Anatomie d'une police de cyberassurance
Il existe divers types de polices de cyberassurance d'entreprise parmi lesquels choisir, et il n'y a pas une seule compagnie ou police qui soit la meilleure à tous les niveaux. La meilleure police de cyberassurance dépend en réalité entièrement de l'activité propre à l'entreprise.
Alors quels éléments considérer pour prendre une décision éclairée qui répondra au mieux aux besoins de l'entreprise et à ses critères d'éligibilité ?
Quel type de couverture ?
Il existe deux principaux types de police de cybersassurance : la couverture de première partie et la couverture de tiers. La première couvre les pertes financières de l'assuré (interruption d'activité, rançon, notification client, vol, etc.) suite à une attaque ou une faille de cybersécurité sur le réseau ou les systèmes de l'entreprise.
La seconde couvre l'assuré pour les actions en responsabilité engagées à son encontre à la suite d'un événement cyber. Cela peut inclure des clients, des fournisseurs et des régulateurs, c'est-à-dire toute personne qui souhaite obtenir de l'argent de l'entreprise en raison d'un incident.
Pour quel type d'attaque ?
Sur cet aspect, il y a quatre principaux types de couverture.
Le premier couvre les violations de données et comprend une assurance cyber-responsabilité, une assurance erreurs et omissions technologiques.
Le second couvre contre les rançongiciels mais il est important de noter que certains assureurs excluent de plus en plus les ransomwares de leurs polices (selon une enquête de 2023 de Veeam, 21 % des personnes interrogées ont indiqué que les ransomwares avaient été spécifiquement exclus de leurs polices).
Vient ensuite la police en cas de perte de fonds. Un scénario de perte de fonds nécessitera une couverture politique pour la cybercriminalité, la fraude électronique, les paiements push, l'ingénierie sociale inversée et la fraude par ingénierie sociale.
Pour finir, la couverture d'incidents divers qui va comprendre tout le reste, tels que le crypto-jacking, le bricking et la défaillance des systèmes.
Les 5 erreurs à éviter
Lorsque l'on choisit une police de cyberassurance, il est essentiel de lire et comprendre les exclusions de ladite police.
Toutes les polices contiennent des exclusions pour limiter l'exposition au risque de l'assureur et éviter la couverture des pertes connues ou prévisibles. Il est important de savoir quelles exclusions s'appliquent à la police choisie afin d'être sûr d'avoir choisi la meilleure pour les besoins de l'entreprise ou de modifier son infrastructure de cybersécurité pour offrir une meilleure protection contre les incidents qui peuvent être exclus de sa couverture.
Attention également à ne pas faire de fausses déclarations matérielles, en particulier si cela joue sur l'acceptation du risque dans une police, sur le taux auquel l'assurance aurait été accordée ou sur la décision de l'assureur d'émettre le contrat. Cette situation entraîne la résiliation de la police, ce qui signifie que le contrat devient nul et qu'il n'y aura aucune couverture pour les pertes.
La résiliation de la police rend également extrêmement difficile pour un assuré d'être à nouveau couvert.
Il est nécessaire de s'assurer d'impliquer toutes les parties de l'entreprise lorsque l'on remplit une demande de cyberassurance : de répondre aux questions avec des réponses définitives, de demander des éclaircissements si on ne comprend pas tout. En effet, les informations saisies ne seront pas négociables ou modifiables après l'incident.
Il est recommandé de ne pas tester les limites de sa police. Autrement dit, il faut comprendre le niveau de risque et de responsabilité associé à l'entreprise ainsi que le coût potentiel de ces risques afin de pouvoir définir les limites de sa police en conséquence.
Pour finir, avoir une police de cyberassurance ne présume pas que l'on soit en sécurité. Des manquements successifs et un ratio de sinistres élevé pourraient conduire à une non-assurabilité. Un taux de sinistres acceptable se situe entre 40 % et 60 % de la prime.
Si l'assureur doit payer plus, il s'expose à un risque financier. Il faut donc toujours travailler à atténuer les risques qui ciblent l'entreprise après la signature du contrat, et se tenir informé des changements de police qui pourraient avoir un impact sur la stratégie d'atténuation des risques pour éviter que la police ne devienne un passif financier pour la compagnie d'assurance.
3 conseils à garder à l'esprit lors de la sélection d'une police de cyberassurance
Il faut réfléchir aux besoins de couverture de l'entreprise en termes de scénario : qu'est-ce qui inquiète le plus et quelles règles de remboursement faudrait-il suivre ? Ces informations aideront à déterminer les tranches pour lesquelles la police devra fournir la plus grande couverture.
Les différentes parties prenantes de l'entreprise auront des avis différents sur ce qui constitue une catastrophe pour elles. Il ne faut donc pas hésiter à les consulter pour obtenir les commentaires de toutes les parties responsables et définir ainsi ce qui doit être inclus dans la police choisie.
Pour finir, il est recommandé de bien prendre en considération les risques qui ne sont pas couverts. Une fois les risques restants évalués, on peut comparer les polices pour voir si certaines peuvent offrir une meilleure couverture pour les vulnérabilités spécifiques de l'entreprise, ou retravailler en interne la stratégie d'atténuation des risques pour s'assurer que l'entreprise est moins vulnérable aux risques que la police ne couvre pas.
Thomas Manierre, Directeur EMEA Sud - BeyondTrust.
Sur le même thème
Voir tous les articles Cybersécurité