Dans un contexte où les cyber-attaques contre les entreprises ne cessent de s’accroitre, la notion d’assurance cyber semble une évidence. De nombreux grands-comptes ont franchi le pas. Reste à diffuser cette couverture du risque cyber plus largement dans les entreprises françaises.
Le manifeste publié par Hexatrust en septembre 2020 explicitant 5 vœux pour une autonomie numérique pour l’Europe défend l’idée d’une Europe de la cybersécurité, d’un plan d’équipement cyber et un dispositif de soutien aux PME du secteur. Il inclut aussi un volet dédié à la cyber-assurance. Les auteurs du manifeste militent en faveur d’une couverture assurantielle du Cyber-risque, notamment afin de permettre aux TPE et PME de franchir le pas et se protéger enfin du risque cyber.
Des contrats très spécifiques
En attendant qu’une telle idée chemine, les contrats d’assurance cyber actuellement proposés sont souvent très spécifiques à l’entreprise. Souscrire à un contrat souvent complexe est un processus long qui exige une implication plus forte non seulement de la part du DSI et du RSSI, mais également du Risk Manager, du responsable assurances, du CIL (et bientôt Data Privacy Officer !), et potentiellement du responsable juridique ou de la RH. Il s’agit donc d’un projet très engageant qui doit être mené comme tel, notamment en créant une équipe pluridisciplinaire dédiée pour le mener à bien.
L’étape la plus structurante d’un tel projet est de loin la réponse au questionnaire d’assurance : l’entreprise va devoir y exposer son organisation et préciser à la fois les mesures de protection existantes mais aussi ses plans de réponse en cas de sinistre. C’est pourquoi bien que nous ayons choisi de placer cette étape assurantielle en début de processus, durant la phase d’organisation, elle exige toutefois qu’un premier travail de fond ait déjà été réalisé, tant en matière de cartographie des risques que de réponse aux incidents.
Idéalement, et puisque nous présentons la sécurité telle un processus itératif, le volet assurantiel sera donc traité au second passage par cette phase d’organisation.
Une couverture en trois volets
En cas de déclenchement d’une crise, le contrat d’assurance cyber couvrira l’entreprise sur trois volets principaux :
- Tout d’abord en prenant en charge les frais de réponse à incident et de gestion de crise (honoraires de consultants et de prestataires dans les domaines légaux, forensiques, de la communication, etc.).
- Ensuite un second volet pourra être activé en cas de réclamation de tiers à l’encontre de l’entreprise, qu’il s’agisse de clients ou d’employés. Celle-ci, en effet, pourra être mise en cause pour négligence ou non-respect de ses obligations légales et devra répondre juridiquement, ce qui entraînera des frais.
- Enfin, l’assurance pourra prendre à sa charge les frais supplémentaires induits par la poursuite de l’activité durant le sinistre, tels que la location de nouveaux locaux, de nouveaux équipements informatiques, le recours à des sous-traitants pour tenir ses engagements, etc.
A noter : le contrat d’assurance pourra également prendre en charge les frais spécifiques liés à une attaque par un ransomware, qu’il s’agisse de rembourser les frais d’un consultant en sécurité chargé de négocier avec les pirates, ou bien la rançon elle même (y compris les frais bancaires si l’entreprise a dû emprunter !). Bien entendu, et à la suite des grandes campagnes de ransomware durant 2017, ces primes spécifiques peuvent être élevées tant le risque est désormais fort.
Des clauses secrètes
Certaines clauses d’une police de cyber assurance doivent rester secrètes sous peine d’être nulles. C’est notamment le cas de la clause de protection contre les ransomwares (clause de cyber extorsion). Cela implique, pour l’entreprise, d’être en mesure de créer un groupe de travail “cyber-assurance” dont l’activité restera secrète vis-à-vis des autres collaborateurs. Seules les personnes-clés de l’entreprise pourront être mises au courant et généralement seulement au moment du déclenchement de la crise.
Au moment de la crise l’assureur sera souvent le premier partenaire extérieur alerté. Il permettra à l’entreprise de bénéficier d’une assistance immédiate pour la suite des opérations. Viennent ensuite généralement le temps des notifications légales, par exemple auprès de la CNIL s’il s’agit d’un vol de données personnelles ou des autorités si l’entreprise jouit d’un statut particulier (Opérateur d’Importance Vitale, entreprise de défense, etc.).
Dans tous les cas, l’assureur sera impliqué dès le début de la crise et jusqu’à sa résolution, ce qui en fait un partenaire de premier plan de l’entreprise. A ne pas négliger, donc !