité du système d’information de l’entreprise. Un rapport d’analyse et des recommandations vous permettront là aussi d’évaluer les mesures de sécurité à mettre en place.

Quelques chiffres et des questions essentielles permettent de prendre conscience de l'importance d'assurer son entreprise :

• suis-je en capacité d’évaluer les conséquences d’une interruption du système informatique sur l’activité de mon entreprise, que cette dernière soit une PME ou une entreprise artisanale ?
• pendant combien de temps l’informatique de mon entreprise peut-elle être interrompue sans que cela ait des répercussions majeures sur l’activité de la société (devis, facturation, salaires...) ?
• les salariés de l’entreprise sont-ils déjà sensibilisés aux risques cyber ?
• comment sont sécurisées les données ; comment sont gérées les sauvegardes de l’informatique de l’entreprise ?
• combien une cyber attaque pourrait coûter à mon entreprise ?
• de quelles compétences techniques dispose mon entreprise pour résoudre une cyber attaque ?
• vers qui me tourner si mon entreprise était victime de cyber malveillance ?
• est-ce que je maîtrise les règles et les obligations de mon entreprise en cas de violation de données personnelles de clients ?

Avant de choisir une solution d’assurance couvrant les risques cyber de votre entreprise, il est important d’évaluer les risques qui peuvent concerner votre entreprise et, en conséquence, ses besoins en termes de protection : place et importance de l’informatique dans votre entreprise, recours à des logiciels spécifiques et mises à jour, dépendance à l’égard de plateformes externes, recours aux paiements en ligne, type de données personnelles traitées (salariés, clients, prospects…), sensibilisation des salariés aux risques cyber, process en matière de sécurité, sauvegardes des données…

Cette analyse préalable est essentielle pour définir la couverture dont votre entreprise a besoin en matière de cyber assurance. Il est alors nécessaire de se concentrer sur quatre points :

• l’accompagnement, en amont, en matière de prévention  : audits de sécurité et évaluation de vos risques, sensibilisation de vos salariés…
• l’assistance immédiate qui peut vous être apportée en cas de crise : assistance technique pour identifier la nature de la cyber attaque, capacité à intervenir le plus rapidement possible ;
• les garanties incluses dans votre contrat d’assurance : frais pris en charge, montants garantis, indemnisation de votre entreprise si son activité est interrompue ou réduite…
• le conseil : assistance et prise en charge financière des démarches de notification auprès de la CNIL et auprès des personnes concernées en cas de fuite de données personnelles.

Le prix de l’assurance CYBER RISQUES de SMABTP est calculé en fonction du montant de chiffre d’affaires de l’entreprise assurée, de la nature de son activité, et des garanties choisies.

Le montant de la cotisation démarre à quelques euros par jour.