Cyberattaque : quelles conditions remplir pour avoir une bonne couverture de votre assurance ?
Entrepreneur individuel, PME ou grand groupe : aucune entreprise n’est à l’abri d’une cyberattaque. Et les conséquences sont dommageables à de multiples égards, engendrant des coûts à la charge de l’entreprise victime. Pour couvrir ce risque relativement récent, les assureurs ont créé une assurance dédiée : l’assurance des risques de cyberattaques. Depuis le 24 avril 2023, un nouveau chapitre du Code des assurances lui est consacré.
Pour être bien couvert en cas de cyberattaque, il faut choisir des garanties adaptées, et respecter les conditions imposées par le contrat d’une part, par la loi d’autre part.
Qu’est-ce qu’une cyberattaque ?
Une cyberattaque est une atteinte commise à l’encontre d’un système informatique. Les pirates informatiques auteurs des actes malveillants poursuivent divers objectifs :
• Obtenir de l’argent en échange du rétablissement du système informatique.
• Dérober des données stratégiques : des données clients destinées à la revente ou des données confidentielles dans le cadre d’un espionnage industriel, notamment.
• Désorganiser une entreprise, pour nuire à une structure dont ils désapprouvent les valeurs éthiques.
• Ternir l’image de marque d’une entreprise, à des fins concurrentielles.
Les PME sont particulièrement touchées dans la mesure où elles ne sont pas toujours équipées d’un système de cybersécurité performant. Elles sont une proie facile. Les grands groupes, pour leur part, constituent une cible attractive. Au vu de leurs enjeux, ces entreprises sont mieux enclines à payer des rançons et leur montant est potentiellement plus élevé.
Les risques fréquents de cyberattaques
Les auteurs de cyberattaques utilisent diverses techniques. Le rapport établi par le Groupement d’Intérêt Public Action contre la cybermalveillance (GIP ACYMA) révèle qu’en 2022 :
• L’hameçonnage, ou phishing, est la technique la plus répandue. 27 % des demandes d’assistance formulées par les professionnels concernaient cette menace. L’hameçonnage consiste à obtenir, via un procédé trompeur, les identifiants et mots de passe d’accès pour pénétrer le système informatique d’une entreprise.
• Les rançongiciels représentent également un risque majeur. 19 % des demandes d’assistance portent sur cette menace. Le ransomware est une cyberattaque qui consiste à bloquer le système informatique d’une entreprise avec un logiciel malveillant ; pour récupérer l’accès au système, l’entreprise doit payer une rançon.
Certaines cyberattaques ne visent pas le système informatique, mais les sites internet des professionnels.
• Le déni de service consiste à empêcher les utilisateurs d’accéder au site internet d’une entreprise, ou à limiter son fonctionnement. Le risque est d’autant plus préjudiciable pour une entreprise de e-commerce : ses ventes en ligne sont suspendues tout le temps de la cyberattaque.
• La défiguration consiste à modifier l’apparence d’un site internet. Son contenu devient invisible des utilisateurs, ou perturbé par des affichages sans rapport avec la proposition commerciale de l’entreprise. Au-delà des pertes de revenus de ventes en ligne, cette cyberattaque dégrade la réputation de l’entreprise.
Certaines pratiques sont indispensables pour assurer la cybersécurité en entreprise. Mais les cybercriminels sont innovants, et le risque zéro n’existe pas.
Altération d’un système informatique ou vol de données : quel que soit le résultat de la cyberattaque, la loi sanctionne son auteur dans un enjeu d’intérêt général. À titre personnel, l’entreprise victime peut se couvrir contre les risques cyber : à condition d’être correctement assurée, elle est indemnisée de ses préjudices.
Quelles sont les conséquences d’une cyberattaque ?
Les conséquences préjudiciables d’une cyberattaque s’observent à trois égards :
• L’organisation dans l’entreprise est bouleversée.
• Le risque de pertes financières est élevé.
• L’image de marque est détériorée.
Des coûts exceptionnels d’organisation
Une cyberattaque est une circonstance exceptionnelle, qui implique des frais imprévus.
Quand le système informatique ou le site internet d’une entreprise est touché par une cyberattaque, l’entreprise doit réagir immédiatement : elle met en œuvre un plan de continuité d’activité pour maintenir un niveau minimum de services auprès des clients et des partenaires. Dans l’urgence, elle déploie des méthodes et des outils pour rétablir la situation. Ces méthodes mobilisent des ressources humaines, et ces outils ont un coût.
Outre les aspects liés à l’organisation, des conséquences pécuniaires s’observent à deux égards :
• L’entreprise doit investir dans de nouveaux matériels informatiques, et notamment des logiciels de cybersécurité à jour.
• En cas de rançongiciel, certaines entreprises n’ont d’autre choix que de payer la rançon.
Au-delà de ces coûts opérationnels, l’entreprise peut avoir à supporter des frais liés aux éventuelles démarches imposées par la loi.
Les obligations de l’entreprise en cas de cyberattaque
Si la cyberattaque a entraîné une violation de données personnelles, en cas de vol de données notamment, le RGPD oblige les entreprises victimes à notifier la cyberattaque à la CNIL dans un délai de 72 heures. Le non-respect de cette obligation expose à des amendes.
La CNIL évalue l’étendue du dommage : elle peut imposer à l’entreprise d’informer individuellement les personnes dont les données personnelles ont été volées. Ces personnes peuvent demander à être indemnisées par l’entreprise.
Une perte de chiffre d’affaires
La cyberattaque, qu’elle vise le système informatique ou le site internet de l’entreprise, paralyse temporairement tout ou partie de l’activité.
• Les employés ne peuvent plus travailler correctement, faute d’outils.
• Les ventes en ligne sont suspendues.
Quand la cyberattaque survient à une période stratégique pour l’entreprise, pendant les fêtes de fin d’année pour un site de e-commerce par exemple, le manque à gagner peut être considérable.
Des frais de gestion de crise de réputation
Les médias ne manquent pas de relayer les cas de cyberattaques. Le public y voit une défaillance de l’entreprise. Cela entraîne une perte de confiance de la part des clients, mais aussi des partenaires de l’entreprise.
Pour gérer la crise, l’entreprise doit mettre en œuvre une stratégie de communication efficace. Et cela engendre des coûts supplémentaires.
Comment vous assurer contre les risques de cyberattaque ?
S’assurer contre les risques de cyberattaque permet d’en limiter les conséquences pécuniaires : l’assureur vous indemnise.
• Les assurances couvrent le risque de cyberattaque à condition qu’il soit prévu dans le contrat. Votre contrat d’assurance multirisques professionnelle n’inclut pas nécessairement de garanties des cyber risques : vous devez souscrire un contrat spécifique.
• Les modalités d’indemnisation, en outre, dépendent des conditions contractuelles négociées avec votre assureur.
• L’indemnisation, en tout état de cause, est subordonnée au dépôt d’une plainte par l’entreprise victime dans les 72 heures de la cyberattaque.
Comment fonctionne l’assurance contre les cyberattaques ?
Chaque assureur détermine le fonctionnement de ses produits d’assurance. Assurance cyber-risques, garantie protection numérique, assurance cyberattaque, assurance cybersécurité ou encore assurance cybercriminalité : les appellations varient. L’objectif, lui, est identique : vous accompagner financièrement, et éventuellement humainement.
Les différents types d’assurance contre les cyberattaques
• L’assurance de responsabilité civile professionnelle prend en charge les dommages causés à des tiers. En cas de vol de données clients, par exemple, l’assurance prend en charge les frais d’indemnisation des clients.
• La garantie protection juridique couvre vos éventuels frais de justice.
• La garantie dommages aux biens permet d’indemniser vos pertes matérielles, et de financer vos nouveaux équipements informatiques.
• La garantie perte d’exploitation limite les conséquences financières en cas de diminution du chiffre d’affaires liée à la paralysie temporaire de votre activité.
• La garantie d’assistance offre un accompagnement humain, sous forme de conseils stratégiques notamment.
Les garanties offertes par l’assurance cyberattaque
Les garanties dépendent de votre contrat : pour chaque garantie souscrite, les assurances fixent des conditions et des limites d’indemnisation. Les assureurs peuvent par exemple vous proposer de prendre en charge :
• Les frais d’experts en sécurité informatique.
• Les frais de négociation en cas de rançongiciel.
• Les honoraires de consultants en communication de crise.
• Le paiement des amendes et des dommages et intérêts en cas de poursuites.
Des assureurs en outre mettent en place un accompagnement global dans la gestion de la cybersécurité. Vous pouvez par exemple accéder à un service de hotline 7j/7 pour une assistance technique au moindre doute, à des modules de e-learning en matière de cybersécurité, ou encore à des services d’experts pour configurer un système de sécurité informatique adapté.
Les critères à prendre en compte pour choisir votre assurance
Les critères de fiabilité et de prix sont essentiels pour choisir votre assurance professionnelle contre les cyber risques. Vérifiez l’ancienneté de la société ainsi que ses avis clients, et renseignez-vous sur les tarifs pratiqués. Les tarifs augmentent à mesure des garanties, mais aussi des plafonds d’indemnisation et des franchises.
Votre assurance cyberattaque doit être adaptée à vos besoins professionnels et à l’envergure de votre entreprise. Souscrire une assurance qui rembourse jusqu’à 1 million d’euros de dommages, par exemple, n’est pas forcément justifié si votre chiffres d’affaires annuel et vos équipements informatiques n’atteignent pas cette valeur.
N’hésitez pas à demander plusieurs devis détaillés, sur la base de vos besoins, et comparez.
Comment réagir en cas de cyberattaque ?
À compter du jour où vous avez connaissance de la cyberattaque, vous avez 72 heures pour porter plainte. Cette obligation, en place depuis le 24 avril 2023, conditionne votre indemnisation par l’assureur.
Vous effectuez ensuite les démarches auprès de l’assurance.
• Contactez sans délai votre assureur, idéalement par e-mail pour garder une trace écrite. Des assureurs proposent un formulaire de déclaration de cyberattaque en ligne, avec accusé de réception. Vous pouvez aussi appeler votre service client pour obtenir des conseils en vue de limiter les conséquences de la cyberattaque.
• Réunissez tous documents utiles à étudier votre demande. Vous devez fournir une copie du dépôt de plainte. Transmettez également des preuves de la cyberattaque, et tous les éléments nécessaires à évaluer vos différents préjudices. C’est sur cette base que vous êtes indemnisé.
Dès votre premier contact avec l’assurance, vous êtes guidé pas à pas dans vos démarches. Soyez réactif : le délai d’indemnisation en dépend.