Cyber assurance : couvrir les cyber risques

Notre assurance cyber 3iS couvrent les TPE et PME contre les cyber risques et leurs conséquences financières.
Avec 3iS, réduisez le stress d'une cyber-attaque potentielle ou dun cyber-.sinistre

Garantie Cyber Dommage

Notre assurance cyber-criminalité couvre les cyber-dommages de virus, piratage... Pas de perte dexploitation !

Des experts de la sécurité

Pour faire un audit ou en cas d'attaque : une équipe d'experts de la sécurité informatique sont à vos côtés.

Votre Cyber-Responsabilité

Pour couvrir les atteintes à la donnée d'autrui (RGPD, piratage de données personnelles...).

Évaluez vos cyber-risques

TPE, PME, Indépendants... Les piratages informatique et le vols de données n'est pas réservé aux grandes entreprises. Votre site internet, votre logiciel de comptabilité, votre compte e-mail sont autant de portes d'entrée pour des pirates informatiques.

Qu'est-ce qu’une cyber assurance et pourquoi vous en avez besoin ?

L'assurance cybernétique ne peut pas protéger votre organisation contre la cybercriminalité, mais elle peut maintenir votre entreprise sur une base financière stable si un événement de sécurité important se produit.

La technologie, les médias sociaux et les transactions sur Internet jouent un rôle clé dans la façon dont la plupart des organisations font du business et rejoignent des clients potentiels aujourd'hui. Ces véhicules servent également de passerelle vers les cyberattaques. Qu'elles soient lancées par des pirates informatiques ordinaires, des criminels, des initiés ou même des États nations, les cyberattaques sont susceptibles de se produire et peuvent causer des pertes modérées à graves pour les organisations, grandes et petites. Dans le cadre d'un plan de gestion des risques, les organisations doivent régulièrement décider quels risques à éviter, accepter, contrôler ou transférer. C'est dans le transfert des risques que la cyber assurance entre en jeu.

Qu'est-ce que la cyber assurance ?

Une police d'assurance cyber assurance, aussi appelée assurance cyber-risque ou assurance cyber-responsabilité (CLIC), est conçue pour aider une organisation à atténuer l'exposition au risque en compensant les coûts liés à la récupération après une atteinte à la sécurité cybernétique ou un événement similaire. Avec ses racines dans l'assurance erreurs et omissions (E&O), la cyber assurance a commencé à se répandre en 2005, la valeur totale des primes devant atteindre 7,5 milliards de dollars d'ici 2020. Selon PwC, environ un tiers des entreprises américaines achètent actuellement un certain type de cyber assurance.

Les chiffres indiquent que les organisations voient un besoin de cyber assurance, mais que couvre-t-elle ? L'assurance cybernétique couvre généralement les dépenses liées aux premières parties ainsi que les réclamations de tiers. Bien qu'il n'existe aucune norme pour la souscription de ces polices, les frais suivants sont des frais remboursables courants :

  • Enquête : Une enquête est nécessaire pour déterminer ce qui s'est produit, comment réparer les dommages et comment empêcher le même type de brèche de se produire à l'avenir. Les enquêtes peuvent faire appel aux services d'une entreprise de sécurité tierce, ainsi qu'à la coordination avec les organismes d'application de la loi.
  • Pertes de chiffre d'affaires : Une police d'assurance cybernétique peut inclure des éléments similaires qui sont couverts par une police erreurs et omissions (erreurs dues à la négligence et autres raisons), ainsi que les pertes monétaires subies par les temps d'arrêt du réseau, les interruptions d'activité, la récupération des pertes de données et les coûts impliqués dans la gestion d'une crise, ce qui peut impliquer la réparation de dommages à la réputation.
  • Confidentialité et notification : Cela comprend les avis d'atteinte à la protection des données aux clients et aux autres parties concernées, qui sont exigés par la loi dans de nombreuses juridictions, et la surveillance du crédit pour les clients dont les renseignements ont été ou pourraient avoir été violés.
  • Poursuites judiciaires et extorsion : Cela comprend les frais juridiques associés à la divulgation de renseignements confidentiels et de propriété intellectuelle, les règlements juridiques et les amendes réglementaires. Cela peut également inclure les coûts de cyber extorsion, par exemple les coûts des logiciels de rançon.
  • Gardez à l'esprit que la cyber assurance est toujours en évolution. Les risques cybernétiques changent fréquemment, et les organisations ont tendance à ne pas signaler toutes les répercussions des violations afin d'éviter une publicité négative et de nuire à la confiance des clients. Ainsi, les souscripteurs disposent de données limitées pour déterminer l'impact financier des attaques. Essentiellement, le risque réel de cyberattaques n'est pas complètement compris.

    Ce qu'il faut rechercher en tant qu'acheteur d'assurance cybernétique

    Beaucoup de compagnies d'assurance bien connues offrent des polices d'assurance cybernétique, comme Allianz, Chubb Philadelphie et Travelers, pour n'en nommer que quelques-unes. Les observateurs de l'industrie de l'assurance croient que les clients s'attendront bientôt à ce que la cyber assurance fasse partie de la gamme de produits de tous les assureurs d'entreprises. Cependant, comme toute assurance d'entreprise, la couverture d'assurance cybernétique varie selon l'assureur et la police.

    Lorsque vous comparez les polices d'assurance entre assureurs, vérifiez si elles couvrent tous les éléments énumérés dans la section précédente et renseignez-vous sur les circonstances spéciales et les limites suivantes :

  • La compagnie d'assurance offre-t-elle un ou plusieurs types de cyber-polices ou la couverture est-elle simplement une extension d'une police existante ? Dans la plupart des cas, une politique autonome est la meilleure et la plus complète. Découvrez également si la politique est personnalisable pour une organisation.
  • Quelles sont les franchises ? Assurez-vous de comparer étroitement les franchises entre les assureurs, tout comme vous le faites avec les polices d'assurance maladie, d'assurance automobile et d'assurance des établissements.
  • Comment la couverture et les limites s'appliquent-elles à la fois à la première et aux tiers ? Par exemple, la police couvre-t-elle les tiers fournisseurs de services ? Sur cette note, renseignez-vous pour savoir si vos fournisseurs de services ont une cyber assurance et comment cela affecte votre contrat.
  • La police couvre-t-elle les attaques dont une organisation est victime ou les attaques ciblées contre cette organisation en particulier ?
  • La politique couvre-t-elle les mesures non malveillantes prises par un employé ? Cela fait partie de la couverture d'assurance erreurs et omissions qui s'applique également à la cyber assurance.
  • La politique couvre-t-elle l'ingénierie sociale ainsi que les attaques de réseaux ?
  • Conseil : De nombreux assureurs offrent également une liste de contrôle des éléments de couverture afin de les comparer à ceux de leurs concurrents. Utilisez ces listes de contrôle pour les ajouter à votre liste avant de commencer votre recherche pour de bon.

    Quels critères pour être éligible à une assurance cyber ?

    Une compagnie d'assurance veut s'assurer qu'une organisation a évalué sa vulnérabilité aux cyberattaques (créé un profil de cyber-risque) et suit les meilleures pratiques en permettant des défenses et des contrôles pour se protéger autant que possible contre les attaques. L'éducation des employés sous forme de sensibilisation à la sécurité, en particulier pour l'hameçonnage et l'ingénierie sociale, devrait faire partie d'un plan de protection. Les organisations qui ont fait l'objet d'une évaluation de la menace (même si la réglementation ne l'exige pas) peuvent contribuer à l'amélioration des pratiques exemplaires. Il est sage d'utiliser les services de renseignements sur les menaces pour obtenir les informations les plus récentes sur les attaques ciblées et de jour zéro, et d'engager les services de pirates informatiques éthiques pour révéler les faiblesses en matière de sécurité.

    Note : Les services de renseignements sur les menaces et les services de piratage éthique sont difficiles, au mieux, ou financièrement impossibles pour de nombreuses petites entreprises. Mais investir dans un outil d'évaluation de la vulnérabilité ou engager les services d'un testeur de pénétration pour sonder une fois les défenses d'un réseau externe peut contribuer grandement à améliorer la sécurité lors de la négociation de la cyber assurance.

    Comme la couverture d'assurance cybernétique devient de plus en plus normalisée, un assureur pourrait demander une vérification des processus et de la gouvernance d'une organisation comme condition de la couverture. Et ne soyez pas surpris si un assureur accepte d'offrir une couverture, mais à un niveau inférieur (parfois très inférieur) à ce dont vous ressentez le besoin. Si c'est le cas, continuez à interroger les assureurs pour trouver la meilleure offre.

    Faire une analyse de rentabilité d’une cyber assurance

    Toute organisation qui stocke et tient à jour des renseignements sur les clients ou recueille des renseignements sur les paiements en ligne, ou qui utilise le nuage, devrait envisager d'ajouter la cyber assurance à son budget. Pensez aussi à la prolifération des appareils qui se connectent maintenant aux réseaux d'entreprise - il y a tout simplement plus de possibilités pour les personnes malveillantes d'accéder aux actifs d'une organisation.

    Les attaques contre toutes les entreprises se multiplient. Les petites entreprises ont tendance à penser qu'elles sont à l'abri de l'exposition, mais Symantec a constaté que plus de 30 % des attaques d'hameçonnage en 2015 ont été lancées contre des organisations comptant moins de 250 employés. Le rapport 2016 de Symantec sur les menaces à la sécurité Internet indique que 43 % de toutes les attaques en 2015 visaient les petites entreprises.

    À plus grande échelle, le Centre d'études stratégiques et internationales a estimé en 2014 que le coût annuel de la cybercriminalité pour l'économie mondiale se situait entre 375 et 575 milliards de dollars. Bien que les sources diffèrent, le coût moyen d'une atteinte à la protection des données pour les grandes entreprises est de plus de 3 millions de dollars. Chaque organisation doit décider si elle peut risquer cette somme d'argent ou si la cyber assurance est nécessaire pour couvrir les coûts de ce qui peut très bien se produire.

    N'oubliez pas que la cyber assurance couvre les pertes de première partie et les réclamations de tiers, mais que l'assurance responsabilité civile générale ne couvre que les dommages matériels. Sony a été pris dans cette situation après le piratage de la PlayStation 2011, avec des coûts élevés atteignant 171 millions de dollars qui auraient pu être compensés par la cyber assurance si la société s'était assurée qu'elle était couverte à l'avance. Lors d'un procès, la Zurich American Insurance Company a déclaré que la police de Sony ne couvrait que les dommages matériels physiques et non les cyber-dommages.

    En ce qui concerne les coûts, la couverture et les primes de la cyber assurance sont basées sur l'industrie de l'organisation, le type de services fournis, les risques et les expositions aux données, la posture de sécurité, les politiques et les revenus bruts annuels. titre d'exemple seulement, les primes peuvent varier de 800 $ à 1 200 $ pour les experts-conseils, les spécialistes en déclarations de revenus et les petits organismes dont les revenus se situent entre 100 000 $ et 500 000 $, et de 10 000 $ à plus de 100 000 $ pour ceux dont les revenus se chiffrent en millions de dollars.

    Vous pensez avoir besoin d’une assurance cyber ? Voilà quoi faire pour commencer

    Une bonne première étape consiste à créer un profil de cyber-risque pour votre entreprise et à dresser une liste des dépenses que vous voulez couvrir en cas d'incident. Vous pouvez ensuite déterminer une estimation pour les coûts de tiers. De nombreux assureurs offrent un calculateur d'assurance sur leur site Web afin d'aider les organisations à créer une liste de couverture et à estimer les coûts. Ensuite, vous pouvez commencer à faire des recherches sur les fournisseurs d'assurance cybernétique.