Accueil Cybersécurité « Nous ne payons pas la rançon, mais… ». Le cyberassureur Hiscox accompagne les...

« Nous ne payons pas la rançon, mais… ». Le cyberassureur Hiscox accompagne les entreprises pour gérer les attaques

« les cyber-chantages, avec demande de rançons sont devenus un sport quotidien, et de plus en plus sophistiqués. La cyber-fraude se développe également de façon rapide » met en garde Frédéric Rousseau, Responsable de Marché Cyber chez Hiscox France.

« Non, juridiquement, nous ne pouvons pas payer la rançon », se défend l’assureur, « mais nous pouvons aider à négocier »… Et on devine que l’indemnisation des dommages pourra prendre en compte cette extorsion de fonds.

« Notre rôle ne se limite pas à indemniser, mais à aider le client à gérer la crise»

L’assureur britannique a lancé la cyber-assurance en France il y a 10 ans. Un marché encore jeune, qui a décollé depuis 3 ans, avec une croissance à deux chiffres, et qui commence à intéresser, après les grands comptes, les PME, les ETI et même les indépendants, précise  le responsable.

« Notre rôle ne se limite pas à indemniser, mais d’aider le client à gérer la crise », explique Frédéric Rousseau, qui insiste sur l’accompagnement des entreprises, « le préventif et le curatif ». Deux dispositifs principaux sont mis en place : l’audit et la formation.

Frédéric Rousseau, Responsable de Marché Cyber chez Hiscox France.

 

Un numéro de téléphone d’urgence cyber

Un partenariat de longue date a été mis en place avec différents prestataires technologiques et juridiques.  Comme pour les services d’urgence médicale, un accueil téléphonique permet de qualifier le problème pour orienter ensuite le cas échéant l’assuré sur le prestataire adéquat. C’est Inquest, un cabinet d’experts, spécialisé dans la maîtrise des risques, la gestion des sinistres, qui assure ce rôle d’urgence téléphonique. L’intervenant du cabinet peut ainsi dans un premier temps qualifier l’attaque et son importance, et ensuite répercuter le client vers les spécialistes. « Cette assistance technique est ‘actionnable’ à tout moment, sans franchise », précise F. Rousseau.

Assistance + dommages + responsabilité civile

Parmi son réseau, un cabinet d’avocat partenaire d’Hiscox depuis 20 ans, peut également intervenir, et ceci « dès la déclaration du sinistre, y compris auprès de la Cnil , et bien entendu face aux tiers, en cas de poursuites », précise le responsable.

L’accompagnement de l’assureur pourrait aller jusqu’à rembourser en partie l’éventuelle amende du régulateur. En effet, «en France, à l’heure actuelle, « cette prise en charge  n’est pas interdit, en tout cas, ce n’est pas tranché », nous répond l’assureur.

 La formation Cyber Clear Academy

L’autre facette de l’accompagnement de l’Assuré selon Hiscox est la formation, afin de sensibiliser les employés et prévenir les cyber-risques.

L’assureur a lancé une plateforme de e-learning : Cyber Clear Academy. Ce module de formation a été lancé en 2017 au Royaume-Uni et en 2019 en France. Plus de 2500 entreprises l’ont utilisé. Elle a  a fait l’objet, en mai, d’une actualisation et inclut désormais les  modules de formation suivants :

  • Les mails professionnels compromis
  • Fraude par détournement de paiement
  • Se préparer à une cyber-attaque
  • Gérer les risques de votre chaîne d’approvisionnement
  • Ransomware ou demande de rançon
  • Phishing thématique
  • Sextorsion
  • L’envoi d’informations à la mauvaise personne

 Covid-19: veiller à ne pas cumuler la crise et une cyberattaque!

L’assureur, en pointe sur les risques cybersécurité a commenté l’attaque dont EasyjJet a été victime, avec les données de 9 millions de comptes clients dérobées, dont 2200 données bancaires. Cet exemple est symptomatique, estime-t-il, en saluant cependant la communication de crise dont a fait preuve le transporteur.

« Une cyberattaque peut avoir des conséquences dramatiques pour beaucoup d’entreprises en temps normal, nombre d’entreprises sont actuellement fragilisées par les conséquences économiques de la crise Covid-19, leur défi est donc d’éviter du cumuler à cet état une seconde crise consécutive à une cyberattaque » alerte l’assureur.

Adaptation perpétuelle aux nouveaux risques

L’assureur doit s’adapter à l’univers de la cybercriminalité. Il y a quelques années, on piratait les lignes téléphoniques et certaines sociétés subissaient dessurfacturation énormes. Aujourd’hui , des pirates peuvent voler de la puissance de calcul des serveurs pour miner leur cryptomonnaies…raconte l’assureur.

La dernière version du contrat Hiscox est de décembre 2019. Certaines conditions particulières sont passées en conditions générales, comme les pertes financières consécutives à la défaillance du prestataire informatique (hébergeur, éditeur SaaS…).

 

Rapport Hiscox 2019

 

Le coût des risques multiplié par 18 en 2019 pour les grandes entreprises.

Le rapport Hiscox 2019 sur la gestion des risques cyber relève un accroissement des alertes et des dépenses.

-Le rapport signale une forte hausse du « coût du pire incident » rapporté. Le coût moyen a fait un bond pour passer de 34 000 € il y a un an à près de 200 000 €. Pour les grandes entreprises, ce coût a été multiplié par 18 et s’établit à 395 000 €.

A titre de comparaison, le coût moyen pour les petites entreprises ne représente que 9 000 € cette année contre 3 000 € l’an dernier.

 

Les petites entreprises ont davantage été attaquées cette année

-Alors que les grandes entreprises sont toujours les plus ciblées par les cyberattaques, la proportion de petites entreprises (moins de 50 salariés) ayant signalé un ou plusieurs incidents progresse, passant de 33% à 47%. En ce qui concerne les entreprises de taille moyenne (entre 50 et 249 salariés), ce chiffre s’est accru de façon très significative et représente 63% contre 36% l’an dernier.

-Le rapport note la vulnérabilité de la chaîne logistique : 2 entreprises sur 3 ont subi des cyber-incidents dans leur chaine logistique en 2019.