Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Tout ce qu’il faut savoir sur les assurances cyber risques

Découvrez ce qu’est une assurance cyber risques et les raisons pour lesquelles votre organisation devrait en souscrire une afin de récupérer les coûts et pertes engendrés par une violation de sa sécurité.
Josue Ledesma
5 minute de lecture
Publié 2 septembre 2021
Dernière mise à jour 13 octobre 2023

Une assurance cyber risques est un outil essentiel de tout service informatique ou de cybersécurité devant assurer la protection des actifs, des données, de la réputation et du chiffre d’affaires d’une entreprise. La prévention est bien entendu une facette importante de cette protection, mais aucun outil, aucune solution et aucune stratégie n’offrent la garantie qu’une entreprise ne sera jamais victime d’une attaque.

Le risque est bien réel, et pour y faire face, les organisations peuvent souscrire à une assurance cyber risques qui atténuera les conséquences d’une violation. Dans cet article, nous détaillerons ce qu’est une assurance cyber risques, ce qu’elle propose et comment choisir une police adaptée à votre organisation.

À qui s’adressent les assurances cyber risques et pourquoi devez-vous en souscrire une ?

Varonis-Cyber-Liability-Insurance_fr-FR2

Une assurance cyber risques est conçue pour aider les organisations à compenser une partie des coûts associés à la cybersécurité en cas d’incident ou de violation.

La quasi-totalité des organisations peut trouver un intérêt à la souscription d’une assurance cyber risques, en particulier celles dont le service cybersécurité est limité ou dont les budgets risquent de se montrer insuffisants en cas d’attaque. En 2020, le coût moyen d’une violation de données se montait à 3,86 millions de dollars. Par ailleurs, toute organisation finira un jour ou l’autre par être victime d’un tel incident.

La prise en charge des coûts financiers ou le simple fait de savoir que les éléments couverts n’entreront pas en jeu lors du processus de récupération peut être essentiel. Vous pourrez ainsi vous concentrer sur votre stratégie de réponse aux incidents et de récupération pour reprendre votre activité normale aussi vite que possible.

Éléments couverts par une assurance cyber risques

Varonis-Cyber-Liability-Insurance_fr-FR3

Comme toute assurance, la couverture dépend de la police souscrite. Dans la majorité des cas, la plupart des polices couvrent néanmoins les éléments suivants :

Coûts liés à l’incident/la violation

Un incident de sécurité peut entraîner diverses conséquences. Si une organisation est victime d’un ransomware, elle peut devoir s’acquitter d’une rançon pour pouvoir accéder à ses fichiers.

Dans le cas d’une attaque par déni de service, l’accès à son site Web ou à ses serveurs peut être interrompu et générer des coûts pendant cette panne, voire entraîner le non-respect du contrat conclu entre l’entreprise et ses clients et aggraver ainsi encore les conséquences de cette attaque sur son chiffre d’affaires. Une couverture de type responsabilité professionnelle prend en charge ces coûts.

Coûts associés à la communication

Une violation, un incident ou une exposition de données impose souvent d’élaborer une stratégie de communication à destination des médias, des employés de l’entreprise, de la clientèle et plus généralement de tout tiers susceptible d’être concerné.

En fonction de la gravité de l’attaque, l’entreprise pourra aussi devoir mettre en place un centre d’appel ou un centre d’assistance. L’assurance cyber risques peut prendre en charge les coûts associés à la communication et aux notifications résultant d’un incident de sécurité.

Coûts associés aux amendes, poursuites et accords

Incidents et violations de sécurité impliquent bien souvent des frais juridiques associés à des réglementations, enquêtes, poursuites dans le cadre d’actions de groupe, amendes et accords.

Le recours à un expert informatique tiers ou la collaboration avec une organisation visant à assurer une surveillance des usurpations et une restauration des identités implique des frais juridiques, qui peuvent eux aussi être pris en charge.

Coûts liés à la réponse et à la récupération

Les incidents et violations de sécurité imposent dans tous les cas de lancer une procédure de réponse et de récupération. En fonction de la composition de votre service de sécurité, vous pourrez devoir faire appel à un tiers ou à un partenaire pour comprendre quel type de données a été compromis, comment relancer l’activité et comment éviter une attaque similaire à l’avenir.

Il en va de même si vous devez faire appel à une équipe d’experts informatiques ou si vous devez vous acquitter des honoraires d’un enquêteur indépendant en raison d’obligations de conformité ou réglementaires. Là encore, ces frais sont souvent pris en charge par une assurance cyber risques.

Ce que les assurances cyber risques ne couvrent pas

Chaque police a ses particularités, mais les assurances cyber risques ne couvrent pas les coûts suivants :

  • Coûts associés à des pertes de revenus futurs potentielles en raison d’une menace persistante avancée ou des effets à long terme d’un incident
  • Coûts ou perte de valeur liés au vol de propriété intellectuelle
  • Tout coût dû par l’organisation dans le cadre de l’amélioration et la mise à niveau de ses systèmes et de sa sécurité après un incident

Bien souvent, ces frais ne sont pas pris en charge : il est donc important de garder à l’esprit que vous ne pouvez pas compter sur votre assurance dans ce type de situation.

4 questions à poser lors du choix d’une assurance cyber risques

Optez pour une police la plus complète possible. Lors du choix de votre assurance, tenez compte des points suivants :

  1. L’assurance cyber risques couvre-t-elle les attaques d’ingénierie sociale ?

L’ingénierie sociale est l’une des cyberattaques les plus courantes, mais certains assureurs ne la prennent pas en charge. Ce point doit être votre priorité absolue.

  1. Les coûts liés aux dommages réputationnels sont-ils pris en charge ?

Une des conséquences d’une violation, en particulier si elle est importante ou médiatisée, est l’atteinte à la réputation. Ces dégâts peuvent influer sur les recettes issues de vos clients actuels et futurs, mais certaines polices ne les prennent pas en charge.

  1. Les dommages accessoires et les incidents causés par des tiers sont-ils couverts ?

Les fuites de données liées à des fuites tierces ou les dommages ou coûts liés à des fuites dont vous n’êtes pas la cible ou la victime directe peuvent ne pas être couverts. Il s’agit pourtant d’un point essentiel, car de nombreuses violations dévastatrices peuvent survenir par l’intermédiaire de tiers.

  1. Les menaces persistances avancées (APT) sont-elles prises en charge ?

Dans le cas des menaces persistantes avancées, les hackers restent cachés dans le système ou réseau d’une organisation pour en exfiltrer des données ou déclencher une attaque au meilleur moment. Il s’écoule souvent longtemps entre l’incident et la détection d’une APT, et les polices d’assurance cyber risques ne couvrent donc pas toujours les coûts associés.

Quels facteurs influent sur le coût d’une assurance cyber risques ?

Varonis-Cyber-Liability-Insurance_fr-FR4

Le coût d’une assurance cyber risques varie fortement en fonction de nombreux facteurs.

Secteur

Les polices des secteurs les plus touchés par les hackers et les organisations criminelles, comme la santé et les services financiers, seront probablement plus coûteuses.

Taille

Plus l’envergure d’une organisation est importante, plus le risque de violation est élevé. Les grandes organisations ont également besoin d’une police plus vaste et donc plus coûteuse.

Montant couvert

Ce facteur est plutôt simple à analyser. Une assurance cyber risques vous couvrant à hauteur de 500 000 $ générera des primes moins élevées qu’une assurance de 1 million de dollars. C’est à vous qu’il revient de comparer les risques et les coûts associés à chaque police pour déterminer laquelle est la plus adaptée au budget de votre service.

Type de couverture

Ce point est directement lié aux éléments que nous avons évoqués précédemment. Si vous souhaitez bénéficier d’une assurance cyber risques couvrant tous types d’incidents et de coûts, vous allez probablement devoir vous acquitter d’une prime plus élevée.

Obligations réglementaires

Comme le secteur de votre entreprise, les obligations réglementaires ou de conformité auxquelles elle est soumise peuvent également entraîner une hausse des primes.

Présence de l’entreprise

Ce facteur est similaire au nombre de collaborateurs, mais tient entre autres compte du nombre de bureaux et de régions géographiques dans lesquelles votre entreprise est présente. Plus une organisation est soumise à des vecteurs d’attaque nombreux, plus le coût de l’assurance cyber risques peut être élevé.

Pourquoi est-il nécessaire de se pencher sur la souscription d’une assurance cyber risques ?

Comme nous l’avons vu, une assurance cyber risques peut être extrêmement utile pour une entreprise ne disposant pas des ressources nécessaires pour prendre en charge l’ensemble des coûts associés à un incident de sécurité. Aucun service ou responsable de la sécurité ne doit penser que son organisation échappera à une violation.

Ce que vous devez faire, c’est imaginer les différents scénarios possibles : si vous disposiez d’une assurance cyber risques, ferait-elle la différence dans votre situation ? En passant en revue différents scénarios, vous comprendrez mieux l’intérêt potentiel de cette assurance et le type de police à laquelle vous devez souscrire.

Pour analyser la protection dont bénéficient vos actifs et optimiser vos chances de limiter les dégâts générés par une sécurité compromise, prenez le temps de découvrir Varonis DatAlert et DatAdvantage solutions.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).