Des indemnisations allant de 1 à 2 millions d’euros en cas de cyberattaque pour une prime annuelle de l’ordre de 1000 € ! Comment cela ne serait-il pas tentant pour une PME ?
Si l’on considère que :
98 % des entreprises sont attaquées *
53 % de ces attaques aboutissent *
Le coût d’une attaque est d’environ 250 000€ pour une PME *
Il semble intéressant de souscrire une cyber assurance au plus vite !
* Etudes Accenture – CISCO – Symantec
D’ailleurs, le marché de la cyber assurance est un marché à forte croissance, estimé à 15% d’évolution annuelle pour les 5 à 10 prochaines années (Source : Rapport Sigma 2017 de Swiss RE).
Aujourd’hui, entre 10% (en 2016 d’après la FFA) et 17% (d’après l’enquête du CPME), des PME sont assurées contre les attaques informatiques.
Mais contre quoi sont-elles réellement assurées ?
Une cyber assurance : pourquoi faire ?
Les polices d’assurance diffèrent d’un assureur à l’autre, dans un marché qui cherche encore sa maturité, mais nous pouvons distinguer pour les principales garanties :
La responsabilité civile est similaire à la RC Pro qui s’applique principalement en cas de plaintes ou de fuite de données
Les dommages subis par l’entreprise à la suite de l’arrêt de l’activité
L’assistance à la gestion de la crise et les actes de récupération de données et d’investigation
De manière optionnelle, nous pouvons trouver d’autres garanties telles que l’atteinte à l’image ou le remboursement de cyber extorsions
Les prix et les garanties couvertes restent aujourd’hui très variables, dans un marché peu mature et où les assureurs sont à la recherche de données historiques pour mieux adapter leurs offres.
Pour prendre un parallèle d’assureur, nous sommes encore loin de l’assurance auto, où le garagiste vous retape votre voiture et vous la rend comme neuve. Et pour cause ! Un système d’information n’est pas une voiture : il est spécifique à chaque entreprise et, plus important encore, il est évolutif.
Une bonne cyber assurance n’est donc pas seulement une assurance qui couvre les frais d’une cyberattaque, mais bien une assurance qui vous accompagne pour vous en protéger et pour vous redresser en cas d’attaque.
Ainsi, certaines cyber assurances vous proposent l’accès à un expert en sécurité, qui vous aidera à gérer la crise, à mener vos investigations et à remettre vos systèmes d’équerre. Certains assureurs peuvent même vous mettre à disposition cet expert lors de la souscription de la police d’assurance pour réaliser un audit rapide de votre situation et vous préconiser les mesures les plus importantes à mettre en place.
En effet, en sécurité comme dans la vie de tous les jours, la sagesse populaire reste de mise : mieux vaut prévenir que guérir !
Mais cet accompagnement est-il vraiment suffisant ?
Se concentrer sur l’essentiel
Pour se prémunir des cyberattaques, la panoplie est large et c’est bien là le problème. En effet, les entreprises se trouvent souvent confrontées à des questions comme : Quelles solutions de sécurité choisir ? Et pour une solution donnée, quel fournisseur/logiciel me convient le mieux ? Pour quel budget et coût d’implémentation ?
Les PME peuvent avoir une à plusieurs personnes qui s’occupent de « l’informatique », mais dont les connaissances et le temps peuvent s’avérer limités pour un spectre de cybersécurité de plus en plus étendu.
Il peut être alors intéressant pour ces entreprises de se faire accompagner par des experts du domaine, mais encore faut-il :
Les trouver
Pouvoir s’offrir leurs services
Car oui, les compétences en cybersécurité sont très recherchées, inégales et relativement coûteuses.
Un Responsable de la Sécurité des SI (RSSI partagé – CISO as a Service en anglais) peut être une solution idéale pour ces entreprises, qui n’ont pas besoin d’un expert à plein temps et qu’elles peuvent déclencher à la demande. Un tel expert pourra alors analyser les risques de l’entreprise et très probablement préconiser, entre autres mesures, de se concentrer sur l’essentiel, c’est-à-dire :
Mettre en place une protection contre la propagation des attaques (Antivirus, Firewall, anti-spam)
Mettre en place des sauvegardes de données (partages de fichiers et poste de travail)
Sensibiliser les utilisateurs à changer leurs mots de passe régulièrement, à choisir des mots de passe robustes, et surtout, à adopter des réflexes de navigation sécurisés.
Notre conseil : sortez couverts
Que ce soit par le biais d’une cyber assurance ou par un accès direct à un expert en sécurité, nous ne pouvons que vous conseiller de réaliser un bilan rapide de votre niveau de sécurité.
P.S. : Notre livre blanc sur la cyber assurance sort dans quelques semaines, alors restez connectés !
Nidhal