Une question revient régulièrement sur les lèvres de clients: est-ce qu'il faut conclure une assurance cyber ? Grande question, mais au moins, elle a le mérite d'ouvrir un débat sur la cybersécurité à sein de l'entreprise. Je ne prétends pas avoir la solution universelle, mais je pense pouvoir vous aiguiller sur une voie qui vous corresponde.
❓ Qu'est-ce qu'une assurance cyber ?
Une assurance cyber, c'est une assurance qu'une entreprise peut conclure afin de déléguer la gestion d'une partie de ses risques concernant des incidents de sécurité informatique. En clair, le but de nombreuses entreprises concluant ces assurances est d'avoir un soutien en cas de coup dur lié à une attaque (malware, panne système liée à une attaque, etc.).
🤔 Toute entreprise ne devrait-elle pas en conclure une ?
Comme la grande majorité des assurances, l’assurance cyber n’est pas obligatoire pour les entreprises en Suisse, ni, à ma connaissance, ailleurs dans le monde. Ce choix est laissé à l'appréciation des décideurs, car c'est de manière ultime ceux-ci qui doivent assumer les responsabilités de l'entreprise et, dans une certaine mesure, de celles de leurs collaborateur-trice-s.
Cependant, dire que toute entreprise devrait en avoir une me semble un peu excessif.
📊 D'ailleurs, qu'est-ce que ça couvre, une assurance cyber ?
Il est important de comprendre que toutes les assurances cyber ne sont pas identiques. Et c'est là qu'il est essentiel de se renseigner lors de demandes d'offres:
Vous l'aurez compris, la lecture des petits caractères est essentielle. De là découlera la somme des primes, et une pesée des intérêts.
À noter que la plupart des assurances demandent maintenant des préparatifs avant d'octroyer leur "protection". C'est là que la valeur ajoutée principale intervient, selon moi.
💰 Quel est l'avantage de ces assurances, dans ce cas ?
Pour moi, l'intérêt d'une assurance cyber, ce n'est pas sa capacité à soutenir financièrement en cas de coup dur. Ceci est plutôt la cerise sur le gâteau. Ce qui me semble crucial, c’est que le sujet de l’assurance suscite inévitablement des réflexions quant à la politique de sécurité de l'entreprise, notamment sur les points suivants :
En somme, plus que l'assurance, c'est la préparation en amont qui est importante. C'est en cela qu'une assurance peut être particulièrement bénéfique: elle vous incite à vous protéger. La plupart des assurances exigent ainsi des entreprises qu'elles appliquent des règles d'hygiène numérique telles que la mise en place de sauvegardes, l'utilisation de la double authentification ou encore la sensibilisation des collaborateur-trice-s.
👟 Quelle est la première étape ?
Avant même de vous approcher d'un assureur, je vous conseillerais de réaliser une auto-évaluation de votre situation. Vous aurez ainsi une meilleure vue sur vos forces et faiblesses actuelles, et pourrez agir en connaissance de cause. Un outil comme la norme minimale TIC de la Confédération pourra vous guider, si vous ne savez pas comment vous y prendre.
Bien évidemment, je vous recommande de demander l’avis de spécialistes pour vous évaluer (par exemple iptagone), car il arrive souvent que nous sous-estimions les risques ou que nous surestimions notre capacité à y faire face lorsque nous nous autoévaluons.
N'hésitez pas à prendre contact avec nous si le sujet vous intéresse et que vous souhaitez une évaluation pour savoir où vous vous situez en termes de maturité de la sécurité informatique.