Accueil La cyber-assurance

La cyber-assurance

L’assurance cyber couvre les risques que l’entreprise n’a pas pu, ou n’a pas voulu, traiter par elle-même. C’est finalement l’externalisation du risque !

 

Le rôle de l’assurance, qu’elle soit cyber ou non, consiste à prendre à sa charge un risque résiduel. Dans le cas d’une assurance dite « cyber » il s’agira alors d’un risque résiduel d’intrusion ou de vol de données qui n’aura pas pu être intégralement traité par les mesures techniques ou organisationnelles mises en oeuvre dans le cadre de la politique de sécurité.

Des contrats très spécifiques

Un contrat d’assurance cyber est souvent très spécifique à l’entreprise, et sa souscription exige donc une implication plus forte non seulement de la part du DSI et du RSSI, mais également du Risk Manager, du responsable assurances, du CIL (et bientôt Data Privacy Officer !), et potentiellement du responsable juridique ou de la RH. Il s’agit donc d’un projet très engageant qui doit être mené comme tel, notamment en créant une équipe pluridisciplinaire dédiée pour le mener à bien.

L’étape la plus structurante d’un tel projet est de loin la réponse au questionnaire d’assurance : l’entreprise va devoir y exposer son organisation et préciser à la fois les mesures de protection existantes mais aussi ses plans de réponse en cas de sinistre. C’est pourquoi bien que nous ayons choisi de placer cette étape assurantielle en début de processus, durant la phase d’organisation, elle exige toutefois qu’un premier travail de fond ait déjà été réalisé, tant en matière de cartographie des risques que de réponse aux incidents.

Idéalement, et puisque nous présentons la sécurité telle un processus itératif, le volet assurantiel sera donc traité au second passage par cette phase d’organisation.

Une couverture en trois volets

En cas de déclenchement d’une crise, le contrat d’assurance cyber couvrira l’entreprise sur trois volets principaux :

  • Tout d’abord en prenant en charge les frais de réponse à incident et de gestion de crise (honoraires de consultants et de prestataires dans les domaines légaux, forensiques, de la communication, etc.).
  • Ensuite un second volet pourra être activé en cas de réclamation de tiers à l’encontre de l’entreprise, qu’il s’agisse de clients ou d’employés. Celle-ci, en effet, pourra être mise en cause pour négligence ou non-respect de ses obligations légales et devra répondre juridiquement, ce qui entraînera des frais.
  • Enfin, l’assurance pourra prendre à sa charge les frais supplémentaires induits par la poursuite de l’activité durant le sinistre, tels que la location de nouveaux locaux, de nouveaux équipements informatiques, le recours à des sous-traitants pour tenir ses engagements, etc.

A noter : le contrat d’assurance pourra également prendre en charge les frais spécifiques liés à une attaque par un ransomware, qu’il s’agisse de rembourser les frais d’un consultant en sécurité chargé de négocier avec les pirates, ou bien la rançon elle même (y compris les frais bancaires si l’entreprise a dû emprunter !). Bien entendu, et à la suite des grandes campagnes de ransomware durant 2017, ces primes spécifiques peuvent être élevées tant le risque est désormais fort.

Des clauses secrètes

Certaines clauses d’une police de cyber assurance doivent rester secrètes sous peine d’être nulle. C’est notamment le cas de la clause de protection contre les ransomwares (clause de cyber extorsion). Cela implique, pour l’entreprise, d’être en mesure de créer un groupe de travail « cyber-assurance » dont l’activité restera secrète vis-à-vis des autres collaborateurs. Seules les personnes-clés de l’entreprise pourront être mises au courant et généralement seulement au moment du déclenchement de la crise.

Au moment de la crise l’assureur sera souvent le premier partenaire extérieur alerté. Il permettra à l’entreprise de bénéficier d’une assistance immédiate pour la suite des opérations. Viennent ensuite généralement le temps des notifications légales, par exemple auprès de la CNIL s’il s’agit d’un vol de données personnelles ou des autorités si l’entreprise jouit d’un statut particulier (Opérateur d’Importance Vitale, entreprise de défense, etc.).

Dans tous les cas, l’assureur sera impliqué dès le début de la crise et jusqu’à sa résolution, ce qui en fait un partenaire de premier plan de l’entreprise. A ne pas négliger, donc!

 


(Remerciements à Laure Zicry, spécialiste de la cyber-assurance,
pour son aide dans la rédaction de cet article).