Cybernews: tout savoir sur l’assurance cyber
Depuis le lancement de la Cyber Risk Clinic en mai 2022, nous donnons la parole à plusieurs expert·e·s du domaine cyber ou de domaines connexes, actif·ve·s au sein de cette nouvelle structure. Dans cette série de «cyber news», ils·elles décryptent pour vous les enjeux liés à ces risques particuliers et partagent des cas concrets, rencontrés dans leur pratique professionnelle. Pour le cinquième et dernier épisode de cette série, nous avons discuté avec Stéphanie Pennacchio, experte en Financial Lines et assurance cyber et à l’initiative de la Cyber Risk Clinic au sein de Loyco.
Qu’est-ce qu’une assurance cyber et à quoi sert-elle?
L’assurance de manière générale est une solution de financement de risques. L’assurance cyber vient donc compléter la gestion des risques d’une organisation en la matière, une fois que toutes les mesures de prévention technique et humaine nécessaires pour la protéger et garantir sa sécurité ont été déployées. Selon le type de contrat, les cyber assurances couvrent divers aspects de la cybercriminalité:
- les coûts des enquêtes;
- la récupération des données;
- l’interruption des activités;
- les frais juridiques.
On peut considérer 3 volets de couvertures:
1. La gestion de crise: Premièrement, la gestion de crise: elle sert principalement à soutenir l’entreprise et à coordonner la crise liée à l’attaque dont elle est victime en mettant à disposition des expert·e·s en technique IT, en communication et en conseil juridique. Il est important de préciser que toutes les compagnies d’assurances ne proposent pas une gestion de crise. Il est dès lors primordial de savoir ce qui est déjà prévu dans le contrat d’assurance et ce qui mérite d’être complété avec un prestataire externe;
2. Les dommages propres: Deuxièmement, les dommages propres: ceux-ci constituent les dommages les plus fréquents en Suisse. Cette couverture d’assurance permet de protéger l’entreprise contre les coûts associés aux cyberattaques. Celle-ci intervient à la suite d’une intrusion dans le système informatique et prend en charge les frais relatifs à la restauration des données, à l’expertise forensique, aux dommages réputationnels (expert·e en communication) et à la perte financière consécutive à une attaque ou l’investissement de frais supplémentaires;
3. Les dommages de tiers: Troisième volet, les dommages de tiers: l’objectif de cette couverture est de défendre l’organisation victime de l’attaque contre les prétentions injustifiées, mais également de prendre en charge les frais consécutifs immatériels tels que les frais de défense, de procédure, de notification ainsi que les dommages économiques purs, appelés également préjudice de fortune découlant d’une réclamation de tiers.
Quelle est la typologie de client·e·s concerné·e·s?
Malheureusement, l’ensemble des secteurs d’activités est exposé à ce risque. Ce qui peut varier, c’est le type de sinistre et son ampleur. Les facteurs de risques diffèrent en fonction des données en possession de l’entreprise (type et quantité), de son “hygiène” en matière de sécurité informatique et de la qualité de la formation des employé·e·s. Cette liste n’est pas exhaustive et peut comporter d’autres variables.
Les hackers font preuve aujourd’hui d’activisme et d’imagination et leurs techniques sont toujours plus sophistiquées. Cela va de l’espionnage, au blocage de centre de commande ou opérationnel, en passant par le cryptage des données. Ingénierie sociale, phishing/hameçonnage, logiciels malveillants et erreurs humaines sont très appréciés par les hackers dans tous les secteurs et dans tous types d’entreprises, quelle qu’en soit la taille.
Quel constat faites-vous?
«Il est nécessaire d’intégrer le sujet de la cyber assurance dans le financement de risque, au même titre que la sécurité technique» constate notre experte au sujet de l’état actuel de la cyber assurance. L’exercice lié à la conclusion d’une couverture d’assurance cyber permettra de connaître la position actuelle de l’entreprise au regard du marché et des professionnel·le·s. Est-ce que le profil de risque permettra d’obtenir une quotation (prime, franchise ou couverture) ou dans le cas contraire, quelles seraient les actions à entreprendre?
Combien ça coûte?
Voici quelques exemples de tarifications dites “simples” pour illustrer un peu ces propos:
Quel est le processus proposé par Loyco?
Différentes phases sont nécessaires afin de nous permettre de soumettre votre risque aux assureurs. Ce processus peut être long et parfois paraître compliqué, mais il est indispensable afin de tarifer correctement le risque. Structures organisationnelles et IT, gestion de crise, qualité du niveau de sécurité et audit, backup, firewalls, formation interne sont une partie des critères qui sont abordés en matière d’hygiène en sécurité informatique. Notre processus s’adapte toujours en fonction de la structure, mais comporte généralement 3 phases:
Cas concret d’accompagnement
Un client dans le domaine de la santé nous a confié la mise en place de son contrat cyber. À la suite de l’analyse de sa situation en matière de cyber sécurité (phase 1) et après la deuxième phase du processus, une des propositions a été signée et transmise un mercredi à l’assureur. Le lundi suivant, ce client nous informe avoir subi une attaque durant le week-end!
Impossible pour lui de continuer son activité suite au blocage de son système, mais à ce moment-là, le contrat d’assurance n’avait pas encore été émis par l’assureur. Nous avons donc pris contact avec la compagnie d’assurance expliquant la situation de manière transparente et celle-ci a validé la couverture à la date de signature de l’offre. Le client a alors pu bénéficier:
- d’un soutien technique pour appuyer son prestataire IT et les collègues en interne en charge de l’IT;
- de la prise en charge des frais liés à la résolution du problème et à la reconstitution des données.
Au total, ce sont plus de CHF 40’000.- qui ont été couverts par l’assurance, pour une prime annuelle de CHF 1’340.-, et qui ont permis à cette entreprise de gérer au mieux cette crise afin de continuer son exploitation et servir ses client·e·s!
Plus d’informations
Découvrez tous les packs de la Cyber Risk Clinic- Retour sur le lancement de la Cyber Risk Clinic
Site web de la Cyber Risk Clinic
Edit : Depuis 2024, les services de Cyber Risk Clinic ont été intégrés aux prestation de Loyco.
Voir les services Risques Cyber.
Votre contact
Stéphanie Pennacchio: spennacchio@loyco.ch / +41 22 552 15 31