Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Cyber-résilience en entreprise
  3. résilience en entreprise
Extrait - Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
Extraits du livre
Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
1 avis
Revenir à la page d'achat du livre

La cyber-assurance

Introduction

Ce chapitre porte sur le domaine assurantiel de la cyber-sécurité. Toutes les entreprises se doivent de disposer d’une assurance RCP (responsabilité civile professionnelle), qui est une assurance permettant de couvrir tous les dommages involontaires causés par l’entreprise à des tiers. Malheureusement, devant l’explosion de cyber-attaques, les assurances couvrent mal ou ne couvrent pas du tout le risque cyber ; il est donc de la responsabilité du dirigeant de souscrire ou non à une cyber-assurance. Ce chapitre présente le fonctionnement d’une assurance cyber, un exemple de prestation d’accompagnement, un exemple de contrat de cyber-assurance, ainsi qu’un panorama des différents acteurs de ce marché.

Comme tout type d’organisation est vulnérable à une cyber-crise, la cyber-assurance peut donc adresser tous les secteurs d’activité et plus particulièrement les TPE-PME, qui sont souvent en retard d’un point de vue SSI.

Il n’existe aucun contrat générique qui pourrait s’appliquer aux entreprises privées ou publiques, tant les SI et les organisations sont différentes. Le domaine de la cyber-sécurité est jeune et ultra technique, il faudra donc véritablement montrer à l’assureur que son SI est sécurisé afin que ce dernier minimise son intervention. Dans certaines situations, une entreprise ne sera pas cyber-assurable. Par exemple, l’absence d’une démarche SSI, l’absence d’un RSSI… sont des freins à l’éligibilité à l’assurance.

En pratique, l’assureur base son offre sur un questionnaire...

Contrats d’accompagnement

Dans le monde de la cyber-assurance, il existe un accompagnement avant, pendant et après la crise.

1. Les phases de l’accompagnement

a. Avant la crise

En période normale de production, une société qui souhaite souscrire un contrat de cyber-assurance devra réaliser un audit préalable de maturité cyber. Cet audit se compose de plusieurs éléments :

  • Un audit informationnel mené par une société spécialisée (différente de l’assureur lui-même), basé sur du déclaratif : une série de questions sur l’organisation de la SSI, sur les éléments de protection en place…

  • Un pentest (test de pénétration) interne et externe afin de lister l’état de vulnérabilité du SI ; il est effectué par la même société que l’audit ou par un partenaire de cette dernière.

  • Une restitution finale au client candidat à la cyber-assurance ; en fonction du résultat, le client est cyber-assurable ou non.

Dans le cas favorable, une offre d’assurance sera proposée au client.

b. Pendant la crise

Lorsque la crise est avérée et que le client en informe son assureur ou son partenaire-courtier d’assurance, une assistance est déclenchée afin de gérer l’urgence. En 24/7, un expert intervient en début de crise afin de diligenter les premières opérations. Il fournit une assistance juridique et technique.

En cas d’entreprise structurée, rompue à la gestion de crise cyber, et qui dispose déjà d’un socle organisationnel (cellule opérationnelle, cellule décisionnelle, prestataires spécialisés locaux, processus de gestion de crise formalisé, exercice de gestion de crise…), il faudra veiller à en informer l’assureur au préalable, qui jouera un rôle majeur dans l’organisation globale de la crise. Sans recours à l’assureur, c’est la certitude de ne pas avoir la capacité de se faire indemniser. 

Il est primordial d’inclure l’assureur dans le processus de gestion de crise cyber.

Le recours à une cyber-assurance remet en cause la gouvernance de la crise cyber. Un...

Exemple de contrat d’assurance cyber

L’élément le plus important du contrat de cyber-assurance est sans conteste les garanties proposées par l’assureur, ainsi que les options possibles. Il convient également de vérifier qu’un glossaire est bien présent.

1. Glossaire

Ce glossaire permet de se mettre d’accord sur les définitions des événements qui vont déclencher les garanties cyber.

  • Système d’information : il s’agit de tout élément permettant de traiter l’information, comme les serveurs, les routeurs, les bases de données, les logiciels, le réseau, les baies de stockage, les données… Le SI peut être localisé on-premise ou être hébergé (souvent en partie), être totalement opéré par l’assuré ou par un prestataire (en partie également). Comme le SI est devenu hybride, l’assuré doit mettre en place une surveillance stricte de ses contrats avec les prestataires (contrat d’hébergement, contrat de maintenance logicielle et matérielle, contrat de prestations…). En effet, l’assureur commencera par se retourner vers un prestataire si l’élément à l’origine du sinistre est du ressort de ce dernier, et donc le contrat conclu entre l’assuré...

Les acteurs

1. Les courtiers

Les courtiers sont des entreprises spécialisées ayant une connaissance fine du domaine de la cyber-assurance et de la cyber-sécurité. Certains sont spécialisés dans un domaine d’activé.

De nombreux courtiers sont présents sur le marché, notamment :

  • Marsh (https://www.marsh.com/fr/fr/services/cyber-risk.html), à même d’intervenir à l’échelon mondial et sur tout secteur d’activité (organismes privés/publics)

    "Avec des bureaux dans plus de 130 pays, Marsh est un leader mondial du courtage d’assurance et du conseil en risques. Nous fournissons des services ciblés par secteur, de courtage, de conseil et de traitement des plaintes. Nos solutions technologiques et nos outils d’exploitation et d’analyse des données aident nos clients à réduire le coût total de leurs risques."

  • Cyber-Cover (https://www.cyber-cover.fr/) pour les assurances cyber-risques, RGPD et fraudes

    "Assureur expert en cyber-risques pour les PME et ETI de toute taille, CYBERCOVER est un cabinet de courtage indépendant travaillant uniquement avec des compagnies de premier plan."

  • Zenioo (https://www.zenioo.com/cyber-pro-zenioo/), courtier grossiste spécialisé en assurance de personnes (santé, prévoyance, emprunteur) qui s’est associé avec l’assurtech Stoik pour fournir une offre cyber à ses clients

    "Assurez vos TPE/PME contre les cyber-attaques."

Conclusion et perspectives

La cyber-assurance est conseillée, mais elle n’est pas obligatoire en France et ailleurs. Devant la numérisation totale et irréversible de notre monde, il faudra bien se rendre à l’évidence : se protéger et s’assurer.

Les organisations n’ont pas toutes le même niveau de maturité avec la cyber-sécurité et donc avec la cyber-assurance : les grandes entreprises se sont déjà lancées dans la course à la cyber-assurance devant le risque financier de perte de chiffre d’affaires et donc de marges, les TPE-PME commencent à se structurer pour faire face au risque cyber sans pour autant franchir le pas de l’assurance, les organisations publiques, qui n’ont pas d’enjeu de chiffre d’affaires, rechignent encore à s’assurer, et les particuliers sont totalement ignorés soit par la sensibilisation, soit par l’absence d’offres attractives.

Le législateur imposera probablement la cyber-assurance comme obligatoire dans le monde professionnel (et notamment les organismes soumis à NIS/2) et ensuite chez les particuliers, comme c’est le cas dans le secteur de l’habitat ou de l’automobile. Pour les entreprises, une telle assurance pourrait devenir obligatoire à l’horizon 2030 avant toute mise en production d’un système...