[Gestion des risques] Assurance des cyber-risques: quelle couverture adopter ?

L'assistance-gestion de crise, bouée de sauvetage en cas d'attaque

Un contrat d'assurance cyber comprend généralement trois volets: dommages aux biens, responsabilité civile et assistance-gestion de crise. "Le besoin de ce dernier, qui prend en charge le financement de l'intervention de prestataires spécialisés, dans une situation de gestion de crise, est commun à tous les secteurs d'activité", souligne Alain Depiquigny. Cette assistance est assurée par des entreprises spécialisées dans la sécurité informatique. Le client dispose ainsi, dans sa police d'assurance, du contact d'un maître d'oeuvre qui assurera la coordination des différents intervenants de la cellule de crise en cas de cyberattaque. À cet effet, les assureurs se sont rapprochés des acteurs de la cybersécurité pour proposer des solutions complètes: Axa, par exemple, s'appuie sur Airbus, AIG sur Solucom, ou encore Allianz sur Thalès.

Concernant les autres volets, le secteur d'activité de l'entreprise et les atteintes auxquelles elle sera, de fait, plus exposée, constituent des critères prépondérants pour définir ses besoins de couverture cyber. "Les fuites de données personnelles ou confidentielles, par exemple, peuvent déboucher sur la mise en cause de la responsabilité de l'entreprise, voire celle de ses dirigeants", affirme Alain Depiquigny. Les entreprises de la santé, par exemple, qui détiennent ce type de données en grand nombre, auront donc besoin du volet responsabilité civile.

Le volet dommage aux biens recouvre principalement le risque de perte d'exploitation: frais de reconstitution des données, perte d'exploitation liée à l'interruption de l'activité provoquée par une atteinte au SI... "Ce besoin concerne les activités pour lesquelles une atteinte au SI comporte un risque d'interruption de l'activité qui, même sur un laps de temps très court, est susceptible de générer une perte d'exploitation quantifiable, précise Alain Depiquigny. C'est le cas des sites de vente en ligne qui peuvent, par exemple, subir une attaque Ddos qui consiste à bloquer les serveurs par saturation, ou encore des activités industrielles dont les installations sont pilotées à distance."