Guide de l'assurance cyber-responsabilité pour les petites entreprises
Comme nous l'avons entendu à maintes reprises sous diverses formes, il existe deux types d’entreprises : celles qui ont été piratées et celles qui ne le savent pas encore. Outre les tentatives de piratage, un certain nombre d’autres cybercrimes sont commis chaque jour contre des entreprises de toutes tailles. Les pertes résultant de la cybercriminalité proviennent de temps d'arrêt, de pertes de données, de réputations ternies, de poursuites judiciaires, etc.
La meilleure solution consiste à prévenir ces pertes en premier lieu en mettant en place une solide stratégie de cybersécurité. Cependant, même les entreprises les plus proactives ne peuvent empêcher toutes les attaques. Un autre moyen d'atténuer les risques de ces pertes est de s’armer d’une cyberassurance (également appelée assurance cyber-responsabilité). Les forfaits varient selon le fournisseur, mais tel que défini par le CIO , la cyberassurance « aidera une organisation à atténuer son exposition aux risques en compensant les coûts liés au rétablissement après une faille de sécurité liée à la cybersécurité ou un événement similaire ».
Dans ce guide, nous expliquons pourquoi l’assurance cyber-responsabilité est importante pour les entreprises et ce qu’il faut rechercher dans un plan.
Comment la cyberassurance s’est développée
À mesure que la technologie a évolué, en particulier avec l’introduction et l’utilisation généralisée d’Internet, de nombreux risques sont apparus qui n’existaient tout simplement pas dans le passé. Qu’elle soit le résultat d’une attaque malveillante ou d’une erreur humaine, une mauvaise gestion de la propriété numérique peut nuire à une entreprise de nombreuses manières. Voici quelques exemples:
- Virus
- Perte de données
- Dommages au réseau
- Vol d'informations
- Rançongiciel
Les premières polices d’assurance cyber sont apparues à la fin des années 1990 . À l’époque, il en existait deux types principaux : les politiques relatives aux médias en ligne et les politiques EDM, cette dernière couvrant les erreurs de traitement des données. Ces polices étaient une extension des polices de responsabilité professionnelle qui couvraient les risques liés aux médias et aux logiciels.
Au début des années 2000, les politiques ont évolué pour refléter les risques qui menaçaient les entreprises à l'époque , y compris la sécurité du réseau, les accès non autorisés et les problèmes liés aux virus. Ils ne couvraient pas (et ne couvrent toujours généralement pas) des éléments tels que les employés malhonnêtes, les amendes ou pénalités, ou les réclamations réglementaires.
Dans les années 2010, les violations et attaques de données à grande échelle (et les réclamations importantes qui les accompagnent) sont devenues plus courantes. Cela a donné naissance au paysage de la cyberassurance que nous connaissons aujourd’hui, où le nombre de produits autonomes ne cesse de croître.
Pourquoi la cyberassurance est importante (statistiques sur la cybercriminalité)
Il est tentant de penser que seules les grandes organisations doivent se protéger contre les risques de cybersécurité. Cependant, les statistiques concernant les entreprises, grandes et petites, et les dommages que les cyberattaques peuvent causer brossent un tableau différent. En voici quelques-uns qui pourraient être alarmants :
- 117 000 $ était le coût moyen d'une violation de données dans les petites et moyennes entreprises (PME) en 2017.
- Les petites entreprises représentées 58 % des malwares de 2017 victimes.
- Le Rapport 2017 sur les risques liés à la sécurité des terminaux constaté que la plupart des organisations ont connu au moins un rançongiciel incident survenu en 2017.
- Selon Checkpoint, 55 pour cent des organisations mondiales ont été touchés par des logiciels malveillants de crypto-minage en décembre 2017.
- Selon SCORE, les petites entreprises sont les cible de 43% des cyberattaques .
- On prévoit que d’ici 2020, le coût moyen d’une violation de données sera de plus de 150 millions de dollars , le coût total de la cybercriminalité pour les entreprises devant s'élever à plus de 2 000 milliards de dollars d'ici 2019.
- Le trimestriel de Nexusguard Rapport sur les menaces pour le deuxième trimestre 2018 a constaté que l'attaque DDoS moyenne a augmenté de 500 pour cent pour atteindre plus de 26 gigabits par seconde.
- Une taille inquiétante 38 pour cent des organisations prétendent être préparés à une cyberattaque sophistiquée.
- L’état de la cybersécurité industrielle 2017 de Kaspersky a révélé que 54 pour cent des entreprises personnes interrogées ont subi au moins une attaque au cours des 12 mois précédents.
Décider si vous avez besoin d’une cyber-assurance
Comme le montrent les statistiques, que vous dirigiez une entreprise comptant 10 ou 10 000 clients, les finances de l’entreprise sont toujours menacées par diverses menaces en ligne. Par exemple, les informations de vos clients pourraient être volées, vos réseaux sociaux détournés ou vos comptes financiers piratés. Les criminels peuvent utiliser frauduleusement les fonds de l'entreprise ou même vider des comptes , alors que les violations de données peuvent être extrêmement coûteuses à réparer.
Une entreprise de toute taille peut être poursuivie en justice dans le cas où la vie privée d’un client n’a pas été suffisamment protégée, et certaines polices couvrent les coûts associés aux poursuites.
Avez-vous mis en place un cadre de sécurité à toute épreuve ? Même si vous suivez scrupuleusement les directives recommandées, il reste toujours le facteur humain à prendre en compte. Les protocoles de sécurité sont aussi fiables que les personnes qui les suivent (ou ne les suivent pas, comme c'est souvent le cas), et un jour donné, il est possible que vous ou un employé fassiez une erreur quelque part.
Les cybercriminels sont en attendant de profiter de chaque vulnérabilité . Avec les outils avancés dont ils disposent et la numérisation croissante des informations, les opportunités pour les cybercriminels continuent de croître.
Notez que comme toute assurance, l’espoir est que vous n’aurez jamais à y recourir. Une étude de 2017 a révélé que sept pour cent des entreprises américaines avait fait une réclamation de cyberassurance au cours des 18 derniers mois. Quand on pense à la fréquence à laquelle vous faites une réclamation d’assurance automobile, sept pour cent en 18 mois semblent assez élevés. D’après cette statistique, on pourrait prédire qu’au moins deux tiers des entreprises devraient déposer une réclamation sur une période de 15 ans.
Acheter une cyberassurance
Si vous disposez déjà d’une assurance commerciale, l’une des premières choses que vous pouvez faire est de vérifier auprès de votre fournisseur actuel s’il dispose d’une police d’assurance cyber. L’ajouter à un plan existant sera probablement moins coûteux que de souscrire une toute nouvelle police. Cela étant dit, le prix est bien moins important que de s’assurer que le plan lui-même est adapté. Même si elles peuvent être plus coûteuses, les polices autonomes ont tendance à être plus complètes.
Choisir le bon plan peut être délicat. Comme ProWriters souligne « Le secteur est en constante évolution et la gamme de prix est large. Un transporteur peut proposer un devis large tandis qu’un autre en propose un plus limité, à trois à quatre fois la prime. De plus, les politiques appropriées dépendront de la taille et du type de votre entreprise.
Même s’il sera nécessaire à un moment donné de demander conseil à un assureur ou à un courtier, c’est une bonne idée de commencer par décider de ce dont vous pensez avoir besoin en fonction de votre activité unique. Sinon, vous pourriez finir par vous vendre une police qui ne vous convient pas tout à fait , tout simplement parce que c’est ce que propose le fournisseur et qu’il souhaite réaliser une vente.
Créer un profil de cyber-risque
Pour vous préparer, vous pouvez créer un profil de cyber-risque qui prend en compte les risques majeurs auxquels votre entreprise est confrontée, les dommages potentiels résultant de ces risques et les dépenses estimées que vous auriez besoin de couvrir dans divers scénarios.
Quelques exemples de risques que vous prendrez en compte sont l'extorsion (due à un ransomware), les violations de données, l'interruption du réseau d'entreprise (par exemple, en raison d'une attaque DDoS) et le vol ou les dommages d'actifs physiques. Bien qu’il existe un grand nombre de risques pour toute entreprise, certains seront plus probables que d’autres. UN un expert en cybersécurité peut vous aider à déterminer le niveau de risque spécifique pour un article donné.
Pour chaque article, vous devrez associer des coûts potentiels. Par exemple, certains des coûts liés à une violation de données qui peuvent être couverts par une police d'assurance sont :
- Connaître la cause d'une violation de données (frais d'enquête)
- Coûts liés à la notification des personnes concernées
- Protéger la vie privée des personnes concernées (par exemple, protection contre le vol d'identité ou surveillance du crédit)
- Poursuites résultant d'un manquement
Comparez les politiques de différents fournisseurs
Une fois que vous avez une meilleure idée de ce dont vous avez besoin, vous pouvez comparer différentes polices pour trouver celle qui vous convient. Une fois que vous l’avez affiné, vous pouvez creuser davantage en discutant avec plusieurs fournisseurs. Voici quelques questions que vous pourriez poser :
- Existe-t-il plusieurs politiques autonomes à envisager ou simplement une politique unique ?
- Quelles sont les franchises pour chaque article ?
- La politique couvre-t-elle également les fournisseurs tiers, par exemple si un fournisseur de services que vous utilisez subit une violation qui affecte votre entreprise ?
- Êtes-vous couvert contre toutes les attaques ou uniquement contre les attaques ciblées ?
- Les actions non malveillantes des employés sont-elles couvertes ?
- Quels types d’attaques sont couverts ? Par exemple, s’agit-il uniquement d’attaques de réseau, ou d’attaques de toutes sortes, y compris des attaques de phishing ?
- La police comprend-elle une assurance contre la compromission des données (qui aide à couvrir les coûts de sécurisation des informations personnelles des clients) ?
Principaux fournisseurs de cyberassurance par pays
Les polices d’assurance cyber varient selon les pays. Voici un bref aperçu du paysage aux États-Unis, au Royaume-Uni, au Canada et en Australie.
NOUS
Aux États-Unis, le marché de la cyberassurance est en croissance et le nombre de sociétés proposant des polices d’assurance ne cesse d’augmenter. Même si, selon un rapport de 2017, sur 170 prestataires, les cinq principaux assureurs ont souscrit plus de la moitié de toutes les primes directes émises en 2017.
Le les huit principaux fournisseurs actuels sur la base de la valeur des primes directes émises sont :
- Groupe Chubb INA
- Groupe international américain (AIG)
- Groupe XL Catlin Amérique
- Groupe de voyageurs
- AXE Capital
- Compagnie d'assurance Beazley, Inc.
- CNA Financière Corp.
- Société financière BCS.
ROYAUME-UNI
La cyberassurance est pris en compte par les courtiers britanniques être un « marché important et en croissance ». Cependant, sur la base du LE Baromètre des Marchés : Cyber , près d’un tiers des courtiers estiment avoir une mauvaise compréhension de la cyberassurance.
Quoi de plus, Recherche 2018 réalisée par Ovum a découvert que si neuf entreprises britanniques sur dix disposent d'une assurance cyber (contre deux sur trois l'année précédente), seules 38 % des entreprises disposent d'une couverture couvrant toutes les cybermenaces.
Canada
Avec une poussée du nombre d'entreprises canadiennes touchés par les cyberattaques en 2018, il est plus important que jamais que les propriétaires d’entreprise recherchent une couverture adéquate. Entreprises d’assurance Canada vous aide à prendre une décision en comparant les polices de cyberassurance de plus de 60 fournisseurs, dont AXIS Canada, Beazley Canada, AIG Insurance Company of Canada et Zurich Canada.
Australie
Entreprise d’assurance en Australie vous permet de comparer différentes politiques de plus de 25 entreprises. C'est encore plus pratique outil de comparaison de cyberassurance . Il vous permet de remplir un formulaire rapide avec quelques détails sur l'entreprise et vous permet de comparer les politiques de certains des principaux fournisseurs, notamment CGU, Chubb, Allianz, AIG, Dual et Emergence.
Conseils pour se protéger contre les cyberattaques
Même si c’est une bonne idée d’être couvert par une cyber-assurance, il est de loin préférable d’éviter les problèmes dès le départ. Nous avons rassemblé un guide pour la protection des petites entreprises de données ainsi qu'un article pour aider les petites entreprises à améliorer la cybersécurité sans se ruiner. Ces deux articles fournissent une mine d’informations sur les bonnes pratiques et les outils que vous pouvez utiliser pour intensifier votre stratégie de cybersécurité.
Si vous n’avez pas le temps de les lire maintenant, vous trouverez ci-dessous quelques-uns de nos meilleurs conseils pour protéger votre entreprise contre la cybercriminalité.
Voici comment protéger votre petite entreprise contre la cybercriminalité :
- Faites preuve de bon sens dans vos activités quotidiennes, comme utiliser des mots de passe forts et traiter avec suspicion les e-mails provenant d’expéditeurs inconnus.
- Conservez toujours au moins une sauvegarde de toutes les données. Les sauvegardes de disque dur peuvent être utiles, mais les outils de sauvegarde en ligne comme iDrive et Backblaze peuvent être pratiques et ne sont pas susceptibles de subir des dommages physiques comme le sont les disques durs externes.
- Utilisez un antivirus pour détecter et supprimer les virus et autres types de logiciels malveillants, tels que les ransomwares et les logiciels espions.
- Connexions Internet sécurisées avec un réseau privé virtuel (VPN). Cela chiffrera tout le trafic Internet, le rendant illisible pour un tiers. Consultez notre liste des meilleurs VPN pour les petites entreprises .
- Limitez la quantité de données disponibles dans le domaine public et soyez prudent quant à ce que vous et vos employés partagez en ligne. De nombreuses entreprises ont mis en place une politique en matière de médias sociaux, à la fois pour des raisons de sécurité et de relations publiques.
- Apprenez au personnel les cybermenaces et comment les éviter, notamment en évitant les e-mails et les liens suspects et en vérifiant l'identité des appelants par téléphone.