Stratégie cyber

Assurance : pourquoi renforcer la cybersécurité permet d’optimiser son budget

Pourquoi souscrire une assurance cyber, que couvre-t-elle, et quel est l'impact sur un budget sécurité ?
8 min

Le coût de la cybercriminalité atteint 100 milliards d’euros en France 2024, et les TPE / PME françaises ont été près de 20 fois plus attaquées que les grandes entreprises au cours de l’année passée selon un rapport du Campus Cyber. Et ailleurs en Europe ? En Allemagne, le coût des cyberattaques pour l'économie est estimé à 148 milliards d'euros. Dans le monde, il atteindrait 8000 milliards de dollars. 

Pour se protéger, les organisations peuvent mettre en place des mesures de protection techniques avec diverses solutions de cybersécurité ; et pour se prémunir contre les conséquences économiques d’une attaque, elles peuvent souscrire une assurance cyber. En effet, une assurance peut contribuer à alléger les coûts liés à la reconstruction d’un système d’information, la réparation de matériel endommagé... 

Mais est-il possible de couvrir tous les risques ? Quels sont les cas dans lesquels une assurance couvre ou non une organisation ? Comment la prévention et les solutions de cybersécurité aident à réduire un budget assurance ?

Pourquoi souscrire une assurance cyber ? 

Selon des données rapportées par BNP Paribas, le numérique est un moteur de croissance pour plus de 80% des entreprises.  
Une cyberattaque peut alors systématiquement avoir un impact direct sur les finances, qu’il s’agisse d’une interruption de service, du vol de données, de conséquences juridiques ou d’une dégradation de la réputation... 
 
L’assurance cyber apparaît donc comme une solution évidente pour une meilleure résilience. Dans ce sens, il faut préalablement identifier les risques qui pèsent sur l’organisation, ainsi que les responsabilités. 

Néanmoins, en ce qui concerne les PME (99% du tissu économique en France), si 70%  
indiquent que les cybermenaces sont une préoccupation majeure, elles sont plus de la moitié à estimer manquer d’information sur les bonnes pratiques et les dispositifs à mettre en place pour se protéger. 

D’ailleurs, 93% des TPE / PME n'ont même pas de budget dédié à la cybersécurité en 2023 ! Dans ce contexte, difficile de se mettre en ordre de bataille, autant pour protéger efficacement son système d’information que pour souscrire une assurance cyber.

Assurance cyber : état des lieux chiffré

A la suite des incidents majeurs de cybersécurité Wannacry et Notpetya en 2017, les grandes entreprises se sont mobilisées pour renforcer leur cybersécurité, et se prémunir des conséquences d’une attaque. Malheureusement, il n’en est pas de même pour les petites et moyennes entreprises. En effet, Philippe Cotelle, administrateur de l’Amrae, estimait en 2023 qu’”environ 10% des ETI seraient cyber assurées aujourd’hui. La part est inférieure à 10% pour les PME".  

Au-delà du budget que représente une police d’assurance, les démarches impliquent généralement des ressources que les TPE et PME ne peuvent pas toujours engager, notamment des formulaires de plusieurs centaines de questions que les organisations doivent remplir, et qui permettent aux assureurs de déterminer s’ils vont s’engager ou non. 

Assurance cyber et NIS2 : quid des OSE ? 

Selon une enquête menée par l’ENISA en 2023, 74% des OSE (Opérateurs de Services Essentiels) n’ont pas d’assurance cyber, le prix étant la raison la plus souvent invoquée. Aussi, seuls 37% des OSE interrogés ont identifié l’assurance comme un levier de réduction des risques, et dans la plupart des cas (88%), les RSSI ne sont pas impliqués dans le choix de souscrire ou non une assurance. Le chemin vers une adoption massive semble encore long ! 

Si certains assureurs standard ont développé des offres incluant les risques cyber, à l’inverse, depuis les attaques Wannacry et Notpetya citées plus tôt, d’autres se sont détournés de la couverture des risques cyber vu leur omniprésence et l’importance de certains dommages. Notpetya avait d’ailleurs été qualifiée comme acte de guerre, ce que les assureurs ne couvrent pas – nous y reviendrons dans la partie qui suit. 
Mais au fait, quels sont les risques qui peuvent être couverts par une assurance cyber ?  

Les risques couverts par une assurance cyber

Une assurance cyber peut couvrir les risques suivants : 

  • Perte de fonds versés à la suite d’une attaque par ingénierie sociale, d’une extorsion ou d’une fraude, 
  • Perte de données et récupération. 

Elle peut aussi couvrir les coûts associés suivants :  

  • Expertises judiciaires pour investiguer sur les causes et les dommages liés à la cyberattaque, 
  • Actions en justice, réparation de clients ou de tiers, 
  • Identification des victimes, et frais liés aux démarches pour les informer en cas de violation de données (c’est une obligation légale), 
  • Relations publiques pour informer, et pour rétablir la réputation de l’organisation. 

Si la plupart des assurances couvrent les coûts relatifs aux attaques par ransomware, malware, phishing, ou au vol de données, l’étendue de la couverture a évidemment un impact sur le montant de la prime, un facteur déterminant dans le choix de la police d’assurance. 
A contrario, il faut savoir qu’une assurance cyber ne couvre pas les risques tels que la perte de propriété intellectuelle résultant d’une violation de données, les frais liés à la mise en place d’une infrastructure de sécurité, la perte d’exploitation ou de chance liées à une cyberattaque ou encore les cyberattaques menées par des Etats qui peuvent être qualifiées d’actes de guerre comme nous l’avons mentionné. 
 
Dans tous les cas, il convient de vérifier les exclusions auprès de la compagnie d’assurance avant de souscrire, afin d’éviter les mauvaises surprises. Il en va de même pour le choix de la franchise qui sera déterminante pour le montant de la prime d’assurance (plus la franchise est basse, plus l’organisation paie ses primes). 

Bon à savoir 

En France, depuis le 25 avril 2023, lorsqu’une entreprise est victime d’une cyberattaque, la loi impose un dépôt de plainte dans les 72 heures après avoir eu connaissance de l’attaque informatique, pour pouvoir obtenir une indemnisation de la part de son assureur. 

Des exigences accrues de la part des assureurs 

Pour faire face aux risques croissants en matière de cybersécurité et donc du risque de versement conséquent de primes, les assureurs ont renforcé leurs exigences. Le marché étant déficitaire en France en 2020, ils ont décidé de durcir les conditions de souscription, d'augmenter les taux de prime, relever les franchises et réduire le plafond des garanties. Ainsi, l'année suivante, pour les grandes entreprises par exemple, 100 euros versés donnaient lieu à 16 euros d'indemnisation. 

A l’heure actuelle, si les organisations sont plus enclines à payer une rançon lorsqu’elles sont couvertes par une assurance, elles ne sont pour autant pas toujours couvertes à 100% en cas d’incident de sécurité. Par exemple, pour le cas des ransomwares, une étude réalisée par Dell en 2024 montre que les rançons ne sont pas couvertes en totalité : seules 28% des entreprises interrogées ont pu voir le montant de la rançon entièrement couvert ; pour 43% d’entre elles, la police d’assurance prévoit une limite au montant de l’indemnité versée. 
Une assurance ne peut donc pas réparer tous les pots cassés en cas d’attaque. C’est aussi la responsabilité des organisations de mettre en place les bonnes pratiques et les outils pour se protéger efficacement contre les incidents de sécurité. 

Pour valider cet aspect, nous évoquions un peu plus tôt les questionnaires (particulièrement fastidieux) à remplir pour les organisations qui souhaitent s’assurer. En effet, les assureurs exigent de la part des assurés un certain nombre de mesures de sécurité. Lesquelles ?  

Les mesures à mettre en place pour souscrire une assurance cyber 

Pour faire face aux demandes croissantes d’indemnisation, en plus de faire monter les primes et réduire les indemnisations, comme nous l’avons abordé, les assureurs ont durci les conditions d'accès à leurs services.  
Ainsi, la mise en place de mesures de sécurité robustes fait qu’un assureur est plus à même de proposer une prime d’assurance à un tarif raisonnable, et c’est parfois une condition sine qua non. C’est exactement la même démarche que pour une assurance automobile : il faut pouvoir justifier la réalisation de contrôles techniques réguliers pour être couvert. 

En pratique, ces dispositifs de cybersécurité peuvent être les suivants : MFA, Patch management, formation des équipes de sécurité, IAM, PAM, EDR, SIEM... 

Une étude Newtrix rapporte qu’en 2023, 30% des organisations titulaires d’une cyberassurance ont appliqué des mesures de sécurité supplémentaires pour être éligibles au contrat, contre 22 % en 2023. En outre, l’application de ces mesures a pu contribuer à réduire le coût global du contrat d’assurance.  
Ainsi, s’équiper d’un EDR contribue non seulement la sérénité des équipes de sécurité, mais c’est aussi un moyen d’optimiser son budget assurance et de bénéficier d’une meilleure couverture ! 

Vous souhaitez vous équiper de solutions de cybersécurité, mais
vous ne savez pas comment choisir ou les administrer ? Faites confiance à un MSSP !