Assurance cyber criminalité
“La question n’est plus de savoir si mon organisation ou moi-même seront victimes d’une attaque cyber criminelle mais bien quand et à quelle fréquence et comment vais-je pouvoir y faire face !”
1. A qui s’adresse une couverture cyber ?
Une couverture d’assurance cyber s’adresse tant aux particuliers qu’aux entreprises. Les garanties, capitaux couverts ainsi que les produits d’assurances concernés ne sont généralement pas les mêmes. Pour les particuliers, l’octroi de telles garanties (souvent limitées) se fait généralement sous la forme d’extensions de couvertures à des contrats existants auprès de l’assureur concerné. Pour les entreprises, le jeu est plus ouvert et sous réserve de modalités particulières de souscription (cfr question 4), il existe plus de possibilités tant en termes de garanties, de capitaux couverts que de franchises (montant restant à charge de l’assuré).
2. Quelles sont les formes les plus répandues de cyber attaques ?
Les formes prises par de telles attaques sont multiples et diverses. Elles englobent aussi bien le hacking, le Distributed Denial of Service (DDos) que la dissémination d’un virus au sein même et/ou en périphérie de l’organisation IT de la personne/structure visée.
3. Comment prévenir de tels risques ?
Dans un contexte de digitalisation croissante, les questions de la prévention et de la résilience sont fondamentales. Prévenir de tels risques passe notamment, par une sensibilisation/éducation croissante et continue des personnes sur les bons comportements à adopter. En effet, le CCB (Centre Belge de la Cybersécurité) estime que 80% des attaques cybercriminelles sont facilitées par une inattention ou un comportement humain défaillant. Cette prévention passe également par la mise à jour régulière des programmes et software destinés à protéger les données et les installations cibles. La résilience face au risque cybercriminel se matérialise aussi, par une anticipation des futures menaces cyber. Une analyse des vulnérabilités jointe à la détermination des activités essentielles pour la continuité des activités de la personne ou de l’entreprise sont en effet, des passages obligés. Des simulations d’incidents pour tester les réactions des personnes et le suivi adéquat de procédures (“crisis management plan”) préalablement mises en place sont également plus que souhaitables.
4. A qui s’adresser pour souscrire une couverture cyber ?
Tant l’entreprise que le particulier sont prioritairement invités à s’adresser à leur assureur ou à leur intermédiaire d’assurance (courtier, agent, …). Ces professionnels de l’assurance sont habilités à cerner les besoins de leurs assurés et par leur connaissance du marché, à les conseiller et leur proposer les couvertures d’assurance les plus adéquates.
5. Quelles sont les modalités à suivre pour couvrir le risque Cyber ?
Pour souscrire une telle couverture, le candidat-assuré devra remplir soigneusement et complétement un questionnaire fourni par l’assureur. L’objectif de ce questionnaire est de permettre à l’assureur d’estimer le risque à couvrir et d’appréhender les mesures de prévention et de résilience déjà implémentées. Parmi les éléments techniques importants qui retiendront l’attention de l’entreprise d’assurance figurent notamment, le “Multi Factor Authentification”, la présence de backups réguliers et, si possible, géographiquement séparés, la présence de “Endpoint Detection & Response” ainsi que d’un ”Managed Detection & Response (Edr.MDR)”. L’éventuelle statistique sinistres sera également demandée et soigneusement analysée. L’existence d’un “crisis management plan” et/ou d’un “business continuity plan” sont autant d’éléments de nature à rassurer l’assureur par rapport au risque qui lui est soumis. Enfin, l’accord de principe relatif à l’exécution d’un éventuel audit effectué par un organisme indépendant extérieur agréé (cfr les “fundamentals” du CCB) est toujours de nature à rassurer l’assureur quant à l’octroi ou non des garanties demandées.
6. Quels sont les principales couvertures possibles dans un tel contrat d’assurance?
Les principales couvertures possibles sont les suivantes : • les dommages propres (business interruption, frais d’analyse et de reconstitution des données, frais de spécialistes IT et de consultants, amendes administratives éventuelles, ...) • les dégâts occasionnés à des tiers (aspects responsabilités) en ce compris les éventuels frais de défense • l’assistance nécessaire à plusieurs niveaux (assistance technique, en matière de communication, en matière de gestion de crise ou d’atteinte à la réputation, ...) • le volet kidnapping/ransom (assistance à la négociation et modalités de paiement) qui n’est par ailleurs, pas toujours accordé par l’assureurl
7. Quels sont les capitaux à couvrir, quelles sont les éventuelles franchises et quel est le coût d’une telle couverture d’assurance ?
La détermination des capitaux à couvrir varie en fonction du risque réel analysé par l’assureur avec la personne ou l’organisation concernée. De façon générale, il convient de couvrir des montants que la personne ou l’organisation ne peut raisonnablement assumer. Une franchise qui s’élève à quelques centaines ou milliers d’euros permet d’ailleurs de démontrer à l’assureur la confiance qu’à le client dans la prévention et les mesures de résilience adoptées. En fonction de l’analyse des activités concernées et des mesures déjà prises (prévention et résilience), la prime pourra varier de quelques centaines d’euros à des milliers d’euros. De toute manière, une tarification en la matière reste très souvent du “sur-mesure”. Pour le particulier, une prime moindre sera demandée mais s’applique à des couvertures très souvent limitées par nature (par exemple absence de volet Responsabilité) ou en capital couvert par sinistre.
A noter que pour une organisation, il semble judicieux d’également envisager la souscription d’une couverture Fraude (fraude interne, fraude externe, CEO fraud) qui viendrait compléter la couverture Cyber. Selon le courtier Van Breda, 25% des entreprises ont adhéré à ce principe.