Assurance cyber-risques

L’assurance cybersécurité est un investissement essentiel pour garantir la pérennité de votre entreprise dans un paysage numérique de plus en plus complexe et dangereux. Les 3 points importants d’une assurance Cyber risques sont : proposer une protection des actifs, limiter les risques liés aux cyber attaques, offrir un soutien pour réduire les coûts.

L’assurance cybersécurité et hacking joue un rôle crucial dans la protection de votre entreprise contre les risques cyber. Les données et les systèmes informatiques sont des actifs numériques précieux. L’assurance cybersécurité est conçue pour garantir que, en cas de cyberattaque ou de violation de données, vos actifs sont protégés, réduisant ainsi les pertes potentielles et préservant la continuité de vos opérations.

De plus, cette assurance est un moyen efficace de minimiser les risques liés aux cyberattaques. Face à des cybercriminels de plus en plus organisés, les entreprises de toutes tailles sont vulnérables. L’assurance cybersécurité offre un filet de sécurité financier en cas de cyberattaque, de rançongiciel ou de vol de données, vous permettant de gérer les conséquences d’une attaque tout en maintenant la confiance de vos clients et partenaires.

Enfin, elle apporte un soutien précieux pour réduire les coûts associés aux incidents de sécurité. Les dépenses liées à la restauration des systèmes, à la communication avec les parties prenantes, à la gestion des relations publiques et aux éventuelles amendes réglementaires peuvent être considérables. Une assurance cybersécurité intervient pour couvrir ces coûts, allégeant ainsi la charge financière sur votre entreprise, vous laissant concentrer vos ressources sur la résolution des problèmes plutôt que sur la gestion des dépenses imprévues.

Face à une tendance alarmante, les assureurs ont adapté leur offre avec deux mesures principales impactant directement le fonctionnement de vos assurances :

• La création de contrats d’assurance dédiés aux risques de Cyber sécurité, avec certains prérequis en matière de sécurité informatique permettant d’éviter d’assurer les entreprises négligentes en la matière.
• L’ajout systématique d’exclusion des sinistres Cyber sur tous les autres contrats d’assurance.

Par conséquent, les entreprises doivent impérativement souscrire un contrat d’assurance Cyber, ou une extension de garanties Cyber sur leur contrat d’assurance de Responsabilité Civile, faute de quoi elles n’ont aucune protection financière en cas de faille de sécurité informatique.

Pour les entreprises du secteur du numérique, mais également électronique et robotique (dont les produits sont le support d’un service numérique), la cybersécurité est une composante essentielle du service numérique et est donc indissociable de votre Responsabilité Civile Professionnelle. Pour cette raison, afin de garantir une parfaite couverture, nous avons développé une offre sur-mesure combinée RC Professionnelle + Cyber qui élimine le risque de refus de garanties ou de cumul de garanties.  

Pour les autres secteurs d’activité, les risques étant dissociés nous privilégions un contrat d’assurance Cyber dédié à ces risques vous permettant un coût adapté et sur mesure à votre secteur d’activité. 

L’assurance de Responsabilité Cyber est indissociable de l’assurance RC professionnelle ou RC Après Livraison pour les entreprises technologiques et innovantes. Lorsqu’un préjudice résultant de votre technologie numérique est subi par votre client ou un tiers, l’attribution exclusive de cet incident à une faille de sécurité informatique ou son élimination complète peuvent devenir des tâches complexes. 

Afin d’éviter toute interprétation en votre défaveur par l’un ou l’autre assureur, nous recommandons vivement de garantir la Responsabilité civile Cyber sur votre contrat d’assurance RC professionnelle ou RC Après Livraison pour les entreprises technologiques et innovantes. C’est la raison pour laquelle notre contrat RC Technologies + Cyber inclut la RC Cyber automatiquement et sans aucune prime complémentaire, contrairement à la plupart des contrats du marché.

L’assurance de Cyber Dommages, aussi appelé Garanties Cyber ou Atteintes à la Technologie et aux Communications, est une garantie qui couvre le préjudice subi par votre société. En théorie, il est dissociable de la garantie RC professionnelle ou RC Après Livraison, en revanche il est vivement recommandé de ne pas la dissocier de la garantie RC Cyber car un même incident peut causer à la fois un préjudice à votre société, mais aussi à des tiers comme vos clients ou vos utilisateurs.

La fréquence et la gravité des attaques Cyber n’a cessé d’augmenter ces dernières années, entrainant un accroissement important de la sinistralité chez tous les assureurs du marché. Pourtant, un minimum de prévention permet de réduire considérablement le risque de faille de sécurité informatique. C’est pour cette raison que nous avons fixé quatre prérequis afin de bénéficier de la Garantie Cyber, Atteintes à la Technologie et aux Communications de notre contrat d’assurance RC Technologies + Cyber :

• Sauvegarder vos données au moins une fois par mois sur un support externe (Cloud, serveur hébergé, disque externe, …). Une fois la sauvegarde effectuée, nous recommandons que cette sauvegarde soit également déconnectée de votre système d’information.
• Installer régulièrement les mises à jour des logiciels / systèmes d’exploitation que vous utilisez, et disposer des licences correspondantes.
• Gérer les droits informatiques de vos employés. C’est à dire limiter physiquement et électroniquement l’accès aux informations sensibles afin de vous assurer qu’aucune autorisation accordée dépasse les responsabilités professionnelles de l’employé. Il est nécessaire de révoquer immédiatement les privilèges d’accès lorsque cela est nécessaire, notamment lorsqu’un collaborateur quitte l’entreprise.
• Mettre en place l’authentification à deux facteurs lorsque l’accès à distance à votre réseau d’entreprise est autorisé. L’authentification à distance prévoit généralement au moins un Login + Mot de passe, auquel il faudra impérativement ajouter un facteur supplémentaire, par exemple un jeton VPN, un code temporaire par SMS, une adresse IP authentifiée, ou tout autre authentification additionnelle.

Si vous respectez les prérequis, vous êtes éligibles à l’assurance Cyber Dommages dont le tarif est calculé sur les 3 mêmes critères que l’assurance RC professionnelle / RC Après Livraison :

• La nature de votre activité, chaque activité étant associée à un coefficient de pondération selon sa criticité ;
• La tranche dans laquelle se trouve le montant de votre chiffre d’Affaires ;
• Le montant de la garantie Cyber Dommages.

Un élément essentiel entre en jeu dans la prime des assureurs : les coûts administratifs. Chez ONLYNNOV, nous avons considérablement réduit les coûts administratifs de notre assurance Cyber en automatisant intégralement la souscription du contrat. Cette automatisation vous permet d’une part d’obtenir un tarif d’assurance en ligne, d’autre part de limiter nos coûts de gestion. Nos courtiers experts peuvent ainsi se concentrer sur leur activité de conseil et d’accompagnement en vous garantissant d’être 100% disponibles.

Grâce à notre expertise et notre appel d’offres auprès des meilleurs assureurs pour les entreprises technologiques et innovantes, nous avons conçu un contrat d’assurance ultra sécurisant et simple à souscrire :

• Votre tarif s’affiche en seulement 3 questions ;
• Notre algorithme très puissant vous affiche les conseils personnalisés de nos experts ;
• Votre devis est accessible en 2 minutes ;
• Vous pouvez immédiatement payer, signer votre contrat et recevoir votre attestation par courriel.

Une fois assuré, vous avez également accès à notre extranet client qui vous offre de nombreuses fonctionnalités :

• Accéder à tous vos contrats d’assurance gérés par ONLYNNOV ;
• Télécharger vos attestations et vos factures ;
• Déposer les documents attendus pour compléter votre dossier ;
• Déclarer vos sinistres et suivre leur évolution en temps réel ;
• Demander de nouveaux devis sur toutes les assurances dont votre entreprise peut avoir besoin ;
• Contacter nos experts pour des conseils ou des services sur mesures.

Astuce : vous pouvez regrouper tous vos contrats d’assurance existants auprès d’ONLYNNOV et les retrouver dans votre espace personnel.

Notre contrat d’assurance cyber risques vous couvre bien évidemment en France mais pas seulement. Comme les entreprises innovantes et technologiques sont souvent internationales, notre contrat couvre tous vos exports dans le monde entier. Pour les entreprises technologiques, notre contrat RC Technologies + Cyber couvre également toutes vos filiales dans le monde entier, y compris aux USA et au Canada, sans aucun surcoût. 

La sécurisation des données est une préoccupation majeure pour toute entreprise. Voici 3 moyens à mettre en place pour sécuriser vos données et limiter les risques cyber.

• Evaluer régulièrement les logiciels et l’infrastructure informatique utilisés au sein de l’organisation. Cela implique de s’assurer que tous les systèmes et applications sont à jour avec les derniers correctifs de sécurité, de mettre en place des politiques de gestion des mots de passe robustes, et de surveiller activement tout comportement anormal sur le réseau. Cette évaluation continue garantit que votre infrastructure est à la hauteur des dernières menaces et vulnérabilités.
• L’identification et la priorisation des vulnérabilités sont également cruciales. Cela nécessite une analyse minutieuse des systèmes pour repérer les failles potentielles, puis de classer ces vulnérabilités en fonction de leur niveau de risque. Une fois les priorités établies, des mesures de sécurité ciblées peuvent être mises en place pour corriger ces vulnérabilités. Cela peut inclure la configuration de pare-feu, la mise en œuvre de solutions de détection des intrusions, ou encore la formation des employés sur les pratiques de sécurité informatique.
• Enfin, il est impératif d’adopter des mesures de sécurité renforcées pour protéger vos données sensibles. Cela comprend par exemple le chiffrement des données, la mise en place de politiques d’accès strictes, et l’instauration de plans de continuité d’activité et de reprise après sinistre. De plus, la sensibilisation des employés à la sécurité des données joue un rôle essentiel. Les politiques de sécurité doivent être claires et appliquées de manière rigoureuse dans toute l’entreprise pour garantir la protection adéquate des données contre les menaces internes et externes.

De plus en plus d’entreprises investissent dans leur Cyber Sécurité et certaines se dotent même d’un Responsable de la Sécurité Informatique ou Responsable de la Sécurité des Systèmes d’Information (RSSI), notamment dans les entreprises technologiques et innovantes. Cette démarche est excellente pour accroitre le niveau de sécurité informatique et se protéger contre les cyberattaques. Malheureusement, la plupart des entreprises n’ont aucune expérience en gestion de crise à la suite d’une faille de sécurité informatique ou de cyber attaque. 

 Pour vous aider face à ces situations de crise, ONLYNNOV met à votre disposition une infrastructure d’assistance complète pour vous aider à prendre les bonnes décisions et mettre en place les actions les plus efficaces en cas de faille de sécurité informatique : 

• Expertise technique pour vous aider à analyser les failles et y remédier ;
• Investigation numérique, aussi appelé Forensic ou Cyber Threat Intelligence (CTI) : Il s’agit d’une recherche de fuite de données sur les sources ouvertes (darknet, deepweb, surfaceweb) pour évaluer la gravité d’une faille de sécurité et bâtir une stratégie de gestion de crise appropriée ;
• Connaissance de l’écosystème des hackers avec notamment des outils de scoring permettant de dresser le profil de vos attaquants et d’adapter la stratégie de réponse (paiement de rançon ou non par exemple) ;
• Consultants en communication de crise pour vous aider à ajuster vos messages vis-à-vis de vos clients, vos utilisateurs, et tout autre canal de communication approprié ;
• Avocats pour aider votre entreprise dans sa communication avec les autorités de contrôle et dans la défense de vos intérêts vis-à-vis de tous les autres tiers impliqués.

 Si votre entreprise est victime d’une attaque Cyber et que vous vous demandez quoi faire dans l’immédiat, cet article liste plusieurs démarches de secours qui peuvent être particulièrement utiles. 

Les cyberattaques sont généralement réalisées à l’aide de logiciels malveillants ou de techniques de réseaux, et peuvent être conçues pour infiltrer des ordinateurs individuels, des réseaux entiers ou des systèmes cloud. Les conséquences possibles d’une cyberattaque peuvent aller de l’interruption des services numériques aux menaces pour la vie privée ou pour la sécurité nationale. Les cyberattaques peuvent prendre différentes formes en fonction de l’objectif du cybercriminel :

• Le Ransomware (ou rançongiciel) est un logiciel malveillant qui vise à chiffrer les données sur un ordinateur voire tout un système informatique. Une fois ces données chiffrées et inaccessibles pour les utilisateurs légitimes, les cybercriminels exigent une rançon afin de restaurer les données. Afin de garantir un paiement intraçable, le hackeur exige habituellement un paiement en cryptomonnaie comme le Bitcoin.

• La violation de données, ou compromission de données, est un incident de sécurité informatique où des données sensibles, confidentielles ou personnelles sont illégalement utilisées par les cybercriminels. Ces données sont généralement utilisées à des fins de fraude aux paiements électroniques ou de revente.

Les conséquences des cyberattaques sont graves et impactent directement le fonctionnement de l’entreprise : perte de confiance de vos clients, sanctions réglementaires, pertes financières ou encore poursuites judiciaires. Pour minimiser les risques de violations de données, il est essentiel de mettre en place des mesures de sécurité solides, telles que la cryptographie, l’authentification à deux facteurs, la formation des employés sur la sécurité informatique et la surveillance constante des activités suspectes sur les réseaux et les systèmes.

La réglementation concernant l’assurance cyber-risques est en constante évolution, tant au niveau national qu’européen, pour mieux répondre aux défis croissants liés à la cybersécurité. En France, la Loi LOPMI, loi d’orientation et de programmation du ministère de l’intérieur, a introduit des dispositions spécifiques en matière de cybersécurité. Elle fixe notamment le régime juridique applicable et conditionne le versement d’une indemnité couvrant des pertes et des dommages causés par un piratage informatique à un dépôt de plainte. Cette disposition est importante pour les entreprises et les institutions, car elle leur permet de disposer d’un recours en cas d’attaque cyber.

 Depuis le 25 avril 2023, les assurés personnes morales et les assurés personnes physiques dans le cadre de leur activité professionnelle sont dans l’obligation de porter plainte dans les 72 heures suivant la connaissance de l’incident cyber, y compris pour les attaques avec demande de rançon, pour pouvoir mettre en œuvre les garanties et bénéficier du droit à indemnisation prévu au contrat. Cette mesure vise à renforcer la résilience du secteur face aux cybermenaces. 

 Au niveau européen, plusieurs directives ont été adoptées pour harmoniser la réglementation sur la cybersécurité. La Directive NIS (Network and Information Systems Directive) impose des obligations similaires à celles de la Loi LOPMI aux opérateurs de services essentiels et aux fournisseurs de services numériques dans l’ensemble de l’Union européenne. Elle encourage également la coopération entre les États membres pour renforcer la cybersécurité à l’échelle européenne. 

De plus, le Règlement GDPR (General Data Protection Regulation ou RGPD en français) de l’UE introduit des exigences strictes en matière de protection des données personnelles, ce qui a un impact significatif sur les assurances cyber-risques. Les entreprises traitant des données personnelles doivent prendre des mesures de sécurité adéquates et sont tenues de notifier les violations de données à l’autorité de contrôle compétente et aux personnes concernées.

Pour de plus amples informations, il est recommandé de consulter les pages officielles des autorités compétentes et des organismes réglementaires.