La cyber assurance : ce qu’il faut savoir

Qui sont concernés par une cyber assurance ?

-Les entreprises qui hébergent des données informatiques ou numériques sensibles sont généralement les plus concernées. Les cyber-attaques sont aujourd’hui fréquentes et les cibles sont multiples : il peut s’agir d’un ordinateur ou serveurs, smartphones ou tout autre objet connecté.
-Les particuliers peuvent également être victimes de cybercriminalité. À titre d’exemples : le piratage de votre boite mail peut entrainer l’utilisation frauduleuse de votre pièce d’identité ou de tout autre document sensible ; un particulier peut également acheter un produit sur un magasin en ligne qui se révèle être un faux site. Les risques liés à l’utilisation d’internet sont donc multiples.

Que couvrent les garanties dites cyber ?

Au fur et à mesure que les technologies évoluent et que de nouvelles opportunités numériques émergent, les risques liés à la cybercriminalité se multiplient. Les entreprises sont confrontées à des attaques de plus en plus sophistiquées telles que le phishing ou hameçonnage, le vol d’identité, les ransomwares et les attaques par déni de service (DDoS). Les particuliers ne sont pas non plus à l’abri des attaques visant à voler leurs informations personnelles sensibles. Ces incidents peuvent entrainer la mise en jeu de la responsabilité de l’établissement vis-à-vis de ses clients (exemples : patients pour les hôpitaux).
Les assureurs proposent en conséquence un contrat multirisque professionnelle comprenant un ensemble garanties dite cyber qui couvre les dommages subis par l’établissement assuré, les dommages causés aux tiers. Ainsi, l’assureur peut prendre en charge les frais de notification auprès de la CNIL tout comme la compensation de la marge brute suite à l’impossibilité d’exercer ou les pertes subies. Par ailleurs, les assureurs mettent également à la disposition des assurés un hotline téléphone pour permettre un diagnostic sur la nature de l’attaque dont ils sont victimes.
En outre, il existe des garanties optionnelles qui peuvent couvrir les frais engagés en cas de cyber extorsion.
Pour les particuliers, certains assureurs proposent des couvertures contre les risques liés à l’utilisation d’internet : protection juridique, identification des failles de sécurité et cyber-attaque.

Quelle est la règlementation en vigueur en matière de lutte contre la cyber-attaque ?

La France dispose d’un arsenal législatif pour lutter contre la cybercriminalité.

Peut être citée en ce sens, la loi du 24 janvier 2023 d’orientation et de programmation ou LOPMI qui à titre d’exemple conditionne le remboursement des cyber-rançons par les assurances au dépôt d’une plainte de la victime dans les 72 h après connaissance de l’infraction.

Le Règlement Général sur la Protection des Données offre un cadre juridique unique pour les professionnels en Europe en imposant un certain nombre d’obligations aux établissements qui manipulent des données personnelles et en accordant des droits aux individus et aux salariés tout en prévoyant des sanctions en cas de non-conformité. Il s’agit d’un outil qui doit permettre de lutter et minimiser les risques liés aux cyber-attaques.

Un règlement dit DORA (Digital Operational Resilience Act) a été adopté et entrera en vigueur en 2025 pour offrir un cadre règlementaire sur la résilience opérationnelle numérique de sorte à prévenir et atténuer les cybermenaces. Sont principalement concernés les établissements de crédit et de paiement ainsi que les assureurs ou encore les organismes de retraite professionnelle. Le règlement DORA a pour objectif d’offrir une règlementation uniforme dans l’UE, une résilience opérationnelle nouvelle en permettant l’unification de la gestion des risques informatiques et une meilleure sensibilisation des autorités de surveillance face aux cyber risques touchant les entités précédemment citées. Pour ce faire, le règlement fixe des normes de sécurité minimales et des règles contraignantes aux établissements de crédit et de paiement mais également aux assureurs et les différents prestataires de services (services de paiement…).

Concrètement, les établissements concernés seront obligés de déclarer les incidents liés aux TIC (Technologies de l’Information et de la Communication (TIC), d’effectuer des tests de résilience opérationnelle numérique de manière régulière et partager les informations sur les cybermenaces avec les autres établissements financiers et les autorités de régulation.
La cyber-assurance offre également un soutien précieux aux entreprises en matière de gestion des risques et de prévention des attaques. Les assureurs spécialisés en cyber-assurance fournissent souvent des services de conseil en sécurité informatique, d’évaluation des risques et de gestion de crise. Ils aident les entreprises à mettre en place des mesures de sécurité adéquates, à évaluer leur niveau de préparation face aux attaques et à réagir efficacement en cas de violation de données.
Toutefois, il est important de noter que la cyber-assurance ne se substitue pas à une bonne stratégie de cybersécurité. Elle doit être complétée par des mesures de prévention solides, telles que la sensibilisation des employés, la mise en place de pare-feu et de systèmes de détection des intrusions, ainsi que des mises à jour régulières des logiciels. Pour les particuliers, la protection contre une attaque comme par l’adoption de quelques règles au quotidien comme éviter d’envoyer des données personnelles en masse par mail.