À notre époque numérique où règnent les technologies de l’information (TI) et les systèmes informatiques interconnectés, l’importance de la sécurisation des actifs numériques ne peut être surestimée. Tandis que les cybermenaces continuent d’évoluer en termes de complexité et de fréquence, les entreprises sont confrontées à des défis sans précédent pour protéger les informations confidentielles et maintenir la continuité opérationnelle. C’est là que la cyberassurance apparaît comme une balise de protection.
Qu’est-ce que la cyberassurance?
Également dénommée par la notion d’assurance cyberresponsabilité, la cyberassurance est un produit d’assurance spécialisé destiné à protéger les entreprises contre les conséquences financières des risques reliés à Internet, et plus généralement contre les risques relatifs aux infrastructures et autres activités informatiques. Les risques d’une telle nature sont habituellement exclus des polices d’assurance responsabilité civile, commerciale traditionnelles ou, du moins, ils ne sont pas précisément définis dans les produits d’assurance traditionnels.
L’assurance pour la cybersécurité comprend généralement une couverture de première partie pour les pertes subies à cause de la destruction de données, du piratage, de l’extorsion de données, et du vol de données. Les polices de cyberassurance peuvent également englober les frais juridiques et les frais connexes et elles varient selon les fournisseurs et les régimes.
Principales caractéristiques de la cyberassurance
La cyberassurance est fondamentalement conçue pour fournir une couverture complète (intégrale) contre les répercussions financières et opérationnelles découlant des cybermenaces en augmentation. Voici les domaines essentiels qui sont couverts par la cyberassurance :
- Les avis aux clients : les entreprises sont généralement tenues d’informer leurs clients d’une violation de données, surtout si elle implique la perte ou le vol d’informations personnelles identifiables (IPI). La cyberassurance aide souvent les entreprises à couvrir les coûts relatifs à ce processus.
- La récupération des identités personnelles : la couverture d’assurance cybersécurité aide les organisations à restaurer (récupérer) l’identité personnelle de leurs clients concernés.
- La couverture des violations de données : la cyberassurance couvre habituellement les coûts rattachés à une violation de données, y compris les enquêtes médico-légales informatiques, les frais juridiques, les avis envoyés aux parties concernées et les services de surveillance du crédit des personnes affectées. Les enquêtes médico-légales informatiques suivent fréquemment le processus ou les phases normatives de criminalistique numérique : acquisition, examen, analyse et rapport d’enquête.
- La récupération des données : une police d’assurance cyberresponsabilité permet habituellement aux entreprises de payer pour la récupération de toutes données compromises par une cyberattaque.
- La réparation des dommages causés au système : les frais de réparation des systèmes informatiques endommagés par une cyberattaque seront également couverts par une police de cyberassurance.
- La protection contre les rançongiciels : à mesure que les attaques de rançongiciel deviennent de plus en plus répandues, la cyberassurance comporte souvent une couverture d’assurance pour le paiement des rançons et les dépenses reliées aux négociations avec les cybercriminels.
- La réparation après des cyberattaques : une police de cyberassurance aidera une entreprise à payer les frais juridiques engagés en cas de violation de diverses politiques ou réglementations en matière de confidentialité. Une telle cyberassurance les aidera également à embaucher des experts en cybersécurité ou en criminalistique informatique qui leur permettront de réparer les dommages occasionnés par la cyberattaque ou de récupérer des données compromises.
- La gestion de crise et des relations publiques : l’aide à la gestion de crise, aux relations publiques et aux efforts de communication pour réduire les dommages à la réputation à la suite d’un cyberincident.
Qui a besoin de cyberassurance?
Même si le profil de risque de chaque organisation est unique, la plupart des entreprises pourraient bénéficier de la souscription d’une police de cyberassurance. Un large éventail de secteurs qui sont de bons candidats à la cyberassurance sont les suivants :
- Les entreprises de toutes tailles : les organisations qui créent, stockent et gèrent des données électroniques en ligne, telles que les centres de contacts avec les services à la clientèle, les centres de ventes aux clients, les informations personnelles identifiables (IPI) et les numéros de carte de crédit, pourraient bénéficier d’une cyberassurance. Par ailleurs, les entreprises de commerce électronique peuvent également bénéficier d’une cyberassurance, car les temps d’arrêt relatifs aux cyberincidents peuvent entraîner une perte de ventes et de clients. De plus, toute entreprise qui stocke des renseignements clients sur un site Web peut bénéficier de la couverture responsabilité civile fournie par les polices de cyberassurance.
- Les prestataires de soins de santé : en raison des informations confidentielles et des données des patients qu’elles collectent, stockent et conservent, les entreprises de soins de santé sont fréquemment la cible des violations de données et de cybermenaces. Selon un rapport d’IBM au sujet des violations de données, le coût moyen d’une violation dans le domaine des soins de santé est de 10 millions de dollars par année. Pour réduire les risques financiers et juridiques reliés aux violations de données et aux violations de la Health Insurance Portability and Accountability Act of 1996 (HIPAA) – Loi américaine sur l’assurance maladie, la cyberassurance est essentielle pour les organismes de santé.
- Les institutions financières : les banques et les coopératives de crédit sont également des cibles privilégiées pour les cybercriminels en raison de la nature confidentielle du traitement des informations personnelles des clients, telles que les numéros de sécurité sociale. Par conséquent, la cyberassurance peut aider ces institutions à se remettre des dommages financiers causés par les cyberattaques.
- Les agences gouvernementales : une énorme quantité d’informations privées et confidentielles est traitée par les agences gouvernementales à différents niveaux. La cyberassurance peut aider les institutions gouvernementales à se prémunir contre les cyberattaques et à garantir la stabilité des services publics.
- Les établissements d’enseignement : les établissements d’enseignement tels que les écoles, les collèges et les universités stockent généralement de grandes quantités de dossiers personnels et académiques pour les employés et les étudiants, et ils sont donc de bons candidats pour la cyberassurance.
- Les entreprises ayant des revenus élevés : en raison des retombées financières potentielles, les entreprises ayant des sources considérables de revenus peuvent être des cibles importantes pour les pirates informatiques. Pour se prémunir contre les dommages financiers provoqués par les cyberattaques et les violations de données, les organisations disposant de revenus importants devraient envisager de souscrire une cyberassurance.
Facteurs à prendre en compte lors de la sélection d’une couverture de cyberassurance
En règle générale, la tarification de la cyberassurance est fondée sur le chiffre d’affaires annuel de l’entreprise assurée, son secteur d’activité, le type de couverture et la taille de l’organisation. Pour être admissible à une couverture de cyberassurance, la personne ou l’entité d’affaires doit habituellement se soumettre à une vérification de sécurité réalisée par la compagnie d’assurance ou fournir des documents à l’aide d’un outil d’évaluation approuvé. Les résultats d’une vérification de sécurité ou la documentation d’outils d’évaluation approuvés peuvent prendre en compte les types de couverture fournis par la compagnie de cyberassurance, ainsi que le coût des primes.
Les politiques varient souvent selon les différents fournisseurs. De part ce fait, il est préférable d’examiner attentivement tous les détails pour s’assurer que les protections et dispositions requises sont couvertes par la politique de cyberassurance proposée. Cette politique doit également assurer une protection contre les vecteurs et profils de cybermenaces actuellement connus et émergents.
Voici quelques facteurs clés à prendre en compte :
- La portée de la couverture : évaluez l’étendue de la couverture offerte, y compris la protection contre les violations de données, les interruptions d’activité, les rançongiciels, la responsabilité civile, et d’autres cyberrisques.
Les limites et sous-limites de la police de cyberassurance : comprenez le montant maximum que la police versera et toutes les sous-limites qui peuvent s’appliquer à des types précis de réclamations, en vous assurant qu’elles correspondent à l’impact financier potentiel d’un cyberincident. - Les exclusions et les limites : examinez les exclusions et les limites de la police de cyberassurance pour identifier toute lacune dans la couverture de cyberassurance. Faites attention aux circonstances particulières ou aux types de cyberattaques qui peuvent ne pas être couverts.
- La couverture de première partie et de tierce partie : évaluez l’équilibre entre la couverture de cyberassurance pour les pertes de première partie (les coûts directs pour l’assuré) et la responsabilité civile pour la tierce partie (les réclamations de parties externes), en vous assurant que les deux aspects sont correctement traités.
- La couverture contre les pertes d’activité : examinez l’étendue de la couverture de cyberassurance contre les pertes d’activité, en évaluant si elle inclut la perte de revenus, les dépenses supplémentaires et les coûts connexes à la restauration des opérations.
- La protection contre les rançongiciels : vérifiez que la police comprend une cyberassurance contre les attaques de rançongiciels, englobant le paiement des rançons, les frais de négociation et les coûts relatifs à la réduction de l’impact de tels cyberincidents.
- Les services d’évaluation des risques et de prévention : déterminez si le fournisseur d’assurance propose des services d’évaluation des risques et des mesures proactives pour améliorer la cybersécurité, réduisant potentiellement le risque d’un cyberincident.
- Le processus des réclamations : comprenez le processus des réclamations, y compris la rapidité avec laquelle les réclamations sont traitées, les documents requis et le niveau d’aide offert par la compagnie d’assurance pendant et après un cyberincident.
Date de rétroactivité de la police de cyberassurance : précisez la date de rétroactivité de la police, qui définit la période pendant laquelle les cyberincidents doivent se produire pour être éligible à la couverture. Assurez-vous que cette date correspond à l’exposition historique de l’entreprise aux cyberrisques. - Franchises et tickets modérateurs : tenez compte du nombre de franchises et des montants des tickets modérateurs relatifs à la police de cyberassurance. Une franchise plus élevée pourrait entraîner une baisse des primes, mais elle pourrait augmenter les dépenses personnelles en cas de réclamation.
- L’historique des réclamations et la réputation de l’assureur : recherchez l’historique des réclamations de l’assureur et sa réputation sur le marché. Un assureur fiable et réactif est essentiel pour faire face aux complexités des cyberincidents.
- Le coût et le caractère abordable : comparez les coûts des différentes polices en tenant compte de la couverture de cyberassurance proposée. Il est primordial de trouver un équilibre entre prix abordable et protection complète.
- Les partenariats de cybersécurité : évaluez si l’assureur a des partenariats avec des experts en cybersécurité ou propose des ressources pour améliorer la posture de cybersécurité de l’organisation assurée.
- Le partenariat de réparation des cyberattaques : évaluez si l’assureur prendra en charge la réparation lorsque certaines entreprises ont un partenariat avec une équipe d’experts capable de gérer tous les aspects de la réparation (par exemple : les procédures judiciaires, les relations publiques, la négociation avec le cyberattaquant, l’assistance technique, etc.).
- L’examen et les mises à jour de la politique de cyberassurance : examinez et mettez à jour régulièrement la politique de cyberassurance pour vous assurer qu’elle demeure alignée sur l’évolution du paysage des cybermenaces et sur les besoins changeants de l’entreprise.
En évaluant soigneusement les facteurs susmentionnés, les entreprises peuvent prendre des décisions éclairées lors du choix d’une cyberassurance, se prémunissant ainsi contre les impacts financiers et opérationnels des cyberincidents.
Quelles sont les cyberattaques admissibles aux demandes d’indemnisation de la cyberassurance?
Dans le sillage d’un incident de cybersécurité, l’organisation doit couvrir les coûts de plusieurs mesures correctives ultérieures. L’intervention face au cyberincident, les politiques de confinement, les analyses et enquêtes médico-légales, les litiges, les poursuites judiciaires, les vérifications de conformité, les infrastructures de sécurité supplémentaire et les changements de politique ne sont que quelques-uns des évènements préjudiciables pouvant compromettre la sécurité d’un réseau informatique.
Tout cyberévènement qui entraine une perte de données, des atteintes à la réputation, des analyses et enquêtes médico-légales, et des conséquences financières peuvent être couvert par une police de cyberassurance, mais la couverture dépend de la compagnie fournisseur d’assurance et du type de couverture choisi par l’organisation affectée.
Parce que la catégorie de couverture détermine les primes de la police d’assurance, le coût est souvent un facteur dans le choix de la police d’assurance effectué par l’entreprise. La plupart des polices couvrent les coûts relatifs au vol de justificatifs, à l’hameçonnage, aux attaques de rançongiciel, aux logiciels malveillants, et aux cybermenaces internes.
Quelles sont les couvertures dans une police de cyberassurance typique?
La plupart des polices de cyberassurance englobent une variété de couvertures de première partie et de tierces parties. Les principales sections d’une police de cyberassurance typique incluent, entre autres, les couvertures suivantes :
L’intervention face aux cyberincidents: cette couverture de cyberassurance prendra généralement en charge tous les coûts engagés dans une intervention face à un cyberincident en temps réel, y compris la sécurité informatique et l’assistance d’un spécialiste de la criminalistique informatique, l’obtention de conseils juridiques au sujet des demandes de rançon et des violations de la sécurité des données et les coûts relatifs à la nécessité d’informer les personnes dont les données ont été volées.
L’interruption des opérations d’affaires: cette section déterminante couvre les coûts de réparation, de restauration ou de recréation de vos données et applications dans le cas où vos systèmes informatiques seraient endommagés à la suite d’un cyber événement. Cette section cruciale rembourse également la perte de profits résultant d’une interruption de vos opérations d’affaires provoquée par un cyberévénement ou un temps d’arrêt prolongé de votre système informatique.
La cybercriminalité: les employés d’entreprises de toutes catégories et de toutes tailles ne savent peut-être pas à quoi faire attention lorsqu’il s’agit d’hyperliens frauduleux ou d’éventuels fichiers malveillants. Cliquer ou télécharger de tels hyperliens peut entraîner toute une série de problèmes, notamment l’extorsion, où les pirates informatiques menacent de dévoiler et publier les données auxquelles ils ont accédé, et l’ingénierie sociale, où les cyberattaquants imitent quelqu’un pour voler de l’argent.
La responsabilité en matière de confidentialité: cette section couvre les réclamations de tierce partie résultant d’un événement relié à la sécurité du réseau informatique ou à la confidentialité, qu’il s’agisse de votre transmission de logiciels malveillants nuisibles aux systèmes d’un tiers ou de votre incapacité à empêcher le vol de données personnelles. Cette section couvre également les amendes, pénalités et évaluations de la marque de carte réglementaires et PCI, ce qui est particulièrement important pour les commerces de détail.
Conclusion
Nous remarquons de nos jours que l’entrée dans l’ère numérique comporte un ensemble de défis – en particulier la menace croissante des cyberattaques et la cyberassurance a été la réponse à ces défis. La cyberassurance est une catégorie d’assurance qui constitue un bouclier vital pour les entreprises et les personnes en particulier, offrant une protection financière contre les risques multiformes reliés aux cyberincidents.
Choisir la bonne police de cyberassurance nécessite un examen attentif des facteurs tels que l’étendue de la couverture, les limites de la police, les exclusions et les franchises. Connaître les cyberattaques admissibles aux demandes d’indemnisation permet aux gestionnaires des organisations à maximiser leurs investissements en cybersécurité tout en protégeant les précieux actifs de leurs opérations d’affaires. Identifier les principales sections d’une police de cyberassurance typique permet aux organisations de mieux choisir la police la plus adaptée à leurs besoins.
En outre, les entreprises peuvent bénéficier de mesures proactives proposées par certains assureurs, telles que des services d’évaluation des risques et des partenariats avec des experts en cybersécurité, visant à améliorer la résilience globale en matière de cybersécurité. Savoir que l’entreprise est protégée financièrement en cas de cyberincident procure une tranquillité d’esprit. Cela permet à l’entreprise de se concentrer sur l’innovation et l’expansion sans se soucier perpétuellement des menaces de cybersécurité.
Références
Dans les articles Wikipedia (25 décembre 2023). Cyber Insurance (lien).
Ochwat, M. (26 février 2023). What is Cyber Insurance? Dundas Life (lien).
Fortinet Inc. What Is Cyber Insurance? Policies, Services, and Coverage (lien).
Travelers. Prepare Your Business with Cyber Insurance Coverage and Solutions (lien).
Yasar, K. (2023, September). Cyber Insurance. (lien)
Proofpoint. Cybersecurity Glossary (lien).
CFC Underwriting Ltd. New to Cyber Insurance? (lien).
Contributions
Remerciements en particulier pour le soutien financier du Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC).
Auteur : Emem Essien
Éditeur en chef : Alan Bernardi
Réviseur, correcteur d’épreuves et traducteur : Ravi Jay Gunnoo