FAQ Cyber-sécurité

Une assurance cybersécurité, également nommée assurance-cyber ou cyberassurance, est un contrat d’assurance dont la vocation est de protéger une entreprise ou un particulier contre les risques informatiques (« cyber crime » ou « cyber menace ») et de l’aider à faire face aux conséquences d’une cyberattaque (« cyber résilience »).

Une attaque cyber est un acte de piratage informatique sur les systèmes d’information afin de récupérer, voler, bloquer ou divulguer frauduleusement des informations.

La cyber-résilience fait référence à la capacité d’une entité à maintenir son activité comme escompté, en dépit de cyber-événements indésirables. En amont d’un incident, la résilience se matérialise généralement par des sauvegardes régulières et la mise en place d’un plan de continuité d’activité. Pendant une attaque cyber, elle s’opère via une cellule de crise et des échanges avec les autorités et les assureurs. La cyber-résilience est une perspective en évolution qui gagne rapidement en reconnaissance.

La cyber protection est l’ensemble des moyens techniques et juridique qui permettent d’assurer la cyber sécurité et la protection des données personnelles.

Les risques cyber rencontrés dépendent fortement de la cible visée. Pour les petites entreprises, le phishing, le ransomware et l’attaque par déni de service sont très présents. Pour les particuliers, ce sont les usurpations d’identité, le harcèlement, la cyber extorsion…

Une cyber assurance ne couvre pas les dommages matériels mais les malveillances informatiques et les erreurs humaines. En cas d’incident, la couverture de l’assureur vous permet un accompagnement en dépêchant des experts, elle vous dédommage en cas de dégâts ou de perte d’exploitation, et contribue à mener les poursuites légales. Les cyber assurances proposent toutes des garanties spécifiques à chaque contrat, regroupées au sein de catégories : dommage, perte, fraude, responsabilité civile, usurpation d’identité.

Dans un premier temps, l’entreprise va effectuer une cartographie de ses risques, analyser ses vulnérabilités et évaluer ses enjeux. En fonction de l’exposition au risque cyber, l’entreprise va ensuite arbitrer rationnellement entre les dépenses de prévention et protection et celles du transfert
du risque à l’assurance. En cas de cyberattaque couverte par l’assurance, l’entreprise pourra faire appel aux experts de l’assureur (« prestataires de réponses à incidents de sécurité ») et éventuellement demander des dédommagements à hauteur de sa couverture. La cyber assurance est là pour couvrir ce que la prévention n’a pu éviter.

L’assurance cyber est un produit encore récent, il n’existe pas de standard de marché. Parce que c’est un outil complexe et qui requiert une véritable expertise, il est judicieux de recourir aux services d’un courtier d’assurance au fait des enjeux de sécurité numérique pour votre organisation. Il établira un diagnostique de vos forces et faiblesses et vous rapprochera de l’assureur le plus pertinent sur les aspects prévention, assistance, couverture des opérations et couvertures de la responsabilité.

Certaines assurances dommage IARD ou RC classiques ne comprennent pas d’exclusion des risques numériques. Il s’agit d’une couverture « silencieuse ». Une assurance spécifique aux risques informatiques, dite « assurance cyber », peut couvrir la cyber sécurité en cas de défaillance, si vous avez souscrit aux garanties adéquates. Sa vocation est de mener une prévention sur les risques numériques auprès de l’assuré, puis de l’accompagner en cas d’attaque par des cyber criminels ou pirates informatiques.

Toutes les grandes compagnies d’assurance couvrent le risque numérique aujourd’hui. Néanmoins, l’assurance cyber est un produit encore récent, il n’existe pas de véritable standard de marché. Les polices cyber sont encore trop générales, avec de nombreuses exclusions peu claires et non adaptées.

Les cyber assurance regroupent généralement les garanties sous les rubriques principales suivantes : dommage, perte, responsabilité civile. Certaines assurances incluent également la fraude et l’usurpation d’identité. Le marché de l’assurance cyber n’étant pas homogène, il est conseillé de se faire accompagner par un courtier qui sera à même de comparer les assurances en fonction de votre profil.

Le marché de la cyber assurance est en pleine expansion, en lien avec un nombre d’attaques et d’incidents chaque année plus nombreux. Le total des pertes par les entreprises touchées s’élève à 1,6 milliards € en 2020. En comparaison, ce chiffre s’établissait à 1,1 milliards d’euros l’année précédente. L’impact financier pour les entreprises ciblées a presque été multiplié par six en un an, pour s’établir à un coût médian de 50 000€. Les coûts médians des cyber-évènements ont été de 52 000 euros en 2020 (vs 9 000 en 2019 et 2018).

Il existe peu de données sur le marché de la cyber-assurance en France. Cependant, les dépenses moyennes en cyber-sécurité des entreprises françaises ont augmenté de 1,9 M€ en 2019 à 2,8 M€ en 2020, suggérant que les entreprises prennent la menace cyber plus au sérieux qu’avant. Dans ce contexte, 23% des entreprises ont déclaré avoir souscrit une police d’assurance spécialisée d’après Hiscox, loin derrière l’Irlande à 38% ou les Etats-Unis à 33%.

60% des particuliers se sentent exposés au risque de criminalité (enquête PwC). Dans ce contexte, les assureurs ont développé des cyber assurance sur-mesure pour les particuliers, incluant une protection juridique, une protection des comptes bancaires et achats en ligne, et une restauration des données.

Le panel étendu de menaces cyber pour un professionnel implique des couvertures et des garanties bien plus larges que pour un particulier, à l’instar d’une assurance responsabilité civile professionnelle par rapport à une particulière. En outre, les réglementations obligatoires pour les entreprises sont plus strictes pour les entreprises (par exemple, la RGPD). Pour les indépendants et les professions libérales, la meilleure couverture doit être choisie au cas par cas en fonction de l’activité et des risques cyber afférents.

Si vous avez une assurance cyber, vérifiez bien que vous respectez les exigences de votre assureur (antivirus payant, sauvegarde régulière, …) et que le montant garanti est en cas d’attaque vous octroiera une résilience exhaustive. Attention, certains assureurs ne sont pas équipés pour vous proposer des garanties satisfaisantes sur la fraude et les usurpations d’identité. Enfin, tâchez d’avoir en tête l’ensemble des exclusions, particulièrement nombreuses dans les contrats assurance cyber.

Il n’existe pas de fourchette de prix standard pour un contrat d’assurance cyber. En effet, selon votre situation et le montant à couvrir, le prix peut facilement doubler ou tripler. Les principaux critères influençant le prix d’une assurance cyber professionnelle sont les suivants : secteur d’activité, chiffres d’affaires, garanties souhaitées, maturité de l’organisation

Il n’y a pas un assureur ou une assurance qui soit supérieur à une autre. Le choix de la meilleur cyber assurance se fera notamment en fonction de votre situation, des garanties souhaitées, des prérequis et exigences contractuelles, et du montant à couvrir en cas d’incident.

L’assurance cyber est un produit encore récent, il n’existe pas pour le moment de véritable standard de marché. Il est donc très difficile de comparer les différentes offres. Cependant, CYCOVER a développé le premier comparateur d’assurances cyber, en fonction des spécificité inhérentes à l’activité de chacun. En fonction des objectifs recherchés, CYBER-I est en mesure de proposer un comparatif des assurances cyber sur le marché.

Seul CYCOVER a développé un comparateur automatisé des cyber assurances aujourd’hui, afin de proposer la meilleure protection cyber. Par ailleurs, vous pouvez vous tourner vers votre assureur ou des courtiers qui vous proposeront leurs offres dans un panel plus réduit.

Sur CYCOVER, vous pouvez faire une simulation simplement en quelques clics. Il suffit de renseigner les caractéristiques propres à votre situation et de sélectionner les garanties souhaitées. Vous pouvez également vous faire accompagner par des experts spécialisés à chaque étape du processus.

En premier lieu, contactez votre partenaire courtier ou assureur pour déclarer le sinistre, ils sauront vous accompagner. Tenez-le informé de toute décision qui pourrait avoir un impact sur la gestion de l’incident. Ensuite, portez plainte, sur les fondements du Code Pénal et le Code Monétaire et Financier. N’hésitez pas à récolter des preuves numériques grâce à des constatations techniques réalisées par un spécialiste en cybercriminalité nommé par les services de Police.

Conformément à l’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Les attaques les plus fréquentes sont les dénis de service, les cryptologiciels (de l’anglais “crypotlockers”) et rançongiciels (de l’anglais “ransomwares”) ainsi que les logiciels malveillants (de l’anglais “malware”).

Une attaque par déni de service (ou attaque par déni de service distribué – de l’anglais DDoS “Distributed Denial of Service” – est une forme d’attaque qui consiste à saturer les capacités de traitement d’un système d’information ou d’un site internet à partir d’autres machines préalablement infectées.

Il s’agit d’un programme malveillant qui va crypter les données d’un système d’information. La clé de décryptage est obtenue contre paiement d’une somme, le plus souvent sous forme virtuelle (bitcoins).

Les logiciels malveillants sont des programmes qui vont affecter le fonctionnement d’un système d’information. Ils peuvent être désignés sous le nom de virus, vers, chevaux de Troie…

Les IDS (Intrusion Detection System) et SIEM (Security Information and Event Management) permettent de visualiser en temps réel l’état des composants du système d’information, les journaux d’événements, ainsi que les flux entrants, sortants et même internes afin de détecter de potentielles attaques ou défaillances. Les scanners de vulnérabilités permettent une approche active via l’utilisation d’outils automatisés permettant l’identification de vulnérabilités sur les composants du système d’information. Cette identification permet de corriger les failles, avant qu’elles ne soient exploitées par une menace. Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système d’information au travers d’outils de collecte, de corrélation d’événements et d’intervention à distance.

Non. Selon les cibles qu’ils visent, les hackers peuvent également s’en prendre à votre informatique de gestion comme la comptabilité, les fichiers du personnel ou encore à votre informatique de process (automates…), voire à vos installations de sécurité et de sûreté.

Si les données entrantes et sortantes de votre système d’information ne sont pas cryptées avec un niveau de sécurité suffisant, elles deviennent très facilement accessibles notamment via le wifi et le Bluetooth. Les objets connectés augmentent les voies d’accès aux données et aux systèmes d’information de l’entreprise, et donc les failles que des hackers peuvent exploiter.

BYOD est l’acronyme de “Bring Your Own Device” en anglais. Il peut se traduire par «apportez vos appareils personnels». Cela consiste à utiliser ses équipements personnels pour des usages professionnels. Ce mélange de la sphère personnelle – présumée moins bien protégée et en tout état de cause hors du contrôle de l’entreprise – et de la sphère professionnelle multiplie les risques. Le BYOD augmente les moyens d’accès aux données et aux systèmes d’information de l’entreprise, et donc les failles que des hackers peuvent exploiter.

Le Cloud computing ou Cloud est l’exploitation de systèmes d’information distants par l’intermédiaire d’un réseau et notamment internet. Il s’agit d’hébergement de données sur des applicatifs distants. Cette externalisation par l’entreprise de données ou de tâches est susceptible de compromettre sa maitrise sur celles-ci. L’entreprise se doit d’analyser les risques de cette externalisation ainsi que les conditions et outils nécessaires pour garantir le niveau de confiance et de sécurité attendu de l’entreprise prestataire.

La France possède un arsenal juridique complet dans les domaines liés à la cybercriminalité qui définit notamment des infractions spécifiques aux technologies de l’information et de la communication :

• Art 323-1 à 323-7 du Code Pénal : Les atteintes aux systèmes de traitement automatisé de données (accès ou maintien frauduleux, entrave au fonctionnement, détention de matériel ou logiciel spécifique, groupement formé ou entente établie).
• Art 226-16 à 226-20 du Code Pénal : Les infractions à la loi n°78-17 du 6 janvier 1978 relative àl’informatique, aux fichiers et aux libertés (collecte frauduleuse, traitement de données à caractère personnel, usurpation d’identité numérique).
• Art. L163-3 à L163-12 du Code Monétaire et Financier : Les infractions aux cartes bancaires (contrefaçon, falsification de moyens de paiement, détention de matériel ou logiciel spécifique).
• Art. 434-15-2 du Code Pénal : Les infractions au chiffrement (refus de remettre une clé de déchiffrement ou de la mettre en œuvre).
• Art. 226-1 à 226-4 du Code Pénal : Violation de la vie privée par captation à l’aide d’un dispositif technique, divulgation publique d’un enregistrement de la vie privée, conception, importation, location, détention, offre, d’outils de captation de la vie privée et des correspondances.

Créée en 2009, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle accompagne les administrations, les acteurs économiques et le grand public dans la transition numérique et participe à la protection et à la défense du potentiel économique de la Nation tant au niveau central qu’au niveau local. Elle est également chargée de la promotion des technologies, de systèmes et de savoir- faire nationaux qui contribuent au développement de la confiance dans le numérique en France et en Europe. Depuis l’adoption de la Directive Network and Information System Security (NIS), l’ANSSI est l’autorité qui travaille en collaboration avec le Premier Ministre pour désigner les OSE. Par ailleurs, elle est l’autorité compétente à contacter lorsque les OSE, OIV et FAI sont victimes d’une violation de leurs systèmes d’informations.

Instaurée par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur de l’utilisation des données personnelles. Cette autorité administrative indépendante a vocation à s’assurer de la protection et de la bonne gestion des données à caractère personnel en accompagnant les entreprises ainsi que les particuliers dans l’utilisation des nouvelles technologies. Avec l’adoption du RGPD, la CNIL est l’autorité compétente nationale à contacter en cas de violation de données personnelles. Pour une régulation harmonisée de l’activité de traitement des données à caractère personnel, la CNIL travaille en collaboration avec ses homologues européens (G29), remplacé par « Le Comité Européen de la Protection des Données (EDPB) » et internationaux.

Cybermalveillance.gouv.fr, issu de l’ANSSI, est un dispositif gratuit d’assistance aux victimes de cybermalveillance. Cet organisme regroupe l’ensemble des professionnels du secteur et poursuit trois objectifs principaux :

1. Mettre en relation les victimes (particuliers, entreprises et collectivités territoriales) d’incidents avec des prestataires informatiques qui pourront réparer leurs systèmes;
2. Mettre à disposition de tous, des outils pédagogiques de prévention des risques numériques;
3. Mettre en place un observatoire des risques numériques afin de mieux les anticiper, les comprendre et les combattre.

Définie dans le guide de l’AMRAE-ANSSI, ce positionnement préconise à chaque organisation d’adopter une démarche de précurseur en cybersécurité autour de son écosystème (clients, investisseurs, partenaires, fournisseurs) en poussant chaque partie prenant à devenir un tiers de confiance numérique notamment par une homologation des services numériques critiques. Par ce biais, l’organisation peut développer son avantage concurrentiel, aborder de nouveaux marchés, générer de la croissance et faire évoluer positivement et stratégiquement son image.