Les risques cybernétiques évoluent et muent régulièrement. En outre, les entreprises se gardent de déclarer tous les incidents pour ne pas porter préjudice au capital confiance des clients. En conséquence, les assureurs disposent de peu de données et de recul pour tarifier leurs contrats et mutualiser, de manière efficiente, l’impact financier potentiel des sinistres entre les assurés.

Dans ce contexte, il ne faudrait pas s’étonner si un assureur accepte de fournir une couverture en dessous de vos attentes ou de vos besoins exprimés.

Un assureur peut demander une vérification des processus et de la gouvernance d’une organisation comme un préalable à une prise en charge comparables à vos attentes. En effet, les processus et la gouvernance de l’entreprise constitue un des premiers éléments à mettre en place en vue d’une bonne protection cyber. Nous expliquerons cela plus en détail dans un prochain article.

Ceci dit, une entreprise devrait aussi se poser quelques questions avant de souscrire une police cyber risque chez un assureur ou une mutuelle :

  • La compagnie d’assurance offre-t-elle une simple extension à une police existante ? Dans la plupart des cas, une police dédiée serait plus adéquate. Vous pourriez solliciter une police sur mesure pour mieux prendre en compte les spécificités de votre entreprise.
  • Existe-t-il des franchises ? Avec quels montants ? Il faudrait comparer les franchises entre plusieurs assureurs tout comme vous le faites avec votre assurance mutuelle de santé ou l’assurance de votre véhicule.
  • La police couvre-t-elle les fournisseurs de services tiers ? Sur ce point, découvrez si vos fournisseurs de services ont une assurance cyber et comment cela pourrait avoir un impact sur vos accords de services.
  • La police couvre-t-elle toute attaque endurée par votre entreprise ou des typologies d’attaques sont-elles énumérées dans le cadre de votre couverture ? Et quid des exclusions ?
  • La police couvre-t-elle les manipulations/actions non-malveillantes de vos employés ? A moins que vous ayez déjà une couverture Erreurs & Omissions (E & O) par ailleurs.
  • La police couvre-t-elle l’ingénierie sociale ainsi que les attaques en réseau ? L’ingénierie sociale pourrait être à l’ombre de plusieurs typologies d’attaques comme le spear phishing, l’arnaque au président …
  • Par nature les APT (Advanced Persistent Threats) sont structurés et installés sur une période assez significative (des mois, parfois des années). Il faudrait se poser la question si la police inclut des délais dans lesquels la couverture s’applique ?

CRI4DATA peut vous accompagner dans l’évaluation de toutes ces questions. N’hésitez pas à prendre contact avec nos spécialistes.

Catégories : Article