Dans quelle mesure votre assurance cyber risques réduit-elle efficacement vos pertes financières en cas d’incident ?
Cet article explique comment les entreprises de taille moyenne peuvent tirer le maximum de leur police de cyber assurance. Nous nous intéresserons aux différents événements susceptibles de se produire, ainsi qu’aux types de pertes généralement couverts par la plupart des contrats d’assurance. Nous verrons également comment les entreprises peuvent optimiser leurs primes d’assurance pour tirer le maximum de leur couverture, tout en s’assurant que cette dernière est adaptée aux pertes potentielles les plus susceptibles de toucher l’entreprise. C’est là que la quantification des risques cyber, ou CRQ, peut changer la donne ! En effet, l’analyse CRQ évalue l’impact financier potentiel d’une cyber menace donnée.
Couverture des assurances contre les cyber risques
MunichRe prévoit que les primes de cyber assurance devraient plus que doubler à l’échelle internationale. Elle estime que leur montant devrait atteindre 22 milliards de dollars d’ici 2025.
L’assurance cyber risques est de plus en plus répandue, à l’heure où les entreprises s’en servent comme d’un levier pour atténuer leurs risques financiers et leur responsabilité. Les polices d’assurance cyber risques sont complexes : c’est pourquoi il est conseillé aux décisionnaires de bien faire le bilan des types de pertes couverts par leur assurance et des détails de leur contrat afin de bien comprendre la répartition des montants de la couverture totale.
Au fil de nos collaborations étroites avec de nombreux RSSI,DAF et autres acteurs décisionnaires, nous avons découvert que les polices d’assurance cyber sont généralement examinées d’un point de vue plus stratégique, en s’intéressant à la couverture globale :
• Notre entreprise est-elle couverte si nous souscrivons une police d’assurance de2 millions d’euros ?
• L’augmentation de la couverture globale entraîne-t-elle forcément une réduction de la part du risque que nous prenons en charge ?
• Une police de 5 millions d’euros est-elle meilleure qu’une police de 2 millions d’euros ?
Difficile de répondre à ces questions sans s’intéresser de près à la chaîne de valeur numérique de l’entreprise et au panorama des menaces auxquelles elle est exposée. Parfois, il suffit de relever le plafond de la couverture pour optimiser toute la protection contre le risque cyber, mais il est également possible de négocier le montant de la rétention pour chaque type de perte.
Comme c’est le cas avec n’importe quel autre produit d’assurance, l’assurance cyber risques est conçue de sorte qu’il soit possible de décomposer un incident spécifique en plusieurs types de pertes. Chaque type de perte est associé à une rétention et à un plafond de couverture. La rétention correspond au montant de perte qu’un assuré prend pour son propre compte avant que la couverture de la police d’assurance n’entre en vigueur.
Lire les mentions spéciales en petits caractères, ça paie !
Les informations contenues dans les conditions détaillées de votre contrat indiquent précisément les types d’incidents couverts, les exceptions, les modes de déclaration, ainsi que les différents types de pertes couverts et les montants de rétention correspondants.
L’augmentation du plafond total de couverture ne signifie pas nécessairement que vous bénéficierez d’une meilleure protection contre les pertes financières.
Vous souhaitez discuter de la manière d'optimiser votre cyber-assurance ?
Examinez la valeur de votre assurance contre les cyber-risques à travers l'objectif de la quantification des cyber-risques.
Décomposition de l’assurance cyber : types d’incidents et types de pertes
Les polices d’assurance cyber risques sont structurées en types de pertes. Voyons comment cela fonctionne pour une entreprise ayant souscrit une police de cyber assurance de 3 millions d’euros et qui est victime d’un malware qui rend inutilisable une partie de son système IT.L’incident est déclaré à l’assureur. L’attaque par malware conduit à plusieurs types de pertes couverts par le contrat :
• Interruption d’activité
• Gestion de l’incident
• Frais de justice
• Frais d’investigation numérique
Déclaration du sinistre
L’entreprise a enregistré une perte de revenu de 500 000 €, notamment parce qu’un système s’est retrouvé indisponible pendant 48 heures. Lest termes de la police d’assurance précisent que l’assuré peut uniquement prétendre à une prise en charge des pertes de« revenu suite à interruption d’activité» au-delà de 300 000 € (montant de la rétention). Pour ce type de perte, l’entreprise recevra donc un dédommagement de 200 000 €. Cela n’inclut pas le coût de la gestion interne de l’incident, qui incombe entièrement à l’entreprise. Ce coût peut varier selon les circonstances de la cyber attaque et la taille de l’entreprise.
Outre la perte de revenu, des frais de justice ont également été mobilisés dans le cadre de l’attaque par malware, pour un montant total de 100 000 €. Là encore, la clause de rétention de la police souscrite précise que les frais de justice sont uniquement pris en charge au-delà de 90 000 €. Ainsi, l’entreprise ne peut prétendre qu’à un remboursement de 10 000 € dans le cadre de ses prestations d’assurance.
Pour gérer le sinistre, l’entreprise a fait appel à un spécialiste en investigation numérique recommandé par la compagnie d’assurance en vue de rechercher l’origine de l’attaque et de vérifier que tous les contrôles nécessaires étaient bien en place pour remettre en ligne les systèmes indisponibles. Ce service d’investigation a coûté 50 000 €, avec une rétention de 30 000 €.
En résumé, l’attaque par malware a engendré des pertes totales de 650 000 €, réparties comme suit :
L’entreprise a dû prendre à sa charge un montant de 420 000€.
La compagnie d’assurance a couvert un montant de 230 000 €.
Comme l’exemple ci-dessous le montre, le montant de la rétention n’était pas le même pour les différents types de pertes. C’est généralement le cas de la majorité des polices. Cet exemple souligne l’importance de bien connaître les types de pertes de votre contrat et le montant de chaque rétention associée. Autre aspect à ne pas négliger : votre prime d’assurance augmentera probablement si vous déclarez un sinistre. Avant de déclarer un sinistre, l’entreprise doit donc évaluer si la prise en charge restera avantageuse, même si la prime augmente.
Méthodologie FAIR, scénarios de risque et assurance
Nous avons mis en œuvre la méthodologie FAIR pour analyser les principaux scénarios de risque d’une entreprise ayant souscrit un contrat d’assurance dont la couverture totale atteignait 2 millions d’euros. Nous en avons conclu que, pour chaque type de perte, la fourchette haute de perte par incident était d’environ 500 000 €.
En tenant compte de la chaîne de valeur et des actifs numériques de l’entreprise, nous avons évalué les différents types de pertes du contrat d’assurance, qui s’alignaient sur les types de pertes du modèle FAIR. Notre compréhension du contrat d’assurance s’est ainsi affinée. Nous avons alors mis au point un tableau permettant de visualiser les exceptions liées à chaque type de perte, la magnitude de la perte (voir la taxonomie FAIR) pour chaque scénario de risque, ainsi que la prise en charge maximale pour les incidents couverts. Sur la base de ces informations, le RSSI a pu mieux comprendre le rôle de l’assurance cyber dans l’atténuation des pertes en cas d’incident. Tout compte fait, il n’était pas dans l’intérêt de l’entreprise de relever le montant global de sa couverture, mais plutôt de renégocier le montant de la rétention pour chaque type de perte.
La quantification des risques cyber (CRQ) établit des parallèles financiers et probabilistes entre les types de pertes FAIR et les types de pertes de votre contrat d’assurance. Les scénarios de risque établis par la CRQ prennent en compte la fréquence vraisemblable d’un scénario donné (en années ou en mois) et cherchent à définir combien chaque événement vous coûtera (en termes financiers).
Scénarios de risque les plus courants :
• Ransomware résultant d’une attaque par phishing
• Fuite de données
• Attaque de déni de service (DDOS)
• Attaque de la supply chain entraînant une interruption de service
Négocier la couverture de son contrat d’assurance grâce aux méthodes de CRQ
L’assurance cyber risques est un outil de gestion du risque qui s’intègre à une stratégie globale de gestion du risque. Lorsque les organisations sont en mesure de comprendre les risques cyber en termes financiers, elles prennent des décisions plus faciles à justifier. Les décisions budgétaires sont plus claires quand les risques cyber sont exprimés en termes financiers et quand la fréquence et la probabilité de chaque événement sont détaillées. Les méthodes de quantification des risques cyber identifient les ressources stratégiques au sein de la chaîne de valeur de l’entreprise, ainsi que les scénarios de risque les plus probables pour ces ressources. Le modèle quantifie les scénarios de risque par plages de fréquence (c’est-à-dire la probabilité que ce risque se produise) tout en exprimant les pertes potentielles en termes financiers.
Une fois les principaux scénarios de risque cartographiés à l’aide des données d’analyse CRQ, il est beaucoup plus facile de savoir quel type d’assurance souscrire et pour quel montant.
Grâce à ces informations quantifiées, les responsables du risque, les RSSI, les directeurs financiers, les équipes juridiques et les autres instances décisionnaires sont mieux à même d’identifier les leviers qui leur permettront de négocier la couverture de leur contrat d’assurance pour en tirer le maximum de valeur. Mais les avantages ne s’arrêtent pas là.
Si une entreprise n’a pas encore souscrit de contrat complet, il existe un moyen supplémentaire de couvrir ses pertes : la captive d’assurance, ou auto assurance.
Les produits d’assurance évoluent en permanence, tout comme le paysage des menaces. Pour cette raison, une bonne compréhension de votre police d’assurance cyber risques actuelle et de vos pertes financières potentielles en cas d’incident vous fournit une base solide sur laquelle construire la cyber résilience de votre entreprise.
Pour en savoir plus sur l’optimisation de votre assurance cyber risques ou pour plus d’informations sur la quantification des risques cyber, téléchargez notre cas d’usage détaillé. Ce document montre comment nous avons aidé l’un de nos clients à identifier ses pertes les plus probables en cas de cyber incident, réduit le montant des rétentions et aligné son plan de gestion d’incident sur les conditions générales de sa police d’assurance cyber risques.
FAQ
Qu’est-ce qu’une assurance cyber risques ?
L’assurance cyber risques est un type de police d’assurance que les entreprises souscrivent en vue de réduire l’impact financier des cyber incidents. Elle couvre les frais de justice et d’investigation numérique, les coûts liés aux interruptions de service, à la récupération des données, aux dommages en termes de réputation, ainsi que les amendes, audits, etc.
Qui a besoin d’une assurance cyber risques ?
L’assurance cyber risques vise à réduire l’impact financier des cyber incidents et s’adresse donc aux entreprises de toutes tailles et de tous les secteurs d’activité. Une solution d’assurance cyber risques de qualité permet aux moyennes et grandes entreprises d’améliorer sensiblement leur gouvernance de cybersécurité.
Quelle est la principale menace cyber externe et le premier facteur de perte pour les entreprises ?
Les ransomwares : d’ici 2031, ce type de menace pourrait coûter près de 256 milliards de dollars par ans à ses victimes, selon un rapport Cybersecurity Ventures.
Share this article
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.
