L’agence nationale de la sécurité des systèmes d’information (ANSSI) l’annonçait dans son dernier rapport : les PME sont une cible privilégiée des cybercriminels, ne comptabilisant pas moins de 37 % des attaques par ransomware signalées.
Les conséquences d’une cyberattaque sont parfois lourdes : rançons, détournements de fonds, interruption d’activité, pénalités contractuelles… Un coût cumulé qui peut dépasser la capacité financière des entreprises victimes, et compromettre sérieusement leur pérennité.
Face à ce risque persistant, les entreprises adoptent une démarche familière : s’assurer. Comme pour les sinistres physiques, elles cherchent désormais à couvrir les dommages numériques. Mais les assureurs, confrontés à la multiplication des incidents, durcissent leurs conditions. Pour être éligible à une couverture, il faut désormais démontrer une posture de sécurité rigoureuse.
Quelles sont ces exigences ? Votre entreprise peut-elle y répondre ? Est-ce vraiment indispensable ? Retrouvez dans cet article les analyses et éléments de réponse de nos experts.
Qu’est-ce qu’une assurance cyber ?
Une assurance cyber peut être vue comme une extension de l’assurance de responsabilité civile professionnelle souscrite par les entreprises appelée communément rc pro. Le rôle d’une assurance cyber est de couvrir les conséquences financières d’un incident informatique. Son périmètre varie selon les options du contrat mais inclut généralement une prise en charge partielle des pertes d’exploitation, les frais d’accompagnement d’une entreprise tierce et le coût inhérent à la phase de remise en fonctionnement du système d’information.
Peuvent également être incluses : la responsabilité civile en cas d’atteinte aux données de tiers, les demandes de rançon, ou encore le coût des démarches juridiques liées aux déclarations et formalités réglementaires. Par exemple, la déclaration auprès de la CNIL en cas de fuite de données.
Ainsi la police d’assurance cyber doit être perçue comme un filet de sécurité. Si l’assurance ne remplace pas les mesures techniques de protection habituelles (antivirus, antispam, sauvegarde, filtrage des flux réseaux), elle permet d’atténuer l’impact de la compromission.
Face à l’augmentation des cyberattaques durant la période covid, la cyberassurance s’impose auprès des entreprises qui souhaitent s’assurer d’un
redémarrage en cas d’attaque.
Quels sont les critères à respecter pour être couvert par une cyberassurance ?
En sécurité informatique, les assureurs appliquent le principe de due diligence : audit préalable, questionnaire détaillé et vérification des dispositifs techniques en place vous seront demandés.
Ainsi, vous devrez démontrer l’application des bonnes pratiques en matière de sécurité informatique au sein de votre entreprise, tant pour souscrire que pour être indemnisé. Comme pour tout contrat d’assurance, une non-conformité vous expose à des surprimes, des exclusions ou des refus d’indemnisation. Enfin, gardez à l’esprit que les exigences peuvent également varier selon le profil de l’assuré.
Concernant les prérequis à respecter, les assurances demandent à leur client de mettre en œuvre les protections de base en matière de cybersécurité : pare-feux, antivirus, et filtres antispam doivent être correctement configurés et installés sur tous les postes et serveurs.
Les mises à jour sont également importantes : les correctifs de sécurité doivent être appliqués à l’ensemble de votre parc dans les limites de temps imposées par votre assureur. Ainsi, l’utilisation de systèmes obsolètes, comme Windows 7 ou XP, est souvent considérée comme une non-conformité.
Pour éviter qu’un attaquant ne se connecte à vos outils et environnements de travail, mettre en place un système de contrôle des accès est fortement recommandé. L’authentification à deux facteurs (2FA/MFA) doit être généralisée, notamment pour les connexions à distance, ainsi que la gestion stricte des droits d’accès. Côté mots de passe, vous devrez mettre en place une politique stricte : pas de mots de passe par défaut, renouvellements réguliers des identifiants et utilisation de mots et phrases complexes (longueur, mélange de caractères incluant des caractères spéciaux, des chiffres et des lettres, des majuscules et minuscules, etc).
En cas d’attaque ou d’incident, un des risques principaux est la perte de données.
C’est pourquoi la sauvegarde des données est aussi imposée par les cyberassurances. Elles doivent être régulières, testées et déconnectées du réseau principal de l’entreprise pour éviter d’être la cible d’une attaque par ransomware. Ainsi, elles pourront jouer leur rôle et permettre la continuité de l’activité après la crise.
Enfin, la détection proactive des vulnérabilités est un prérequis de plus en plus courant. Qu’il s’agisse d’audits professionnels (pentests) ou de scans automatisés via des logiciels spécialisés, ils permettent d’identifier les failles de sécurité présentes à travers vos réseaux, logiciels et postes de travail.
Respecter les prérequis des assureurs : un challenge à relever pour être indemnisé
Mettre en place les mesures de cybersécurité exigées à la souscription de votre contrat d’assurance ne suffit pas : encore faut-il les maintenir dans le temps.
L’entreprise cliente ne doit pas tomber dans le piège du « one shot » — à savoir se mettre en conformité à la signature du contrat, puis relâcher sa vigilance au fil du temps. La cybersécurité n’est pas un état figé, mais un processus continu.
L’importance de maintenir sa conformité dans le temps
Les garanties dans la plupart des contrats d’assurance étant conditionnées au respect constant des prérequis, si un sinistre survient (ransomware, fuite de données, etc.) et que l’enquête de votre assureur estime que les mesures exigées n’étaient plus en place ou pas correctement maintenues (antivirus mal configuré, sauvegardes non fonctionnelles, mots de passe faibles…), il pourra légitimement refuser de vous indemniser.
Ainsi pour les PME et ETI en particulier, maintenir ce niveau d’exigence peut représenter un vrai défi. Manque de temps, d’expertise, d’outils adaptés… La cybersécurité peut être complexe si elle est gérée sans ressources dédiées, ou que l’informatique n’est pas votre cœur de métier.
Dans ce contexte, faire appel à un prestataire expérimenté peut réellement permettre de gagner en efficacité et en sérénité. Un expert pourra non seulement mettre en place les protections adéquates, mais surtout en assurer la supervision, la mise à jour régulière et la documentation. Un suivi est pertinent pour démontrer, en cas de litige, que l’entreprise a agi avec diligence. En cas d’attaque, vous aurez la garantie d’être en conformité avec les exigences de votre assureur.
L’assurance ne protège pas contre les cyberattaques, mais aide à relancer votre d’activité en cas d’incident :
L’assurance cybersécurité ne constitue en rien une barrière contre les attaques. Elle n’a pas vocation à réduire les menaces, mais à en limiter les impacts. Ainsi, elle s’inscrit dans une logique de résilience : permettre la continuité de votre activité suite à un incident, financer les experts mobilisés et le rachat de matériel, et réduire les conséquences économiques ou juridiques.
Altinea vous accompagne dans l’application des exigences des contrats de cyberassurance.
Altinea propose à ses clients une maîtrise complète de leur environnement informatique : gestion de parc, cybersécurité, installation et maintenance d’infrastructures réseau, gestion des sauvegardes, accès internet et téléphonie, et plans de reprise et de continuité d’activité.
Avec Altinea, vous bénéficiez :
● d’une expertise éprouvée grâce à des équipes certifiées
● d’un support client réactif, avec hotline, supervision 24/7 et maintenance proactive
● d’interventions sur site partout en France, grâce à des équipes flexibles et disponibles.
Sécurisez durablement votre système d’information avec un partenaire expérimenté : contactez Altinea.
