Il ne se passe pas un jour sans qu’une entreprise, petite ou grande, ne soit victime d’une attaque cyber. Pour les organisations, la question n’est plus de savoir si elles vont en être victimes mais quand. Face à cette situation, comment les assureurs couvrent-ils ce risque ? Etat des lieux.
L’assurance cyber constitue la solution ultime une fois que l’entreprise a déployé toutes les mesures de prévention pour protéger ses données numériques, sécuriser son environnement informatique et se conformer à la règlementation en vigueur. « Sans ce travail préalable, et les investissements indispensables qui en découlent, il sera difficile pour une entreprise de s’assurer, explique l'experte.
L’assurance cyber s’applique en cas d’incident de sécurité et d’atteintes au système d’information ou aux données personnelles et confidentielles d’une entreprise. Elle offre principalement :
Certains assureurs proposent une extension cyber à leur police d’assurance Choses ou Responsabilité Civile mais les garanties sont généralement moindres et les compensations financières faibles. « Néanmoins, c’est une solution intéressante pour les PME, précise l'experte, les compagnies pionnières de l’assurance Cyber étant aujourd’hui plus exigeantes pour les assurer voire, pour certaines, n’assurant plus les PME en deçà d’un certain chiffre d’affaires. »
Parmi les principales exclusions, nous trouvons les dommages corporels, matériels et de préjudices de fortune, les dommages dus à l’usure ou au vieillissement des supports de données ou au manque de compatibilité entre données numériques et logiciels ou entre logiciels, la défaillance ou panne d’infrastructures d’utilité publique (interruption de réseau), la violation de brevets commerciaux, etc. D’un assureur à l’autre, les obligations imposées au preneur d’assurance diffèrent et pourraient le priver de garantie en cas de non-respect. Et l'experte de rappeler : « Il est important de lire l’intégralité des contrats ce qui peut être complexe pour un néophyte. Se faire accompagner par un courtier constitue la bonne solution d’autant que les critères et les conditions des assureurs évolue dans le temps, en particulier en raison de la hausse exponentielle du nombre des cyber attaques depuis 2 ans. »
Ne seront également pas couverts les dépenses consécutives aux nouveautés introduites à la suite d’un sinistre (par exemple, l’actualisation de logiciels ou du système IT), les frais et pertes liés à un manque de capitaux causé par un sinistre assuré, et ce qui relève d’un contrat Responsabilité Civile des Dirigeants. Pour en savoir plus sur les moyens disponibles pour faire face aux risques en tant que dirigeant, nous vous invitons à visionner notre webinaire en replay > Administrateurs, dirigeants : comment faire face aux risques en responsabilité civile ?
« certains secteurs professionnels considérés comme très exposés au risque cyber sont de fait exclus par les assureurs. C’est le cas des entreprises qui réalisent la majorité de leur chiffre d’affaires sur internet, des prestataires IT, des infrastructures « critiques » telles que les sociétés de télécom, les établissements médicaux ou les fournisseurs d’eau, etc. », précise l'experte.
Généralement, l’entreprise devra renseigner un questionnaire de souscription. Certaines compagnies n’en exigeront pas s’il s’agit de l’extension d’un contrat Choses ou RC existant.
Pour accepter d’assurer l’entreprise, les compagnies portent une attention particulière à plusieurs points tels que la formation régulière du personnel sur la protection des données et la sécurité, le profil et la quantité de données sensibles traitées, la régularité des mises à jour, la protection contre les malwares, la sécurité du réseau et l’authentification multi-facteur, la sauvegarde et la restauration des données, le plan de réponse et les tests de ce dernier.
Attention : un seul incident survenu par le passé peut suffire à rendre l’entreprise difficilement éligible à une assurance cyber !
Protéger ses données doit constituer la priorité des conseils d’administration et des comités de direction. Ils pourraient se voir reprocher une absence ou une insuffisance de gestion des risques cyber (en référence aux articles 717 et 754 du Code des Obligations). L’assurance Cyber constitue un outil de prévention efficace. Les conditions exigées par les assureurs pour la souscription sont finalement les mesures que toute entreprise devrait aujourd’hui avoir mises en place pour lutter efficacement contre les attaques cyber.
La plupart des PME minimisent le risque cyber. Pourtant, elles ne sont pas à l’abri des attaques. Pour les cybercriminels, il est plus facile de pirater des PME, qui manquent de ressources dédiées, et d’obtenir le paiement d’une rançon. Par ailleurs, elles sont la porte d’entrée pour atteindre leurs clients, avec lesquels elles sont connectées.
Les dirigeants sont responsables de la pérennité de l’entreprise. Une cyberattaque peut avoir des impacts graves, en termes financiers et de réputation. La faille étant à 95% humaine, la formation de tous est indispensable. Les outils IT sont nécessaires, mais ne suffisent pas : les dirigeants doivent identifier les actifs critiques à protéger, mettre en place une organisation, des processus, des règles, un audit régulier, et se préparer à gérer la crise qui va arriver.
Les attaques vont se multiplier. La cybersécurité est basée sur la gestion de risques, l’anticipation de la crise, la mise en place de moyens, notamment humains, le développement d’une culture dans l’ensemble des organisations (le risque est systémique !). Comme pour l’automobile, la sécurité s’améliorera avec du matériel fiable, des contrôles techniques, un permis de conduire obtenu grâce à de la formation, un code de la route et un contrôle de l’application de règles standard.
Ce dossier est paru dans Insurance Inside n°25 - mars 2022.
Marie de Fréminville, est experte en gouvernance et en gestion du risque. Après un parcours au sein de grandes entreprises internationales, elle met son expérience au service des entreprises suisses au sein de son cabinet de conseil Starboard Advisory. Par ailleurs, elle est Vice-Présidente du Cercle suisse des administratrices.
En tant que courtier en assurances toutes branches, nous proposons aux entreprises, quelle que soit leur taille, une couverture complète de leurs risques, et ce, au meilleur rapport couverture/risque.
Des couvertures pour limiter les pertes financières en cas de sinistre et reprendre rapidement votre activité.
Et si assurer son entreprise devenait un jeu d’enfant, et si souscrire une police d’assurance se résumait à quelques clics ? Utopie ? Non. Le contrat-cadre rend ce rêve possible. Explications.
Le constat est sans appel. L’envolée de l’inflation, la hausse des coûts des matières premières et de l’énergie avec, par voie de conséquence, celle des biens manufacturés interrogent sur la capacité de l’assurance à pouvoir encore couvrir et rembourser un sinistre. Conséquence de cette situation :
Près de 280'000 accidents professionnels ont été recensés en Suisse en 2021.Cela équivaut à 1 accident toutes les minutes. Bien s'assurer et assurer son personnel est donc crucial.
Protéger ses salariés, son patrimoine et son activité revêt un caractère crucial. Les entreprises se voient contraintes d’améliorer leur couverture pour répondre aux risques liés à leur secteur professionnel.
Focus sur cette solution à l’avantage des entreprises qui construisent ou rénovent un bâtiment.
Prendre conscience des évolutions, en mesurer la portée et les implications pour ensuite adapter nos actions. C'est ce que nous proposons à nos clients.
Suite à la série de cyberattaques de vendredi 12 mai 2017, Qualibroker-Swiss Risk & Care vous propose une série de mesures pour éviter de tomber dans les pièges.
Des malfaiteurs parviennent régulièrement à soustraire des sommes d’argent à des entreprises en usurpant l’identité de leurs dirigeants. La Suisse commence à s’inquiéter du phénomène.
Les technologies numériques ont engendré l’apparition de nouveaux dangers et de garanties d’assurance spécifiques. Une réflexion sur l’opportunité d’un transfert de risque auprès des assureurs est à l’ordre du jour.