You are currently viewing La cyberassurance : un nouveau modèle de protection face aux menaces cybernétiques

Avec la numérisation croissante des entreprises, la cybercriminalité est devenue une menace majeure. Les cyberattaques, les violations de données et les ransomwares ne sont plus des risques théoriques, mais une réalité quotidienne pour de nombreuses organisations, quelles que soient leurs tailles et leurs secteurs. Selon le rapport d’IBM sur le coût d’une violation de données, 83% des organisations ont subi plus d’une violation de données dont le coût moyen s’élève à 4,35 millions de dollars. Dans ce contexte, la cyberassurance s’est imposée comme une des solutions essentielles pour se protéger des conséquences financières et opérationnelles des incidents liés à la sécurité informatique.

Mais qu’est-ce que la cyberassurance exactement, et pourquoi est-elle devenue si importante aujourd’hui ? Cet article explore ce concept clé, son fonctionnement et ses avantages.

La cyberassurance, également appelée assurance contre les cyber-risques ou risques informatiques, permet de minimiser les pertes financières subies par les entreprises à la suite de ransomware, de violations de données, de cyberextorsion et d’autres cyberincidents. Les polices de cyberassurances couvrent les dommages liés aux systèmes informatiques, les pertes de revenus, les frais juridiques et autres coûts liés aux cyberattaques.

En effet, les produits d’assurance standard ne couvrent pas ces types de cyberattaque laissant un lourd impact financier sur les entreprises vulnérables. Le baromètre du CESIN de 2024 montre que 65% des cyberattaques réussies impactent assez fortement le business, en représentant une perte de plus de 25% du chiffre d’affaires. Pour rappel, si la cybercriminalité était un Etat, ce serait la troisième économie mondiale après les USA et la Chine infligeant 8 000 milliards de dollars de dommages dans le monde en 2023.

 

La couverture de la cyber assurance 

La couverture offerte par une cyberassurance varie selon les besoins spécifiques de l’entreprise, les types de données qu’elle gère et son secteur d’activité. Les polices de cyberassurance incluent généralement les protections suivantes :

  • Interruption d’activité : Si une cyberattaque perturbe les systèmes informatiques d’une entreprise et entraîne une perte de revenus, la cyberassurance peut compenser tout ou partie de ces pertes
  • Gestion des incidents et remédiation : L’assurance peut couvrir la réponse aux cyberattaques, y compris la réparation des systèmes, les enquêtes numériques et les services requis pour rétablir la situation après un incident. 
  •  Frais de justice 
  • Protection de la réputation : Après une attaque, il peut être nécessaire pour une entreprise de faire appel à une agence de relations publiques ou de prendre des mesures pour restaurer son image. Certaines polices couvrent ces dépenses.
  • Paiements de rançons : Beaucoup de cyberassurances incluent la couverture des paiements exigés lors d’attaques par ransomware, bien que certaines compagnies d’assurance aient commencé à limiter ou supprimer cette couverture en raison des coûts élevés des rançons.

 Toutefois, les polices de cyberassurance excluent certains cas comme :

  • Violations subies par des tiers : Les données d’une entreprise peuvent être volées ou ses services perturbés à la suite d’une violation de sécurité chez ses fournisseurs et ses autres partenaires. Une cyber-assurance ne couvre pas toujours ces pertes, mais certains assureurs proposent une couverture contre les violations de sécurité des tiers, moyennant un coût supplémentaire.
  • Ingénierie sociale : Les attaques d’ingénierie sociale, telles que l’hameçonnage, exploitent la manipulation humaine pour compromettre la cybersécurité. Les pertes résultant de ces attaques ne sont pas systématiquement couvertes par les polices de cyberassurance, bien qu’il soit souvent possible d’ajouter cette protection moyennant des frais supplémentaires.
  • Menaces internes : Les dommages causés par des employés, qu’il s’agisse de malveillance ou de négligence, sont rarement inclus dans les couvertures standard de cyberassurance.
  • Attaques commanditées par des États : Ces attaques sont souvent considérées comme des actes de guerre par les compagnies d’assurance, et ne sont donc pas prises en charge par la plupart des polices de cyberassurance.
  • Cyberattaques qui exploitent une vulnérabilité connue : La majorité des cyberassurances refusent d’indemniser si les pirates exploitent une faille de sécurité connue mais non corrigée par l’entreprise.

 

La cyberassurance : l’effet à double tranchant

Un effet à double tranchant ? Oui, la cyberassurance offre une protection contre les pertes liées aux cyberattaques mais cela ne permettrait pas une croissance accrue de celles-ci du fait que cela encourage les pirates informatiques à cibler davantage les entreprises couvertes par une police d’assurance ?

En 2022, environ 55 % des entreprises déclarent avoir souscrit une forme d’assurance cyber, bien que seulement 19 % disposent d’une couverture dépassant les 600 000 $ pour les incidents cybernétiques. Cependant, un écart demeure, car certaines entreprises ne sont toujours pas assurées, souvent en raison des coûts élevés des primes ou par manque de sensibilisation aux risques. Les petites et moyennes entreprises (PME), en particulier, sont plus vulnérables en raison de ressources limitées pour améliorer leur cybersécurité, bien qu’elles représentent la majorité des réclamations d’assurance​.

Le marché de l’assurance cyber reste encore fragile et sous-assuré. Bien que la cyberassurance soit une protection essentielle, elle n’est qu’un complément à la sécurité et aux normes que l’entreprise doit mettre en place pour éviter les attaques cybernétiques.

Sources :

Cette publication a un commentaire

  1. Marais

    Bravo pour cet article très intéressant !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.