undefined cover
undefined cover
Assurance cyber : tout comprendre avant de souscrire ! cover
Assurance cyber : tout comprendre avant de souscrire ! cover
INCYBER Voices

Assurance cyber : tout comprendre avant de souscrire !

Assurance cyber : tout comprendre avant de souscrire !

29min |08/07/2025
Play
undefined cover
undefined cover
Assurance cyber : tout comprendre avant de souscrire ! cover
Assurance cyber : tout comprendre avant de souscrire ! cover
INCYBER Voices

Assurance cyber : tout comprendre avant de souscrire !

Assurance cyber : tout comprendre avant de souscrire !

29min |08/07/2025
Play

Description

Dans cet épisode d'InCyber Voices, nous recevons Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et protection des entreprises. L’assurance cyber est souvent perçue comme une simple formalité ou un luxe inaccessible, alors qu’elle peut devenir un véritable atout stratégique… à condition d’en maîtriser les enjeux.


🔹 Qui est concerné par l’assurance cyber ? (TPE, PME, ETI, grands groupes, collectivités…)
🔹 Comment réagir face à une cyberattaque ? Retour d’expérience sur une crise résolue en 48h.
🔹 Quels coûts anticiper ? Prime d’assurance vs. coût réel d’un sinistre.
🔹 Que couvrent (ou pas) les contrats ? Ransomware, erreurs humaines, responsabilités juridiques…
🔹 Quelles erreurs éviter lors de la souscription ? Prérequis, garanties, pièges à déjouer.


Un éclairage indispensable, animé par Mélissa Périé-Betton, pour anticiper les risques cyber et renforcer la résilience de son organisation.


🎧 Écoutez l’épisode maintenant !


Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Aujourd'hui, on va parler garantie, obligations et responsabilités avec Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et en protection des entreprises. L'assurance cyber reste souvent perçue comme une formalité ou comme un luxe inaccessible. Pourtant, elle peut devenir un levier stratégique, à condition d'en comprendre les règles. C'est parti pour un tour d'horizon des bonnes questions à se poser avant de signer. Avant de parler de garantie, on va peut-être poser les bases. Qu'est-ce qu'on entend exactement par assurance cyber aujourd'hui ? À qui les contrats s'adressent ? Je parle de taille d'entreprise, de secteur. Et concrètement, qui va piloter ce sujet en interne ? Est-ce que c'est les DSI ? Est-ce que c'est le juridique, le risque manager, le RSSI ?

  • Speaker #1

    Alors effectivement, peut-être déjà rappeler et remettre dans le contexte l'assurance cyber, rappeler que depuis... au moins 2019, parce que j'ai en tête le baromètre de l'assureur Alliance, en 2019 l'assurance cyber devient le risque numéro 1. La cybercriminalité est le premier risque. Le deuxième risque étant l'interruption d'activité. Donc on voit qu'on est vraiment sur un risque très fort, important pour les entreprises. Aujourd'hui on voit que ça touche toutes les entreprises, toutes les associations, possiblement les collectivités locales, etc. En tout cas, nul n'est à l'abri, quelle que soit sa taille, son secteur à l'actualité. Une cyberattaque a toujours des conséquences sur une organisation. On parle d'un coût médian pour les TPE, PME de 50 000 euros, mais on sait que ça coûte des millions d'euros dès lors qu'on va toucher des ETI et des grands groupes. Les exemples ne manquent pas. On sait que c'est aussi un risque vital. L'actualité a présenté un certain nombre de cas de sociétés qui ont été placées en redressement judiciaire, en liquidation judiciaire suite à des cyberattaques. Donc c'est une menace qu'il ne faut pas prendre à la légère. et en même temps, c'est une menace. Et les experts en cybersécurité le confirment, qu'on a du mal à préonder. Ça concerne souvent les autres et on se sent concerné lorsque l'on a été touché ou quand son écosystème proche l'a été. Souvent, on sous-estime aussi l'impact qu'une cyberattaque peut avoir sur son organisation. Donc voilà, il faut redonner ce contexte. Et donc l'assurance cyber, qui a plus d'une vingtaine d'années aujourd'hui, mais qui se développe fortement depuis maintenant 4-5 ans, même s'il y a encore énormément de choses à faire, elle a comme objectif de sécuriser les entreprises. face aux cyberattaques, face aux vols de données, face à la compromission de données. Et on peut dire que c'est un mix entre un volet assistance, qui est fondamental et souvent méconnu, et un volet assurance. L'assistance, parce que l'assurance cyber, elle va jouer dès les premières heures de la crise en mettant à disposition d'une entreprise ou d'une organisation des experts de premier niveau, rompus à la cybersécurité et ses opérations de cyberattaques essentiellement, même si ça ne touche pas que cyberattaques. et un assureur qui va prendre en charge les conséquences financières de ces incidents, à savoir la prise en charge, la mise à disposition déjà de ces experts, qui ont un coût élevé parce qu'on est vraiment sur du haut niveau d'intervention. Et dedans, il y aura des avocats, il y aura de la communication de crise. Et puis, c'est l'ensemble des coûts directs que l'entreprise peut subir jusqu'à la perte d'exploitation. Donc, l'idée, c'est de remettre en situation une entreprise, une organisation qui a été touchée, afin de lui permettre de repartir après cette cyberattaque. Merci. Et surtout, parce que la menace est forte des rançons, de ne pas avoir à payer les rançons. Parce que ça, c'est un sujet qui a beaucoup fait parler de lui. Il est vrai que les assurances cyber, globalement, ont ce volet de remboursement de rançons, mais dans les faits, elles ne sont quasiment jamais amenées à le faire, ou très rarement. Et en tout cas, en France, on a cette confirmation de la part des assureurs, parce que tout est mis à disposition des entreprises pour leur permettre de redémarrer rapidement. Alors, vous me disiez qui peut potentiellement être touché ? Effectivement, c'est tout le monde. c'est déjà tout Toute taille d'entreprise, les TPE, les PME, les ETI et les grands groupes, les exemples ne manquent pas. Il ne suffit pas d'être connu ou sur un secteur en pointe comme le digital ou le monde financier pour être ciblé. Tout le monde aujourd'hui peut, un peu l'image du chalut qui va pêcher dans ses filets, énormément de poissons, mais toute entreprise peut se retrouver dans ses filets. D'autant qu'on peut être touché directement avec une attaque ciblée, mais ça peut être ce fameux clic qu'on ferait sur un mauvais lien. ou le mail auquel on répondrait en donnant ses identifiants. Ça arrive encore régulièrement. Mais ça peut être aussi son sous-traitant, son hébergeur qui peut être touché. Et donc, par rebond, on peut l'être. Et on peut donner un exemple. Fin 2023, 1200 experts comptables ont été touchés parce qu'un de leurs prestataires avait, lui, été victime d'une cyberattaque. Donc, ça concerne vraiment toutes les entreprises. Mais pas que. On sait que les cyberattaques peuvent également toucher les collectivités locales. Les exemples ne manquent pas. Même les hôpitaux sont ciblés et un certain nombre d'exemples, dont Corbeil-Yesson qui a fait parler de lui, sont des exemples très connus. Les établissements d'enseignement, que ce soit les établissements d'enseignement supérieur ou autre, sont touchés. Les associations, les ONG, les musées, bref, aujourd'hui, je ne crois pas qu'il y ait un seul temps de l'activité qui soit à l'abri de ces cyberattaques, principalement. Donc tous et toutes ces organisations ont intérêt de recourir à l'assurance. Pour bénéficier, ça c'est toujours ce qu'on dit à nos clients et prospects, déjà pour avoir cette capacité de répondre immédiatement à un incident qui par nature va être violent, va toucher et mettre en grand danger l'organisation. Donc permettre de répondre dès les premières heures et puis de passer cette crise-là et d'onger les coûts qui peuvent être très conséquents.

  • Speaker #0

    J'ai une question un peu spontanée qui me vient. J'ai souscrit une assurance cyber, je suis le CHU de Nantes. Il y a une attaque qui surgit. Qui intervient concrètement ? Parce que là, vous ici, vous êtes 5, 6. Il y a combien de personnes ? J'ai l'impression qu'on passe en cellule de crise et que d'un coup, il y a 30 personnes qui débarquent pour dire voilà, il faut faire ça, il faut faire ci. Comment ça se passe concrètement quand ça arrive ?

  • Speaker #1

    Alors concrètement, ça va être de la gestion de crise. Alors si on prend l'exemple du CHU, heureusement, ils ont l'ANSI et d'autres services. Mais dès lors qu'on est sur le monde du privé ou autre, c'est le recours à l'assurance. Si je vous donne un exemple, parce que celui-là, il est parlant et c'est du vécu. À 15h, un jeudi, un client nous appelle et nous dit que son système vient de tomber et il se rend compte que les sauvegardes sont elles aussi touchées. C'est un mélange entre panique et sidération. Donc tout de suite, on active l'assurance et donc on active cette assistance dont je vous parlais. 17h, première réunion avec des membres de cette entreprise et les experts qui interviennent pour le compte de l'assureur. Entre temps, je précise que le dirigeant m'avait appelé pour savoir déjà si on pouvait... rembourser des rançons avec le contrat avoué. Quand je parle de sidération et d'effet panique, on en est là. Et le premier constat, et je me rappelle vraiment de cette crise, c'est la sérénité qui a été amenée par le fait de se retrouver en visioconférence avec les experts de l'assureur, qui ont tout de suite permis de poser les choses, de comprendre et de mettre en place le dispositif. En l'occurrence, les serveurs étaient touchés, les sauvegardes étaient chiffrées par un ransomware. Donc tout de suite, on déroule un plan de gestion de crise. Plusieurs hypothèses sont envisagées et la première option est la meilleure, et ça a été prouvé par la suite, c'est qu'on prend la décision de sortir les disques durs des serveurs, de les envoyer par transporteur dès le lendemain matin auprès d'une société qui était spécialisée dans la récupération de données. Et d'ailleurs, ce qui était important, c'est que cette société spécialisée dans la récupération de données, elle était présente à cette première visio parce que tout de suite, ça avait été identifié. Et l'autre souvenir que j'ai, c'est que le samedi midi, on reçoit un mail nous confirmant que les serveurs sont déchiffrés. On est vraiment passé d'un effet de panique important, avec un risque très grave pour l'entreprise de peut-être ne pas pouvoir se relever, parce qu'en l'occurrence les serveurs étaient chiffrés, à une phase assez rapide de remédiation, puisque dès lors qu'on a pu restaurer les sauvegardes, on a pu remettre en place l'activité, et une semaine à dix jours après, l'activité était repartie. Alors, ça a eu des conséquences, c'était une semaine compliquée. de suractivité pour les dirigeants concernés, etc. Mais cette entreprise est repartie et l'aide des experts a été fondamentale dès les premières heures. Et on parle de une à deux heures entre le déclenchement et cette assistance.

  • Speaker #0

    Très bien. Et donc tout cet écosystème qui va s'agiter pour sauver l'entreprise, ça a bien un coût. Est-ce que, alors, si ce n'est pas pour celle-ci, est-ce qu'on peut essayer d'avoir une idée du coût moyen que ça représente ? cette assurance versus les dégâts occasionnés, ce qui pourrait représenter également ?

  • Speaker #1

    C'est une bonne question parce que souvent, le coût de ces assurances fait l'objet de beaucoup d'idées reçues. Aujourd'hui, on est sur des niveaux de primes d'assurance qui ont baissé. Si je vous donne quelques exemples, on va dire que pour une PME, le coût d'une assurance cyber, ça va être entre 1 000 et 5 000 euros, grosso modo. Il y a des différences de tarifs qui vont s'expliquer déjà par le choix entre les assureurs, d'où l'intérêt d'être conseillé par un... courtier spécialisé qui aidera à faire ce choix là. Qu'est ce qui va rentrer en ligne de compte ? Le chiffre d'affaires, l'activité, le volume des données, la sensibilité de l'activité web. C'est sûr qu'une société qui fait du flou le web ou des ventes sur internet aura un risque plus élevé qu'une entreprise moins dépendante. Donc voilà tout ça a un impact sur la prime mais retenez que pour une PME entre 1000 et 5000 euros on a pour habitude de dire que c'est le de quelques smartphones, ça reste très raisonnable. Il est vrai que pour les ETI, les grands groupes, on va être cette fois-ci sur des montants de primes bien supérieurs. Pour une ETI, c'est des dizaines de milliers d'euros. Pour un grand groupe, c'est en centaines de milliers. Mais on va parler là cette fois-ci de garantie en millions d'euros. Et on voit que la menace est très forte. Ce sont des polices qui sont amenées fréquemment à jouer. Nous, ce qu'on observe, c'est que 80% des cas, c'est surtout de l'assistance. C'est-à-dire que seuls les experts vont être mobilisés sur la remise en place du système. Et ça, ça va limiter les coûts. Par contre, il est vrai que quand on a une interruption totale ou partielle d'activité ou des systèmes d'information, alors on va avoir ce qu'on appelle de la perte d'exploitation. Et là, on va avoir des sinistres qui vont se chiffrer en centaines de milliers d'euros, voire en millions d'euros. Donc, ce sont des contrats qui ont un coût, mais avec un risque fort derrière. Et on le voit, ils jouent régulièrement. En tout cas, ça reste abordable. Et c'est important de dire que les prix ont baissé ces dernières années, alors qu'ils avaient très fortement monté, notamment après la phase de confinement. parce que là, il y avait une explosion des cyberattaques. On se demandait même si le marché de l'assurance cyber allait tenir. Dans les faits, les résultats sont améliorés. notamment aussi parce que les entreprises ont fait de très gros efforts sur leur cybersécurité et donc le risque est redevenu assurable. Et ce que l'on observe aujourd'hui, c'est que les sociétés qui s'assurent sont généralement celles qui ont un bon, voire un très bon niveau de sécurité. Et d'ailleurs, il n'est pas rare de voir des entreprises nous demander de produire une attestation d'assurance parce qu'on leur demande de produire cette attestation. Et quelque part, c'est une façon de démontrer que si on est assuré par un assurance cyber, alors on démontre un certain niveau de sécurité.

  • Speaker #0

    Merci. Maintenant, vous allez nous aider à lire entre les lignes des contrats qui, pour certains, peuvent ne pas paraître clairs. Quels sont les événements qui sont réellement couverts et ceux qui ne le sont pas ?

  • Speaker #1

    Merci de cette question. Effectivement, on parle beaucoup de cyberattaques. L'assurance cyber ne couvre pas que les cyberattaques, mais principalement, aujourd'hui, c'est ce que l'on observe. Quand on parle de cyberattaques, ça va être des attaques externes. Beaucoup de ransomware, c'est des logiciels qui viennent chiffrer les données. Les hackers prétendent déchiffrer les données moyennant le paiement d'une rançon. Ça, c'est une menace qui est très forte. On a du vol de données, on a des attaques par déni de service. L'entreprise va se retrouver avec un système site web ou même un système garantie qui va tomber parce qu'elle se fait bombarder de requêtes. Ça, c'est un premier cas d'activation. Toutes ces attaques externes et intrusions de nos systèmes d'information. mais une cyberattaque peut également être déclenchée Si l'origine est interne, avec pourquoi pas de la malveillance interne, en tout cas ça fait partie des déclencheurs, mais une erreur humaine ou un incident perturbant l'exploitation peut également être un cas d'activation, parce qu'au final les conséquences seront les mêmes pour l'entreprise. Le système est à l'arrêt, il peut y avoir une exposition des données, donc c'est un cas d'activation. Et puis il y a un autre cas qui est assez fréquent, c'est quand son fournisseur, par exemple son fournisseur informatique, son prestataire, son infogéreur, son hébergeur de données est lui-même touché, on se retrouve en cas de cyberincident, donc on va activer la police. Donc je l'ai dit tout à l'heure, lorsqu'on active la police d'assurance, immédiatement on est sur la phase généralement d'assistance, des experts sont missionnés, ils vont intervenir pour comprendre la situation, qu'est-ce qui se passe, est-ce qu'il y a une intrusion dans le système d'information, est-ce que des données sont exposées, ont été volées, donc il y a toute cette phase-là d'analyse. D'autres experts vont rentrer en ligne de compte juridique et communication de crise. Juridique parce que si des données sont compromises, alors il y a une notification à l'affaire LACNIL, voire il faudra prévenir les clients que leurs données ont pu être exposées. Et un point qui est souvent sous-estimé, c'est la communication de crise. Une bonne crise doit être bien gérée en termes de communication, parce que vous pouvez très bien la réussir techniquement. Si on communique mal ou si ce qu'on observe souvent, on ne communique pas pendant cette phase-là, alors ça génère de l'inquiétude. Ça peut générer des fausses informations. Les réseaux sociaux peuvent s'en emparer. Donc, le volet gestion de crise, dont la composante de communication de crise, il est fondamental. Alors, vous le disiez, ça a un coût. Donc, les experts qui interviennent ont des honoraires qui peuvent être élevés, puisqu'on est, encore une fois, sur de l'expertise de haut niveau. Le principe, c'est que l'assurance va prendre en charge le coût de ses experts. Donc, l'assureur les met à disposition et prend en charge le coût de ses interventions. Et derrière, l'assurance, elle va venir couvrir... prendre en charge l'ensemble des pertes, ces pertes étant les coûts directs d'une entreprise, la perte d'exploitation que j'évoquais tout à l'heure, ou possiblement des recours en responsabilité civile parce qu'il y a eu une compromission de données. Aujourd'hui, c'est perçu comme un véritable risque, mais dans les faits, c'est encore assez faible dans la sinistralité qu'on observe en France. Mais si on regarde Outre-Atlantique, on voit que les recours en compromission de données ont tendance à augmenter. Donc ce volet de responsabilité civile, il est important. protéger l'entreprise et je dirais également ces dirigeants qui sont eux responsables de cette gestion.

  • Speaker #0

    Ce qui est sûr, c'est que l'assurance responsabilité civile, elle ne suffit pas aujourd'hui alors que j'imagine qu'à tort, il y en a qui il y a des patrons qui peuvent imaginer que c'est le cas. J'ai une autre question, justement, lors de la souscription d'un contrat avec vous, par exemple, est-ce qu'il y a des erreurs stratégiques à ne pas commettre ? Quels sont les angles morts les plus fréquents dans la souscription d'une assurance cyber, finalement ?

  • Speaker #1

    Je dirais qu'il y a deux types d'erreurs. Il y a les erreurs qu'on peut rencontrer avant la phase de souscription ou au début. C'est cette sous-estimation du risque cyber. Il faut être conscient de l'impact que ça peut avoir. Une autre erreur qu'on rencontre moins, mais plus fréquemment lorsque j'avais lancé Resco, c'est croire que l'on est assuré. Le risque cyber, aujourd'hui, il est exclu des polices de responsabilité civile. Généralement, il est exclu des contrats de dommages. Il faut vraiment passer par un contrat dédié pour avoir une couverture. pleine. de ce risque-là. Donc ça peut être une erreur de penser qu'on est assuré parce qu'on a plein d'assurances, c'est un travers qu'on rencontre souvent. Et souvent, on imagine que ça va être complexe, long et laborieux, et là aussi, les assurants ont vraiment fait des progrès sur ce qu'on appelle la souscription, et on peut aller aujourd'hui assez vite pour savoir si on est assurable ou pas, et si oui, à quelles conditions. Ce sur quoi il faut être vigilant, et là aussi, c'est vraiment l'importance d'avoir un conseil. soit spécialisé comme on l'a chez Resco ou un courtier qui maîtrise bien ce sujet, c'est de ne pas sous-estimer l'impact afin de déterminer le bon niveau d'assurance. C'est le premier exercice, c'est de savoir ce que pourrait coûter une crise cyber majeure sur l'entreprise pour adapter le niveau de garantie en conséquence. Donc ne pas sous-estimer. Un autre point, c'est être vigilant aux prérequis. l'assureur pour pouvoir prendre une garantie. va s'attendre à ce que l'entreprise ait un certain niveau de sécurité informatique, un certain niveau de protection. Et ça va être contractualisé. Donc, si l'entreprise s'est engagée à avoir des antivirus à jour, des sauvegardes qui sont déconnectées, à avoir une sécurisation des accès à distance, alors c'est contractuel, c'est ce qu'on appelle les prérequis. Et là, il faut une vraie vigilance des assurés sur ces points-là parce qu'en cas de sinistre, ce sont des points qui vont être vérifiés par les assureurs et ça jouera sur la garantie, bien évidemment. Il faut d'ailleurs être vigilant au respect de ses prérequis dans le temps. Une entreprise qui rachète une filiale devra s'assurer que cette filiale respecte elle aussi ses prérequis. Et puis après, ça reste de l'assurance. Il y a des critères qui sont assez classiques, mais qu'il faut surveiller. Est-ce qu'on a une activité, par exemple, USA Canada ? Ça peut faire l'objet d'exclusions et de rachats. Est-ce qu'on exerce certaines activités à risque ? Quel est le volume de données qu'on a en base ? Est-ce qu'on ne dépasse pas certains seuils qui peuvent avoir des conséquences sur sa police d'assurance ? Donc, être vigilant, effectivement, aux conditions qui permettent d'être assuré et être vigilant sur le fait de s'assurer que dans le temps, on respecte toujours bien ces conditions-là.

  • Speaker #0

    En cas de non-assurance, est-ce qu'on a une idée un peu de ce que ça aurait représenté en termes de coûts et de dégâts humains, même parce qu'il y a un impact humain également dont on n'a pas forcément parlé, mais on ne peut pas tout aborder malheureusement ? Qu'est-ce que ça aurait représenté si vous n'aviez pas été là ?

  • Speaker #1

    Je précise, en deux jours, on savait qu'on pouvait repartir. Et il a fallu néanmoins bien dix jours pour que l'entreprise reparte. Qu'est-ce qui se passe si cette crise, et comme d'autres, ne s'était pas gérée de cette façon ? Ça veut dire que le dirigeant, avec son équipe, va se retrouver seul, confronté à une situation qu'il n'a peut-être jamais vécue. Et il faut bien voir qu'aujourd'hui, quand on parle de menace cyber, on est face à des réseaux très spécialisés, voire même professionnels dans une certaine mesure. si ce n'est pas des mafias ou des groupes avec des appuis étatiques. Donc l'entreprise, elle est livrée elle-même. Elle va devoir en urgence rechercher des experts capables d'intervenir. La difficulté, c'est que dans l'urgence, on ne trouve pas forcément des prestataires en capacité d'intervenir ou ayant le savoir-faire. Donc c'est des choses qui s'anticipent. Alors il existe des dispositifs, et notamment sur Cybermalveillance, qui mettent à disposition des experts, et c'est important de l'avoir en tête. Mais c'est quand même fondamental d'avoir ce dispositif de réaction quasiment prêt à démarrer. Tous les experts le disent, réagir en quelques heures, c'est fondamental. Si on n'est pas ça, je dirais que c'est pour ça que le business des hackers fonctionne si bien et qu'aujourd'hui, un certain nombre de rançons sont payées. C'est parce qu'aujourd'hui, les entreprises n'ont pas d'alternative. Elles n'ont pas les bons appuis ou elles n'ont pas forcément, et ou elles n'ont pas pris les bonnes mesures en amont, notamment sur ce qui s'agit des sauvegardes. Et ça entretient le business de la cybercriminalité. et d'autres entreprises. prises ne se relèveront pas. Donc aujourd'hui, on parle beaucoup de résilience, il faut se dire que c'est un risque qui peut arriver demain. Encore une fois, on peut être ciblé directement, on peut être touché par rebond, ça peut être les données qui pourraient être exposées aux compromises. On se doit de passer cette étape, on se doit de relancer l'activité, d'être résilient. Donc c'est se dire que ça peut arriver, mais il faut y faire face. Et un autre point qu'on peut évoquer, c'est préparer cette gestion de crise. C'est fondamental et d'ailleurs aujourd'hui, ça fait partie des mesures que peuvent exiger les assureurs, ou en tout cas soutenir, favoriser, c'est de jouer ces exercices de crise pour être prêts. On peut jouer différents cas. Dans la réalité, ce ne sera jamais comme un exercice, mais on va gagner du temps, les équipes seront plus prêtes à jouer. Et puis, c'est important de savoir sur qui on peut compter, quels seront les experts qui interviendront le moment venu.

  • Speaker #0

    C'était le sujet du deuxième épisode. de l'anticipation au maximum de la crise, quand bien même elle ne pourrait jamais survenir. On en parlait avec Sébastien Jardin il y a un mois, justement, dans les locaux du Forum Insider. Je vais revenir sur les fameuses exigences qu'on a citées précédemment, les exigences des assureurs. On a vu qu'elles étaient parfois très poussées en matière de sécurité et de conformité. Est-ce que vous pouvez nous en dire un petit peu plus sur la place qu'elles occupent désormais dans la stratégie cyber des entreprises ?

  • Speaker #1

    Je commencerais par dire qu'aujourd'hui, Objectivement, les exigences des assureurs sur le risque cyber sont cohérentes avec la menace. Si on a ce niveau d'exigence générale de la part des assureurs pour un certain niveau de chiffre d'affaires ou d'activité, c'est que globalement, il y a un vrai niveau de risque et que si on ne prend pas ces mesures-là, alors l'assureur considérera qu'il n'y aura pas d'aléas, c'est juste une question de temps. C'est d'ailleurs intéressant, quand on engage cette démarche, de voir quels sont les prérequis des assurances. Ça permet de se dire, voilà, OK, donc, a priori, le bon niveau de sécurité, il est celui-ci. Effectivement, les assureurs ont poussé et mis en avant un certain nombre de mesures. Ils sont très vigilants au fait que les systèmes d'antivirus soient déployés et soient à jour pour qu'il n'y ait pas de vulnérabilité liée à une mise à jour qui n'aurait pas été faite. Les assureurs ont fortement poussé à la sécurisation des accès à distance. Quand je dis ont fortement poussé, c'est-à-dire que poste cette période de Covid. il n'était plus possible d'assurer une grosse PME, une ETI, si les accès à distance n'étaient pas sécurisés par ce qu'on appelle un VPN et une authentification forte. Mais ces mesures, elles étaient cohérentes parce que c'était vraiment une porte d'entrée trop accessible pour les hackers. On parlait de gestion de crise, de sensibilisation aux employés. Ça fait partie de ce que peuvent recommander, voire exiger les assureurs, notamment que les employés d'une entreprise soient sensibilisés, voire que l'on organise des campagnes de phishing. Et là aussi, je dirais que c'est plutôt en bonne intelligence qu'on a ce type de mesures-là. Et finalement, les premiers bénéfices, c'est les entreprises. On peut avoir après, en fonction d'un chiffre d'affaires plus important, des exigences complémentaires. Les assureurs vont exiger ce qu'on appelle des EDR, des antivirus plus plus, qui vont vraiment faire de la surveillance active sur le système d'information. On peut exiger des plans de continuité. Nous, ce qu'on observe, c'est qu'il y a une certaine cohérence entre les exigences. et la réalité du risque. Ça ne veut pas dire qu'il ne faut pas mettre en concurrence les différents assureurs et que parfois, une entreprise ne sera pas éligible auprès de tel ou tel, mais trouvera néanmoins une autre solution d'assurance parce qu'un assureur acceptera ce risque-là. Certains sont plus exigeants. Ça évolue dans le temps et d'une manière générale, la concurrence est importante par rapport à ça. Ce qu'on peut dire, et je trouve que c'est une nouvelle tendance, c'est que 1. les assureurs ont des exigences en termes de prérequis, mais 2. ils sont force de proposition. aujourd'hui. Donc certains vont négocier par exemple des avantages tarifaires auprès de telle ou telle solution qu'ils vont recommander au client. Donc quelque part là il y a une économie qui peut être réalisée pour le client, mais d'autres, et c'est vraiment une tendance qui vient d'outre-Atlantique, intègrent directement dans leurs offres d'assurance cyber ce volet prévention avec ce qu'on appelle des scans de vulnérabilité qui vont être joués de façon hebdomadaire. Donc l'entreprise va bénéficier de cette veille et elle saura s'il y a des fuites, des expositions, des mots de passe qui auraient pu... pu fuiter. Il n'est pas rare d'ailleurs que certains assureurs nous préviennent pour dire voilà tel client est exposé, on a découvert une faille grâce à ces scans, il faut le prévenir. Donc vous voyez on est vraiment là dans la prévention, dans la proactivité. Les assureurs aussi ont mis en place des systèmes de campagne de phishing. Donc aujourd'hui, quand je vous disais tout à l'heure que ça peut coûter entre 1000 et 5000 euros pour s'assurer en cyber pour une PME, ça peut comprendre notamment un dispositif de veille et un dispositif de campagne de phishing. ... Et si on fait le compte, c'est pour le coup avantageux financièrement parce que vous avez d'un côté les éléments de la prévention et vous avez l'assurance et la réponse à incidents. Donc, c'est un budget, mais qui va permettre de réduire d'autres budgets d'investissement en cybersécurité.

  • Speaker #0

    Très intéressant, vous avez commencé à répondre un petit peu à ma dernière question. J'ai bien compris que l'assurance ne peut pas substituer la mise en place de solutions qui, en plus, avec NIS2, DORA, deviennent obligatoires. On ne peut plus échapper à l'installation de différentes solutions au sein de son entreprise pour protéger son système d'information. Comment il évolue cet équilibre entre l'offre assurantielle et les exigences côté entreprise ? Et quelles sont les alternatives quand on ne veut pas ou qu'on ne peut pas s'assurer ?

  • Speaker #1

    On l'a dit tout à l'heure, effectivement, les conditions sont durcies en 2022-2023 et il devenait difficile pour certaines entreprises de s'assurer ou de trouver un bon équilibre entre le niveau de prime et le niveau d'assurance. Aujourd'hui, la concurrence joue vraiment et on voit que les conditions se sont bien améliorées. C'est important de savoir aujourd'hui que les primes d'assurance ont baissé, les franchises ont baissé. On a des niveaux de capacité qui sont conformes aux besoins. À un moment, on avait des difficultés aussi à avoir les bons niveaux de garantie. Donc, même si la menace n'a jamais baissé, et on voit qu'elle s'est renforcée d'année en année, après les analyses de l'ANSI et autres, la menace augmente, mais le niveau de sécurité des entreprises l'a accompagné. Donc aujourd'hui, on a un bon équilibre entre, on le disait, le besoin d'assurance. et les prérequis attendus pour s'assurer. Il y a une forte pression pour renforcer leur sécurité. Vous évoquez Dora, Nice 2. Effectivement, la tendance est à l'augmentation du niveau de sécurité, et c'est logique. Et on voit que le contexte politique dans lequel on est ne va pas améliorer les choses. Le cyber, aujourd'hui, c'est un moyen de déstabiliser. Donc, on n'a pas d'autre choix que de renforcer ce niveau de sécurité. Donc, ça va bénéficier à l'assurance. Parce que ce qu'on observe, c'est que quand les entreprises engagent cette démarche de cybersécurité, de renforcer leur résilience, alors va se poser la question de l'assurance et du transfert à l'assureur. Donc, ça va forcément faire augmenter le recours à l'assurance. Je le disais tout à l'heure, parfois, les entreprises nous contactent parce qu'elles ont besoin d'une attestation d'assurance. Donc, quelque part, je ne pense pas qu'il y aura une obligation légale ou réglementaire à s'assurer. Mais cette obligation contractuelle, elle est importante. et donc elle va inciter aussi les entreprises à avoir recours à l'assurance. Et objectivement, c'est une bonne chose parce qu'on voit que l'assurance, ça renforce la résilience des organisations, des entreprises. Maintenant, celles qui ne peuvent pas s'assurer, qui n'ont pas fait leur démarche, vont rechercher des solutions d'assistance. On a ce qu'on appelle les solutions en certes. On va prendre un abonnement auprès d'un spécialiste en cybersécurité qui, en plus de faire une veille, pourra intervenir dans la situation en cas d'incident cyber, avec un forfait en nombre de jours, mais on sait que ce nombre de jours est limité. Donc d'avoir un cert, ça va garantir une forte réactivité en cas d'incident, mais ça ne prendra pas en totalité le coût de ces experts. Et en tout état de cause, ça ne prendra pas en charge les conséquences financières que pour avoir une cyberattaque ou un incident. J'ai évoqué cybermalveillance.gouv. On a là, heureusement, des experts qui sont recensés et qui permettent d'intervenir si on n'a pas anticipé les choses. Mais ma recommandation, c'est vraiment anticipons. Et par expérience, ce qu'on voit, c'est que les entreprises qui engagent la démarche d'assurance cyber, déjà, elles n'y renoncent pas. Les entreprises qui ont souscrit, à un moment donné, vont conserver cette assurance parce qu'elles en ont compris le bénéfice. On voit aussi que ça permet d'avoir une vraie communication au sein de l'entreprise, que le sujet soit porté par le DSI, par le dirigeant, par le DAF. Ils vont communiquer entre eux et ça va, je trouve, mettre le niveau du risque cyber au bon niveau. dans l'entreprise. Ça ne va plus devenir seulement le sujet de la DSI ou du service informatique, voire du prestataire. On va le prendre en considération, on va en mesurer les impacts et on va dire, OK, on va le traiter pour demain, si on est confronté à ce type de situation, traverser au mieux la situation.

  • Speaker #0

    Alors, Arnaud, petite question de surprise. Je vous donne 15 secondes pour convaincre un dirigeant de souscrire une assurance cyber.

  • Speaker #1

    En 15 secondes. Que le dirigeant anticipe la situation, qu'il n'attende pas d'être dos au mur parce que ça peut arriver à tout le monde. Si demain il est confronté à un ransomware, un incident grave de cybersécurité, qu'il sache sur qui il peut compter pour répondre dès les premières heures à cette situation et qu'une assurance soit en place pour en prendre en charge les coûts que ça peut représenter.

  • Speaker #0

    Merci d'avoir suivi cet épisode d'Incyber Voices. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Description

Dans cet épisode d'InCyber Voices, nous recevons Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et protection des entreprises. L’assurance cyber est souvent perçue comme une simple formalité ou un luxe inaccessible, alors qu’elle peut devenir un véritable atout stratégique… à condition d’en maîtriser les enjeux.


🔹 Qui est concerné par l’assurance cyber ? (TPE, PME, ETI, grands groupes, collectivités…)
🔹 Comment réagir face à une cyberattaque ? Retour d’expérience sur une crise résolue en 48h.
🔹 Quels coûts anticiper ? Prime d’assurance vs. coût réel d’un sinistre.
🔹 Que couvrent (ou pas) les contrats ? Ransomware, erreurs humaines, responsabilités juridiques…
🔹 Quelles erreurs éviter lors de la souscription ? Prérequis, garanties, pièges à déjouer.


Un éclairage indispensable, animé par Mélissa Périé-Betton, pour anticiper les risques cyber et renforcer la résilience de son organisation.


🎧 Écoutez l’épisode maintenant !


Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Aujourd'hui, on va parler garantie, obligations et responsabilités avec Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et en protection des entreprises. L'assurance cyber reste souvent perçue comme une formalité ou comme un luxe inaccessible. Pourtant, elle peut devenir un levier stratégique, à condition d'en comprendre les règles. C'est parti pour un tour d'horizon des bonnes questions à se poser avant de signer. Avant de parler de garantie, on va peut-être poser les bases. Qu'est-ce qu'on entend exactement par assurance cyber aujourd'hui ? À qui les contrats s'adressent ? Je parle de taille d'entreprise, de secteur. Et concrètement, qui va piloter ce sujet en interne ? Est-ce que c'est les DSI ? Est-ce que c'est le juridique, le risque manager, le RSSI ?

  • Speaker #1

    Alors effectivement, peut-être déjà rappeler et remettre dans le contexte l'assurance cyber, rappeler que depuis... au moins 2019, parce que j'ai en tête le baromètre de l'assureur Alliance, en 2019 l'assurance cyber devient le risque numéro 1. La cybercriminalité est le premier risque. Le deuxième risque étant l'interruption d'activité. Donc on voit qu'on est vraiment sur un risque très fort, important pour les entreprises. Aujourd'hui on voit que ça touche toutes les entreprises, toutes les associations, possiblement les collectivités locales, etc. En tout cas, nul n'est à l'abri, quelle que soit sa taille, son secteur à l'actualité. Une cyberattaque a toujours des conséquences sur une organisation. On parle d'un coût médian pour les TPE, PME de 50 000 euros, mais on sait que ça coûte des millions d'euros dès lors qu'on va toucher des ETI et des grands groupes. Les exemples ne manquent pas. On sait que c'est aussi un risque vital. L'actualité a présenté un certain nombre de cas de sociétés qui ont été placées en redressement judiciaire, en liquidation judiciaire suite à des cyberattaques. Donc c'est une menace qu'il ne faut pas prendre à la légère. et en même temps, c'est une menace. Et les experts en cybersécurité le confirment, qu'on a du mal à préonder. Ça concerne souvent les autres et on se sent concerné lorsque l'on a été touché ou quand son écosystème proche l'a été. Souvent, on sous-estime aussi l'impact qu'une cyberattaque peut avoir sur son organisation. Donc voilà, il faut redonner ce contexte. Et donc l'assurance cyber, qui a plus d'une vingtaine d'années aujourd'hui, mais qui se développe fortement depuis maintenant 4-5 ans, même s'il y a encore énormément de choses à faire, elle a comme objectif de sécuriser les entreprises. face aux cyberattaques, face aux vols de données, face à la compromission de données. Et on peut dire que c'est un mix entre un volet assistance, qui est fondamental et souvent méconnu, et un volet assurance. L'assistance, parce que l'assurance cyber, elle va jouer dès les premières heures de la crise en mettant à disposition d'une entreprise ou d'une organisation des experts de premier niveau, rompus à la cybersécurité et ses opérations de cyberattaques essentiellement, même si ça ne touche pas que cyberattaques. et un assureur qui va prendre en charge les conséquences financières de ces incidents, à savoir la prise en charge, la mise à disposition déjà de ces experts, qui ont un coût élevé parce qu'on est vraiment sur du haut niveau d'intervention. Et dedans, il y aura des avocats, il y aura de la communication de crise. Et puis, c'est l'ensemble des coûts directs que l'entreprise peut subir jusqu'à la perte d'exploitation. Donc, l'idée, c'est de remettre en situation une entreprise, une organisation qui a été touchée, afin de lui permettre de repartir après cette cyberattaque. Merci. Et surtout, parce que la menace est forte des rançons, de ne pas avoir à payer les rançons. Parce que ça, c'est un sujet qui a beaucoup fait parler de lui. Il est vrai que les assurances cyber, globalement, ont ce volet de remboursement de rançons, mais dans les faits, elles ne sont quasiment jamais amenées à le faire, ou très rarement. Et en tout cas, en France, on a cette confirmation de la part des assureurs, parce que tout est mis à disposition des entreprises pour leur permettre de redémarrer rapidement. Alors, vous me disiez qui peut potentiellement être touché ? Effectivement, c'est tout le monde. c'est déjà tout Toute taille d'entreprise, les TPE, les PME, les ETI et les grands groupes, les exemples ne manquent pas. Il ne suffit pas d'être connu ou sur un secteur en pointe comme le digital ou le monde financier pour être ciblé. Tout le monde aujourd'hui peut, un peu l'image du chalut qui va pêcher dans ses filets, énormément de poissons, mais toute entreprise peut se retrouver dans ses filets. D'autant qu'on peut être touché directement avec une attaque ciblée, mais ça peut être ce fameux clic qu'on ferait sur un mauvais lien. ou le mail auquel on répondrait en donnant ses identifiants. Ça arrive encore régulièrement. Mais ça peut être aussi son sous-traitant, son hébergeur qui peut être touché. Et donc, par rebond, on peut l'être. Et on peut donner un exemple. Fin 2023, 1200 experts comptables ont été touchés parce qu'un de leurs prestataires avait, lui, été victime d'une cyberattaque. Donc, ça concerne vraiment toutes les entreprises. Mais pas que. On sait que les cyberattaques peuvent également toucher les collectivités locales. Les exemples ne manquent pas. Même les hôpitaux sont ciblés et un certain nombre d'exemples, dont Corbeil-Yesson qui a fait parler de lui, sont des exemples très connus. Les établissements d'enseignement, que ce soit les établissements d'enseignement supérieur ou autre, sont touchés. Les associations, les ONG, les musées, bref, aujourd'hui, je ne crois pas qu'il y ait un seul temps de l'activité qui soit à l'abri de ces cyberattaques, principalement. Donc tous et toutes ces organisations ont intérêt de recourir à l'assurance. Pour bénéficier, ça c'est toujours ce qu'on dit à nos clients et prospects, déjà pour avoir cette capacité de répondre immédiatement à un incident qui par nature va être violent, va toucher et mettre en grand danger l'organisation. Donc permettre de répondre dès les premières heures et puis de passer cette crise-là et d'onger les coûts qui peuvent être très conséquents.

  • Speaker #0

    J'ai une question un peu spontanée qui me vient. J'ai souscrit une assurance cyber, je suis le CHU de Nantes. Il y a une attaque qui surgit. Qui intervient concrètement ? Parce que là, vous ici, vous êtes 5, 6. Il y a combien de personnes ? J'ai l'impression qu'on passe en cellule de crise et que d'un coup, il y a 30 personnes qui débarquent pour dire voilà, il faut faire ça, il faut faire ci. Comment ça se passe concrètement quand ça arrive ?

  • Speaker #1

    Alors concrètement, ça va être de la gestion de crise. Alors si on prend l'exemple du CHU, heureusement, ils ont l'ANSI et d'autres services. Mais dès lors qu'on est sur le monde du privé ou autre, c'est le recours à l'assurance. Si je vous donne un exemple, parce que celui-là, il est parlant et c'est du vécu. À 15h, un jeudi, un client nous appelle et nous dit que son système vient de tomber et il se rend compte que les sauvegardes sont elles aussi touchées. C'est un mélange entre panique et sidération. Donc tout de suite, on active l'assurance et donc on active cette assistance dont je vous parlais. 17h, première réunion avec des membres de cette entreprise et les experts qui interviennent pour le compte de l'assureur. Entre temps, je précise que le dirigeant m'avait appelé pour savoir déjà si on pouvait... rembourser des rançons avec le contrat avoué. Quand je parle de sidération et d'effet panique, on en est là. Et le premier constat, et je me rappelle vraiment de cette crise, c'est la sérénité qui a été amenée par le fait de se retrouver en visioconférence avec les experts de l'assureur, qui ont tout de suite permis de poser les choses, de comprendre et de mettre en place le dispositif. En l'occurrence, les serveurs étaient touchés, les sauvegardes étaient chiffrées par un ransomware. Donc tout de suite, on déroule un plan de gestion de crise. Plusieurs hypothèses sont envisagées et la première option est la meilleure, et ça a été prouvé par la suite, c'est qu'on prend la décision de sortir les disques durs des serveurs, de les envoyer par transporteur dès le lendemain matin auprès d'une société qui était spécialisée dans la récupération de données. Et d'ailleurs, ce qui était important, c'est que cette société spécialisée dans la récupération de données, elle était présente à cette première visio parce que tout de suite, ça avait été identifié. Et l'autre souvenir que j'ai, c'est que le samedi midi, on reçoit un mail nous confirmant que les serveurs sont déchiffrés. On est vraiment passé d'un effet de panique important, avec un risque très grave pour l'entreprise de peut-être ne pas pouvoir se relever, parce qu'en l'occurrence les serveurs étaient chiffrés, à une phase assez rapide de remédiation, puisque dès lors qu'on a pu restaurer les sauvegardes, on a pu remettre en place l'activité, et une semaine à dix jours après, l'activité était repartie. Alors, ça a eu des conséquences, c'était une semaine compliquée. de suractivité pour les dirigeants concernés, etc. Mais cette entreprise est repartie et l'aide des experts a été fondamentale dès les premières heures. Et on parle de une à deux heures entre le déclenchement et cette assistance.

  • Speaker #0

    Très bien. Et donc tout cet écosystème qui va s'agiter pour sauver l'entreprise, ça a bien un coût. Est-ce que, alors, si ce n'est pas pour celle-ci, est-ce qu'on peut essayer d'avoir une idée du coût moyen que ça représente ? cette assurance versus les dégâts occasionnés, ce qui pourrait représenter également ?

  • Speaker #1

    C'est une bonne question parce que souvent, le coût de ces assurances fait l'objet de beaucoup d'idées reçues. Aujourd'hui, on est sur des niveaux de primes d'assurance qui ont baissé. Si je vous donne quelques exemples, on va dire que pour une PME, le coût d'une assurance cyber, ça va être entre 1 000 et 5 000 euros, grosso modo. Il y a des différences de tarifs qui vont s'expliquer déjà par le choix entre les assureurs, d'où l'intérêt d'être conseillé par un... courtier spécialisé qui aidera à faire ce choix là. Qu'est ce qui va rentrer en ligne de compte ? Le chiffre d'affaires, l'activité, le volume des données, la sensibilité de l'activité web. C'est sûr qu'une société qui fait du flou le web ou des ventes sur internet aura un risque plus élevé qu'une entreprise moins dépendante. Donc voilà tout ça a un impact sur la prime mais retenez que pour une PME entre 1000 et 5000 euros on a pour habitude de dire que c'est le de quelques smartphones, ça reste très raisonnable. Il est vrai que pour les ETI, les grands groupes, on va être cette fois-ci sur des montants de primes bien supérieurs. Pour une ETI, c'est des dizaines de milliers d'euros. Pour un grand groupe, c'est en centaines de milliers. Mais on va parler là cette fois-ci de garantie en millions d'euros. Et on voit que la menace est très forte. Ce sont des polices qui sont amenées fréquemment à jouer. Nous, ce qu'on observe, c'est que 80% des cas, c'est surtout de l'assistance. C'est-à-dire que seuls les experts vont être mobilisés sur la remise en place du système. Et ça, ça va limiter les coûts. Par contre, il est vrai que quand on a une interruption totale ou partielle d'activité ou des systèmes d'information, alors on va avoir ce qu'on appelle de la perte d'exploitation. Et là, on va avoir des sinistres qui vont se chiffrer en centaines de milliers d'euros, voire en millions d'euros. Donc, ce sont des contrats qui ont un coût, mais avec un risque fort derrière. Et on le voit, ils jouent régulièrement. En tout cas, ça reste abordable. Et c'est important de dire que les prix ont baissé ces dernières années, alors qu'ils avaient très fortement monté, notamment après la phase de confinement. parce que là, il y avait une explosion des cyberattaques. On se demandait même si le marché de l'assurance cyber allait tenir. Dans les faits, les résultats sont améliorés. notamment aussi parce que les entreprises ont fait de très gros efforts sur leur cybersécurité et donc le risque est redevenu assurable. Et ce que l'on observe aujourd'hui, c'est que les sociétés qui s'assurent sont généralement celles qui ont un bon, voire un très bon niveau de sécurité. Et d'ailleurs, il n'est pas rare de voir des entreprises nous demander de produire une attestation d'assurance parce qu'on leur demande de produire cette attestation. Et quelque part, c'est une façon de démontrer que si on est assuré par un assurance cyber, alors on démontre un certain niveau de sécurité.

  • Speaker #0

    Merci. Maintenant, vous allez nous aider à lire entre les lignes des contrats qui, pour certains, peuvent ne pas paraître clairs. Quels sont les événements qui sont réellement couverts et ceux qui ne le sont pas ?

  • Speaker #1

    Merci de cette question. Effectivement, on parle beaucoup de cyberattaques. L'assurance cyber ne couvre pas que les cyberattaques, mais principalement, aujourd'hui, c'est ce que l'on observe. Quand on parle de cyberattaques, ça va être des attaques externes. Beaucoup de ransomware, c'est des logiciels qui viennent chiffrer les données. Les hackers prétendent déchiffrer les données moyennant le paiement d'une rançon. Ça, c'est une menace qui est très forte. On a du vol de données, on a des attaques par déni de service. L'entreprise va se retrouver avec un système site web ou même un système garantie qui va tomber parce qu'elle se fait bombarder de requêtes. Ça, c'est un premier cas d'activation. Toutes ces attaques externes et intrusions de nos systèmes d'information. mais une cyberattaque peut également être déclenchée Si l'origine est interne, avec pourquoi pas de la malveillance interne, en tout cas ça fait partie des déclencheurs, mais une erreur humaine ou un incident perturbant l'exploitation peut également être un cas d'activation, parce qu'au final les conséquences seront les mêmes pour l'entreprise. Le système est à l'arrêt, il peut y avoir une exposition des données, donc c'est un cas d'activation. Et puis il y a un autre cas qui est assez fréquent, c'est quand son fournisseur, par exemple son fournisseur informatique, son prestataire, son infogéreur, son hébergeur de données est lui-même touché, on se retrouve en cas de cyberincident, donc on va activer la police. Donc je l'ai dit tout à l'heure, lorsqu'on active la police d'assurance, immédiatement on est sur la phase généralement d'assistance, des experts sont missionnés, ils vont intervenir pour comprendre la situation, qu'est-ce qui se passe, est-ce qu'il y a une intrusion dans le système d'information, est-ce que des données sont exposées, ont été volées, donc il y a toute cette phase-là d'analyse. D'autres experts vont rentrer en ligne de compte juridique et communication de crise. Juridique parce que si des données sont compromises, alors il y a une notification à l'affaire LACNIL, voire il faudra prévenir les clients que leurs données ont pu être exposées. Et un point qui est souvent sous-estimé, c'est la communication de crise. Une bonne crise doit être bien gérée en termes de communication, parce que vous pouvez très bien la réussir techniquement. Si on communique mal ou si ce qu'on observe souvent, on ne communique pas pendant cette phase-là, alors ça génère de l'inquiétude. Ça peut générer des fausses informations. Les réseaux sociaux peuvent s'en emparer. Donc, le volet gestion de crise, dont la composante de communication de crise, il est fondamental. Alors, vous le disiez, ça a un coût. Donc, les experts qui interviennent ont des honoraires qui peuvent être élevés, puisqu'on est, encore une fois, sur de l'expertise de haut niveau. Le principe, c'est que l'assurance va prendre en charge le coût de ses experts. Donc, l'assureur les met à disposition et prend en charge le coût de ses interventions. Et derrière, l'assurance, elle va venir couvrir... prendre en charge l'ensemble des pertes, ces pertes étant les coûts directs d'une entreprise, la perte d'exploitation que j'évoquais tout à l'heure, ou possiblement des recours en responsabilité civile parce qu'il y a eu une compromission de données. Aujourd'hui, c'est perçu comme un véritable risque, mais dans les faits, c'est encore assez faible dans la sinistralité qu'on observe en France. Mais si on regarde Outre-Atlantique, on voit que les recours en compromission de données ont tendance à augmenter. Donc ce volet de responsabilité civile, il est important. protéger l'entreprise et je dirais également ces dirigeants qui sont eux responsables de cette gestion.

  • Speaker #0

    Ce qui est sûr, c'est que l'assurance responsabilité civile, elle ne suffit pas aujourd'hui alors que j'imagine qu'à tort, il y en a qui il y a des patrons qui peuvent imaginer que c'est le cas. J'ai une autre question, justement, lors de la souscription d'un contrat avec vous, par exemple, est-ce qu'il y a des erreurs stratégiques à ne pas commettre ? Quels sont les angles morts les plus fréquents dans la souscription d'une assurance cyber, finalement ?

  • Speaker #1

    Je dirais qu'il y a deux types d'erreurs. Il y a les erreurs qu'on peut rencontrer avant la phase de souscription ou au début. C'est cette sous-estimation du risque cyber. Il faut être conscient de l'impact que ça peut avoir. Une autre erreur qu'on rencontre moins, mais plus fréquemment lorsque j'avais lancé Resco, c'est croire que l'on est assuré. Le risque cyber, aujourd'hui, il est exclu des polices de responsabilité civile. Généralement, il est exclu des contrats de dommages. Il faut vraiment passer par un contrat dédié pour avoir une couverture. pleine. de ce risque-là. Donc ça peut être une erreur de penser qu'on est assuré parce qu'on a plein d'assurances, c'est un travers qu'on rencontre souvent. Et souvent, on imagine que ça va être complexe, long et laborieux, et là aussi, les assurants ont vraiment fait des progrès sur ce qu'on appelle la souscription, et on peut aller aujourd'hui assez vite pour savoir si on est assurable ou pas, et si oui, à quelles conditions. Ce sur quoi il faut être vigilant, et là aussi, c'est vraiment l'importance d'avoir un conseil. soit spécialisé comme on l'a chez Resco ou un courtier qui maîtrise bien ce sujet, c'est de ne pas sous-estimer l'impact afin de déterminer le bon niveau d'assurance. C'est le premier exercice, c'est de savoir ce que pourrait coûter une crise cyber majeure sur l'entreprise pour adapter le niveau de garantie en conséquence. Donc ne pas sous-estimer. Un autre point, c'est être vigilant aux prérequis. l'assureur pour pouvoir prendre une garantie. va s'attendre à ce que l'entreprise ait un certain niveau de sécurité informatique, un certain niveau de protection. Et ça va être contractualisé. Donc, si l'entreprise s'est engagée à avoir des antivirus à jour, des sauvegardes qui sont déconnectées, à avoir une sécurisation des accès à distance, alors c'est contractuel, c'est ce qu'on appelle les prérequis. Et là, il faut une vraie vigilance des assurés sur ces points-là parce qu'en cas de sinistre, ce sont des points qui vont être vérifiés par les assureurs et ça jouera sur la garantie, bien évidemment. Il faut d'ailleurs être vigilant au respect de ses prérequis dans le temps. Une entreprise qui rachète une filiale devra s'assurer que cette filiale respecte elle aussi ses prérequis. Et puis après, ça reste de l'assurance. Il y a des critères qui sont assez classiques, mais qu'il faut surveiller. Est-ce qu'on a une activité, par exemple, USA Canada ? Ça peut faire l'objet d'exclusions et de rachats. Est-ce qu'on exerce certaines activités à risque ? Quel est le volume de données qu'on a en base ? Est-ce qu'on ne dépasse pas certains seuils qui peuvent avoir des conséquences sur sa police d'assurance ? Donc, être vigilant, effectivement, aux conditions qui permettent d'être assuré et être vigilant sur le fait de s'assurer que dans le temps, on respecte toujours bien ces conditions-là.

  • Speaker #0

    En cas de non-assurance, est-ce qu'on a une idée un peu de ce que ça aurait représenté en termes de coûts et de dégâts humains, même parce qu'il y a un impact humain également dont on n'a pas forcément parlé, mais on ne peut pas tout aborder malheureusement ? Qu'est-ce que ça aurait représenté si vous n'aviez pas été là ?

  • Speaker #1

    Je précise, en deux jours, on savait qu'on pouvait repartir. Et il a fallu néanmoins bien dix jours pour que l'entreprise reparte. Qu'est-ce qui se passe si cette crise, et comme d'autres, ne s'était pas gérée de cette façon ? Ça veut dire que le dirigeant, avec son équipe, va se retrouver seul, confronté à une situation qu'il n'a peut-être jamais vécue. Et il faut bien voir qu'aujourd'hui, quand on parle de menace cyber, on est face à des réseaux très spécialisés, voire même professionnels dans une certaine mesure. si ce n'est pas des mafias ou des groupes avec des appuis étatiques. Donc l'entreprise, elle est livrée elle-même. Elle va devoir en urgence rechercher des experts capables d'intervenir. La difficulté, c'est que dans l'urgence, on ne trouve pas forcément des prestataires en capacité d'intervenir ou ayant le savoir-faire. Donc c'est des choses qui s'anticipent. Alors il existe des dispositifs, et notamment sur Cybermalveillance, qui mettent à disposition des experts, et c'est important de l'avoir en tête. Mais c'est quand même fondamental d'avoir ce dispositif de réaction quasiment prêt à démarrer. Tous les experts le disent, réagir en quelques heures, c'est fondamental. Si on n'est pas ça, je dirais que c'est pour ça que le business des hackers fonctionne si bien et qu'aujourd'hui, un certain nombre de rançons sont payées. C'est parce qu'aujourd'hui, les entreprises n'ont pas d'alternative. Elles n'ont pas les bons appuis ou elles n'ont pas forcément, et ou elles n'ont pas pris les bonnes mesures en amont, notamment sur ce qui s'agit des sauvegardes. Et ça entretient le business de la cybercriminalité. et d'autres entreprises. prises ne se relèveront pas. Donc aujourd'hui, on parle beaucoup de résilience, il faut se dire que c'est un risque qui peut arriver demain. Encore une fois, on peut être ciblé directement, on peut être touché par rebond, ça peut être les données qui pourraient être exposées aux compromises. On se doit de passer cette étape, on se doit de relancer l'activité, d'être résilient. Donc c'est se dire que ça peut arriver, mais il faut y faire face. Et un autre point qu'on peut évoquer, c'est préparer cette gestion de crise. C'est fondamental et d'ailleurs aujourd'hui, ça fait partie des mesures que peuvent exiger les assureurs, ou en tout cas soutenir, favoriser, c'est de jouer ces exercices de crise pour être prêts. On peut jouer différents cas. Dans la réalité, ce ne sera jamais comme un exercice, mais on va gagner du temps, les équipes seront plus prêtes à jouer. Et puis, c'est important de savoir sur qui on peut compter, quels seront les experts qui interviendront le moment venu.

  • Speaker #0

    C'était le sujet du deuxième épisode. de l'anticipation au maximum de la crise, quand bien même elle ne pourrait jamais survenir. On en parlait avec Sébastien Jardin il y a un mois, justement, dans les locaux du Forum Insider. Je vais revenir sur les fameuses exigences qu'on a citées précédemment, les exigences des assureurs. On a vu qu'elles étaient parfois très poussées en matière de sécurité et de conformité. Est-ce que vous pouvez nous en dire un petit peu plus sur la place qu'elles occupent désormais dans la stratégie cyber des entreprises ?

  • Speaker #1

    Je commencerais par dire qu'aujourd'hui, Objectivement, les exigences des assureurs sur le risque cyber sont cohérentes avec la menace. Si on a ce niveau d'exigence générale de la part des assureurs pour un certain niveau de chiffre d'affaires ou d'activité, c'est que globalement, il y a un vrai niveau de risque et que si on ne prend pas ces mesures-là, alors l'assureur considérera qu'il n'y aura pas d'aléas, c'est juste une question de temps. C'est d'ailleurs intéressant, quand on engage cette démarche, de voir quels sont les prérequis des assurances. Ça permet de se dire, voilà, OK, donc, a priori, le bon niveau de sécurité, il est celui-ci. Effectivement, les assureurs ont poussé et mis en avant un certain nombre de mesures. Ils sont très vigilants au fait que les systèmes d'antivirus soient déployés et soient à jour pour qu'il n'y ait pas de vulnérabilité liée à une mise à jour qui n'aurait pas été faite. Les assureurs ont fortement poussé à la sécurisation des accès à distance. Quand je dis ont fortement poussé, c'est-à-dire que poste cette période de Covid. il n'était plus possible d'assurer une grosse PME, une ETI, si les accès à distance n'étaient pas sécurisés par ce qu'on appelle un VPN et une authentification forte. Mais ces mesures, elles étaient cohérentes parce que c'était vraiment une porte d'entrée trop accessible pour les hackers. On parlait de gestion de crise, de sensibilisation aux employés. Ça fait partie de ce que peuvent recommander, voire exiger les assureurs, notamment que les employés d'une entreprise soient sensibilisés, voire que l'on organise des campagnes de phishing. Et là aussi, je dirais que c'est plutôt en bonne intelligence qu'on a ce type de mesures-là. Et finalement, les premiers bénéfices, c'est les entreprises. On peut avoir après, en fonction d'un chiffre d'affaires plus important, des exigences complémentaires. Les assureurs vont exiger ce qu'on appelle des EDR, des antivirus plus plus, qui vont vraiment faire de la surveillance active sur le système d'information. On peut exiger des plans de continuité. Nous, ce qu'on observe, c'est qu'il y a une certaine cohérence entre les exigences. et la réalité du risque. Ça ne veut pas dire qu'il ne faut pas mettre en concurrence les différents assureurs et que parfois, une entreprise ne sera pas éligible auprès de tel ou tel, mais trouvera néanmoins une autre solution d'assurance parce qu'un assureur acceptera ce risque-là. Certains sont plus exigeants. Ça évolue dans le temps et d'une manière générale, la concurrence est importante par rapport à ça. Ce qu'on peut dire, et je trouve que c'est une nouvelle tendance, c'est que 1. les assureurs ont des exigences en termes de prérequis, mais 2. ils sont force de proposition. aujourd'hui. Donc certains vont négocier par exemple des avantages tarifaires auprès de telle ou telle solution qu'ils vont recommander au client. Donc quelque part là il y a une économie qui peut être réalisée pour le client, mais d'autres, et c'est vraiment une tendance qui vient d'outre-Atlantique, intègrent directement dans leurs offres d'assurance cyber ce volet prévention avec ce qu'on appelle des scans de vulnérabilité qui vont être joués de façon hebdomadaire. Donc l'entreprise va bénéficier de cette veille et elle saura s'il y a des fuites, des expositions, des mots de passe qui auraient pu... pu fuiter. Il n'est pas rare d'ailleurs que certains assureurs nous préviennent pour dire voilà tel client est exposé, on a découvert une faille grâce à ces scans, il faut le prévenir. Donc vous voyez on est vraiment là dans la prévention, dans la proactivité. Les assureurs aussi ont mis en place des systèmes de campagne de phishing. Donc aujourd'hui, quand je vous disais tout à l'heure que ça peut coûter entre 1000 et 5000 euros pour s'assurer en cyber pour une PME, ça peut comprendre notamment un dispositif de veille et un dispositif de campagne de phishing. ... Et si on fait le compte, c'est pour le coup avantageux financièrement parce que vous avez d'un côté les éléments de la prévention et vous avez l'assurance et la réponse à incidents. Donc, c'est un budget, mais qui va permettre de réduire d'autres budgets d'investissement en cybersécurité.

  • Speaker #0

    Très intéressant, vous avez commencé à répondre un petit peu à ma dernière question. J'ai bien compris que l'assurance ne peut pas substituer la mise en place de solutions qui, en plus, avec NIS2, DORA, deviennent obligatoires. On ne peut plus échapper à l'installation de différentes solutions au sein de son entreprise pour protéger son système d'information. Comment il évolue cet équilibre entre l'offre assurantielle et les exigences côté entreprise ? Et quelles sont les alternatives quand on ne veut pas ou qu'on ne peut pas s'assurer ?

  • Speaker #1

    On l'a dit tout à l'heure, effectivement, les conditions sont durcies en 2022-2023 et il devenait difficile pour certaines entreprises de s'assurer ou de trouver un bon équilibre entre le niveau de prime et le niveau d'assurance. Aujourd'hui, la concurrence joue vraiment et on voit que les conditions se sont bien améliorées. C'est important de savoir aujourd'hui que les primes d'assurance ont baissé, les franchises ont baissé. On a des niveaux de capacité qui sont conformes aux besoins. À un moment, on avait des difficultés aussi à avoir les bons niveaux de garantie. Donc, même si la menace n'a jamais baissé, et on voit qu'elle s'est renforcée d'année en année, après les analyses de l'ANSI et autres, la menace augmente, mais le niveau de sécurité des entreprises l'a accompagné. Donc aujourd'hui, on a un bon équilibre entre, on le disait, le besoin d'assurance. et les prérequis attendus pour s'assurer. Il y a une forte pression pour renforcer leur sécurité. Vous évoquez Dora, Nice 2. Effectivement, la tendance est à l'augmentation du niveau de sécurité, et c'est logique. Et on voit que le contexte politique dans lequel on est ne va pas améliorer les choses. Le cyber, aujourd'hui, c'est un moyen de déstabiliser. Donc, on n'a pas d'autre choix que de renforcer ce niveau de sécurité. Donc, ça va bénéficier à l'assurance. Parce que ce qu'on observe, c'est que quand les entreprises engagent cette démarche de cybersécurité, de renforcer leur résilience, alors va se poser la question de l'assurance et du transfert à l'assureur. Donc, ça va forcément faire augmenter le recours à l'assurance. Je le disais tout à l'heure, parfois, les entreprises nous contactent parce qu'elles ont besoin d'une attestation d'assurance. Donc, quelque part, je ne pense pas qu'il y aura une obligation légale ou réglementaire à s'assurer. Mais cette obligation contractuelle, elle est importante. et donc elle va inciter aussi les entreprises à avoir recours à l'assurance. Et objectivement, c'est une bonne chose parce qu'on voit que l'assurance, ça renforce la résilience des organisations, des entreprises. Maintenant, celles qui ne peuvent pas s'assurer, qui n'ont pas fait leur démarche, vont rechercher des solutions d'assistance. On a ce qu'on appelle les solutions en certes. On va prendre un abonnement auprès d'un spécialiste en cybersécurité qui, en plus de faire une veille, pourra intervenir dans la situation en cas d'incident cyber, avec un forfait en nombre de jours, mais on sait que ce nombre de jours est limité. Donc d'avoir un cert, ça va garantir une forte réactivité en cas d'incident, mais ça ne prendra pas en totalité le coût de ces experts. Et en tout état de cause, ça ne prendra pas en charge les conséquences financières que pour avoir une cyberattaque ou un incident. J'ai évoqué cybermalveillance.gouv. On a là, heureusement, des experts qui sont recensés et qui permettent d'intervenir si on n'a pas anticipé les choses. Mais ma recommandation, c'est vraiment anticipons. Et par expérience, ce qu'on voit, c'est que les entreprises qui engagent la démarche d'assurance cyber, déjà, elles n'y renoncent pas. Les entreprises qui ont souscrit, à un moment donné, vont conserver cette assurance parce qu'elles en ont compris le bénéfice. On voit aussi que ça permet d'avoir une vraie communication au sein de l'entreprise, que le sujet soit porté par le DSI, par le dirigeant, par le DAF. Ils vont communiquer entre eux et ça va, je trouve, mettre le niveau du risque cyber au bon niveau. dans l'entreprise. Ça ne va plus devenir seulement le sujet de la DSI ou du service informatique, voire du prestataire. On va le prendre en considération, on va en mesurer les impacts et on va dire, OK, on va le traiter pour demain, si on est confronté à ce type de situation, traverser au mieux la situation.

  • Speaker #0

    Alors, Arnaud, petite question de surprise. Je vous donne 15 secondes pour convaincre un dirigeant de souscrire une assurance cyber.

  • Speaker #1

    En 15 secondes. Que le dirigeant anticipe la situation, qu'il n'attende pas d'être dos au mur parce que ça peut arriver à tout le monde. Si demain il est confronté à un ransomware, un incident grave de cybersécurité, qu'il sache sur qui il peut compter pour répondre dès les premières heures à cette situation et qu'une assurance soit en place pour en prendre en charge les coûts que ça peut représenter.

  • Speaker #0

    Merci d'avoir suivi cet épisode d'Incyber Voices. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Share

Embed

You may also like

Description

Dans cet épisode d'InCyber Voices, nous recevons Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et protection des entreprises. L’assurance cyber est souvent perçue comme une simple formalité ou un luxe inaccessible, alors qu’elle peut devenir un véritable atout stratégique… à condition d’en maîtriser les enjeux.


🔹 Qui est concerné par l’assurance cyber ? (TPE, PME, ETI, grands groupes, collectivités…)
🔹 Comment réagir face à une cyberattaque ? Retour d’expérience sur une crise résolue en 48h.
🔹 Quels coûts anticiper ? Prime d’assurance vs. coût réel d’un sinistre.
🔹 Que couvrent (ou pas) les contrats ? Ransomware, erreurs humaines, responsabilités juridiques…
🔹 Quelles erreurs éviter lors de la souscription ? Prérequis, garanties, pièges à déjouer.


Un éclairage indispensable, animé par Mélissa Périé-Betton, pour anticiper les risques cyber et renforcer la résilience de son organisation.


🎧 Écoutez l’épisode maintenant !


Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Aujourd'hui, on va parler garantie, obligations et responsabilités avec Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et en protection des entreprises. L'assurance cyber reste souvent perçue comme une formalité ou comme un luxe inaccessible. Pourtant, elle peut devenir un levier stratégique, à condition d'en comprendre les règles. C'est parti pour un tour d'horizon des bonnes questions à se poser avant de signer. Avant de parler de garantie, on va peut-être poser les bases. Qu'est-ce qu'on entend exactement par assurance cyber aujourd'hui ? À qui les contrats s'adressent ? Je parle de taille d'entreprise, de secteur. Et concrètement, qui va piloter ce sujet en interne ? Est-ce que c'est les DSI ? Est-ce que c'est le juridique, le risque manager, le RSSI ?

  • Speaker #1

    Alors effectivement, peut-être déjà rappeler et remettre dans le contexte l'assurance cyber, rappeler que depuis... au moins 2019, parce que j'ai en tête le baromètre de l'assureur Alliance, en 2019 l'assurance cyber devient le risque numéro 1. La cybercriminalité est le premier risque. Le deuxième risque étant l'interruption d'activité. Donc on voit qu'on est vraiment sur un risque très fort, important pour les entreprises. Aujourd'hui on voit que ça touche toutes les entreprises, toutes les associations, possiblement les collectivités locales, etc. En tout cas, nul n'est à l'abri, quelle que soit sa taille, son secteur à l'actualité. Une cyberattaque a toujours des conséquences sur une organisation. On parle d'un coût médian pour les TPE, PME de 50 000 euros, mais on sait que ça coûte des millions d'euros dès lors qu'on va toucher des ETI et des grands groupes. Les exemples ne manquent pas. On sait que c'est aussi un risque vital. L'actualité a présenté un certain nombre de cas de sociétés qui ont été placées en redressement judiciaire, en liquidation judiciaire suite à des cyberattaques. Donc c'est une menace qu'il ne faut pas prendre à la légère. et en même temps, c'est une menace. Et les experts en cybersécurité le confirment, qu'on a du mal à préonder. Ça concerne souvent les autres et on se sent concerné lorsque l'on a été touché ou quand son écosystème proche l'a été. Souvent, on sous-estime aussi l'impact qu'une cyberattaque peut avoir sur son organisation. Donc voilà, il faut redonner ce contexte. Et donc l'assurance cyber, qui a plus d'une vingtaine d'années aujourd'hui, mais qui se développe fortement depuis maintenant 4-5 ans, même s'il y a encore énormément de choses à faire, elle a comme objectif de sécuriser les entreprises. face aux cyberattaques, face aux vols de données, face à la compromission de données. Et on peut dire que c'est un mix entre un volet assistance, qui est fondamental et souvent méconnu, et un volet assurance. L'assistance, parce que l'assurance cyber, elle va jouer dès les premières heures de la crise en mettant à disposition d'une entreprise ou d'une organisation des experts de premier niveau, rompus à la cybersécurité et ses opérations de cyberattaques essentiellement, même si ça ne touche pas que cyberattaques. et un assureur qui va prendre en charge les conséquences financières de ces incidents, à savoir la prise en charge, la mise à disposition déjà de ces experts, qui ont un coût élevé parce qu'on est vraiment sur du haut niveau d'intervention. Et dedans, il y aura des avocats, il y aura de la communication de crise. Et puis, c'est l'ensemble des coûts directs que l'entreprise peut subir jusqu'à la perte d'exploitation. Donc, l'idée, c'est de remettre en situation une entreprise, une organisation qui a été touchée, afin de lui permettre de repartir après cette cyberattaque. Merci. Et surtout, parce que la menace est forte des rançons, de ne pas avoir à payer les rançons. Parce que ça, c'est un sujet qui a beaucoup fait parler de lui. Il est vrai que les assurances cyber, globalement, ont ce volet de remboursement de rançons, mais dans les faits, elles ne sont quasiment jamais amenées à le faire, ou très rarement. Et en tout cas, en France, on a cette confirmation de la part des assureurs, parce que tout est mis à disposition des entreprises pour leur permettre de redémarrer rapidement. Alors, vous me disiez qui peut potentiellement être touché ? Effectivement, c'est tout le monde. c'est déjà tout Toute taille d'entreprise, les TPE, les PME, les ETI et les grands groupes, les exemples ne manquent pas. Il ne suffit pas d'être connu ou sur un secteur en pointe comme le digital ou le monde financier pour être ciblé. Tout le monde aujourd'hui peut, un peu l'image du chalut qui va pêcher dans ses filets, énormément de poissons, mais toute entreprise peut se retrouver dans ses filets. D'autant qu'on peut être touché directement avec une attaque ciblée, mais ça peut être ce fameux clic qu'on ferait sur un mauvais lien. ou le mail auquel on répondrait en donnant ses identifiants. Ça arrive encore régulièrement. Mais ça peut être aussi son sous-traitant, son hébergeur qui peut être touché. Et donc, par rebond, on peut l'être. Et on peut donner un exemple. Fin 2023, 1200 experts comptables ont été touchés parce qu'un de leurs prestataires avait, lui, été victime d'une cyberattaque. Donc, ça concerne vraiment toutes les entreprises. Mais pas que. On sait que les cyberattaques peuvent également toucher les collectivités locales. Les exemples ne manquent pas. Même les hôpitaux sont ciblés et un certain nombre d'exemples, dont Corbeil-Yesson qui a fait parler de lui, sont des exemples très connus. Les établissements d'enseignement, que ce soit les établissements d'enseignement supérieur ou autre, sont touchés. Les associations, les ONG, les musées, bref, aujourd'hui, je ne crois pas qu'il y ait un seul temps de l'activité qui soit à l'abri de ces cyberattaques, principalement. Donc tous et toutes ces organisations ont intérêt de recourir à l'assurance. Pour bénéficier, ça c'est toujours ce qu'on dit à nos clients et prospects, déjà pour avoir cette capacité de répondre immédiatement à un incident qui par nature va être violent, va toucher et mettre en grand danger l'organisation. Donc permettre de répondre dès les premières heures et puis de passer cette crise-là et d'onger les coûts qui peuvent être très conséquents.

  • Speaker #0

    J'ai une question un peu spontanée qui me vient. J'ai souscrit une assurance cyber, je suis le CHU de Nantes. Il y a une attaque qui surgit. Qui intervient concrètement ? Parce que là, vous ici, vous êtes 5, 6. Il y a combien de personnes ? J'ai l'impression qu'on passe en cellule de crise et que d'un coup, il y a 30 personnes qui débarquent pour dire voilà, il faut faire ça, il faut faire ci. Comment ça se passe concrètement quand ça arrive ?

  • Speaker #1

    Alors concrètement, ça va être de la gestion de crise. Alors si on prend l'exemple du CHU, heureusement, ils ont l'ANSI et d'autres services. Mais dès lors qu'on est sur le monde du privé ou autre, c'est le recours à l'assurance. Si je vous donne un exemple, parce que celui-là, il est parlant et c'est du vécu. À 15h, un jeudi, un client nous appelle et nous dit que son système vient de tomber et il se rend compte que les sauvegardes sont elles aussi touchées. C'est un mélange entre panique et sidération. Donc tout de suite, on active l'assurance et donc on active cette assistance dont je vous parlais. 17h, première réunion avec des membres de cette entreprise et les experts qui interviennent pour le compte de l'assureur. Entre temps, je précise que le dirigeant m'avait appelé pour savoir déjà si on pouvait... rembourser des rançons avec le contrat avoué. Quand je parle de sidération et d'effet panique, on en est là. Et le premier constat, et je me rappelle vraiment de cette crise, c'est la sérénité qui a été amenée par le fait de se retrouver en visioconférence avec les experts de l'assureur, qui ont tout de suite permis de poser les choses, de comprendre et de mettre en place le dispositif. En l'occurrence, les serveurs étaient touchés, les sauvegardes étaient chiffrées par un ransomware. Donc tout de suite, on déroule un plan de gestion de crise. Plusieurs hypothèses sont envisagées et la première option est la meilleure, et ça a été prouvé par la suite, c'est qu'on prend la décision de sortir les disques durs des serveurs, de les envoyer par transporteur dès le lendemain matin auprès d'une société qui était spécialisée dans la récupération de données. Et d'ailleurs, ce qui était important, c'est que cette société spécialisée dans la récupération de données, elle était présente à cette première visio parce que tout de suite, ça avait été identifié. Et l'autre souvenir que j'ai, c'est que le samedi midi, on reçoit un mail nous confirmant que les serveurs sont déchiffrés. On est vraiment passé d'un effet de panique important, avec un risque très grave pour l'entreprise de peut-être ne pas pouvoir se relever, parce qu'en l'occurrence les serveurs étaient chiffrés, à une phase assez rapide de remédiation, puisque dès lors qu'on a pu restaurer les sauvegardes, on a pu remettre en place l'activité, et une semaine à dix jours après, l'activité était repartie. Alors, ça a eu des conséquences, c'était une semaine compliquée. de suractivité pour les dirigeants concernés, etc. Mais cette entreprise est repartie et l'aide des experts a été fondamentale dès les premières heures. Et on parle de une à deux heures entre le déclenchement et cette assistance.

  • Speaker #0

    Très bien. Et donc tout cet écosystème qui va s'agiter pour sauver l'entreprise, ça a bien un coût. Est-ce que, alors, si ce n'est pas pour celle-ci, est-ce qu'on peut essayer d'avoir une idée du coût moyen que ça représente ? cette assurance versus les dégâts occasionnés, ce qui pourrait représenter également ?

  • Speaker #1

    C'est une bonne question parce que souvent, le coût de ces assurances fait l'objet de beaucoup d'idées reçues. Aujourd'hui, on est sur des niveaux de primes d'assurance qui ont baissé. Si je vous donne quelques exemples, on va dire que pour une PME, le coût d'une assurance cyber, ça va être entre 1 000 et 5 000 euros, grosso modo. Il y a des différences de tarifs qui vont s'expliquer déjà par le choix entre les assureurs, d'où l'intérêt d'être conseillé par un... courtier spécialisé qui aidera à faire ce choix là. Qu'est ce qui va rentrer en ligne de compte ? Le chiffre d'affaires, l'activité, le volume des données, la sensibilité de l'activité web. C'est sûr qu'une société qui fait du flou le web ou des ventes sur internet aura un risque plus élevé qu'une entreprise moins dépendante. Donc voilà tout ça a un impact sur la prime mais retenez que pour une PME entre 1000 et 5000 euros on a pour habitude de dire que c'est le de quelques smartphones, ça reste très raisonnable. Il est vrai que pour les ETI, les grands groupes, on va être cette fois-ci sur des montants de primes bien supérieurs. Pour une ETI, c'est des dizaines de milliers d'euros. Pour un grand groupe, c'est en centaines de milliers. Mais on va parler là cette fois-ci de garantie en millions d'euros. Et on voit que la menace est très forte. Ce sont des polices qui sont amenées fréquemment à jouer. Nous, ce qu'on observe, c'est que 80% des cas, c'est surtout de l'assistance. C'est-à-dire que seuls les experts vont être mobilisés sur la remise en place du système. Et ça, ça va limiter les coûts. Par contre, il est vrai que quand on a une interruption totale ou partielle d'activité ou des systèmes d'information, alors on va avoir ce qu'on appelle de la perte d'exploitation. Et là, on va avoir des sinistres qui vont se chiffrer en centaines de milliers d'euros, voire en millions d'euros. Donc, ce sont des contrats qui ont un coût, mais avec un risque fort derrière. Et on le voit, ils jouent régulièrement. En tout cas, ça reste abordable. Et c'est important de dire que les prix ont baissé ces dernières années, alors qu'ils avaient très fortement monté, notamment après la phase de confinement. parce que là, il y avait une explosion des cyberattaques. On se demandait même si le marché de l'assurance cyber allait tenir. Dans les faits, les résultats sont améliorés. notamment aussi parce que les entreprises ont fait de très gros efforts sur leur cybersécurité et donc le risque est redevenu assurable. Et ce que l'on observe aujourd'hui, c'est que les sociétés qui s'assurent sont généralement celles qui ont un bon, voire un très bon niveau de sécurité. Et d'ailleurs, il n'est pas rare de voir des entreprises nous demander de produire une attestation d'assurance parce qu'on leur demande de produire cette attestation. Et quelque part, c'est une façon de démontrer que si on est assuré par un assurance cyber, alors on démontre un certain niveau de sécurité.

  • Speaker #0

    Merci. Maintenant, vous allez nous aider à lire entre les lignes des contrats qui, pour certains, peuvent ne pas paraître clairs. Quels sont les événements qui sont réellement couverts et ceux qui ne le sont pas ?

  • Speaker #1

    Merci de cette question. Effectivement, on parle beaucoup de cyberattaques. L'assurance cyber ne couvre pas que les cyberattaques, mais principalement, aujourd'hui, c'est ce que l'on observe. Quand on parle de cyberattaques, ça va être des attaques externes. Beaucoup de ransomware, c'est des logiciels qui viennent chiffrer les données. Les hackers prétendent déchiffrer les données moyennant le paiement d'une rançon. Ça, c'est une menace qui est très forte. On a du vol de données, on a des attaques par déni de service. L'entreprise va se retrouver avec un système site web ou même un système garantie qui va tomber parce qu'elle se fait bombarder de requêtes. Ça, c'est un premier cas d'activation. Toutes ces attaques externes et intrusions de nos systèmes d'information. mais une cyberattaque peut également être déclenchée Si l'origine est interne, avec pourquoi pas de la malveillance interne, en tout cas ça fait partie des déclencheurs, mais une erreur humaine ou un incident perturbant l'exploitation peut également être un cas d'activation, parce qu'au final les conséquences seront les mêmes pour l'entreprise. Le système est à l'arrêt, il peut y avoir une exposition des données, donc c'est un cas d'activation. Et puis il y a un autre cas qui est assez fréquent, c'est quand son fournisseur, par exemple son fournisseur informatique, son prestataire, son infogéreur, son hébergeur de données est lui-même touché, on se retrouve en cas de cyberincident, donc on va activer la police. Donc je l'ai dit tout à l'heure, lorsqu'on active la police d'assurance, immédiatement on est sur la phase généralement d'assistance, des experts sont missionnés, ils vont intervenir pour comprendre la situation, qu'est-ce qui se passe, est-ce qu'il y a une intrusion dans le système d'information, est-ce que des données sont exposées, ont été volées, donc il y a toute cette phase-là d'analyse. D'autres experts vont rentrer en ligne de compte juridique et communication de crise. Juridique parce que si des données sont compromises, alors il y a une notification à l'affaire LACNIL, voire il faudra prévenir les clients que leurs données ont pu être exposées. Et un point qui est souvent sous-estimé, c'est la communication de crise. Une bonne crise doit être bien gérée en termes de communication, parce que vous pouvez très bien la réussir techniquement. Si on communique mal ou si ce qu'on observe souvent, on ne communique pas pendant cette phase-là, alors ça génère de l'inquiétude. Ça peut générer des fausses informations. Les réseaux sociaux peuvent s'en emparer. Donc, le volet gestion de crise, dont la composante de communication de crise, il est fondamental. Alors, vous le disiez, ça a un coût. Donc, les experts qui interviennent ont des honoraires qui peuvent être élevés, puisqu'on est, encore une fois, sur de l'expertise de haut niveau. Le principe, c'est que l'assurance va prendre en charge le coût de ses experts. Donc, l'assureur les met à disposition et prend en charge le coût de ses interventions. Et derrière, l'assurance, elle va venir couvrir... prendre en charge l'ensemble des pertes, ces pertes étant les coûts directs d'une entreprise, la perte d'exploitation que j'évoquais tout à l'heure, ou possiblement des recours en responsabilité civile parce qu'il y a eu une compromission de données. Aujourd'hui, c'est perçu comme un véritable risque, mais dans les faits, c'est encore assez faible dans la sinistralité qu'on observe en France. Mais si on regarde Outre-Atlantique, on voit que les recours en compromission de données ont tendance à augmenter. Donc ce volet de responsabilité civile, il est important. protéger l'entreprise et je dirais également ces dirigeants qui sont eux responsables de cette gestion.

  • Speaker #0

    Ce qui est sûr, c'est que l'assurance responsabilité civile, elle ne suffit pas aujourd'hui alors que j'imagine qu'à tort, il y en a qui il y a des patrons qui peuvent imaginer que c'est le cas. J'ai une autre question, justement, lors de la souscription d'un contrat avec vous, par exemple, est-ce qu'il y a des erreurs stratégiques à ne pas commettre ? Quels sont les angles morts les plus fréquents dans la souscription d'une assurance cyber, finalement ?

  • Speaker #1

    Je dirais qu'il y a deux types d'erreurs. Il y a les erreurs qu'on peut rencontrer avant la phase de souscription ou au début. C'est cette sous-estimation du risque cyber. Il faut être conscient de l'impact que ça peut avoir. Une autre erreur qu'on rencontre moins, mais plus fréquemment lorsque j'avais lancé Resco, c'est croire que l'on est assuré. Le risque cyber, aujourd'hui, il est exclu des polices de responsabilité civile. Généralement, il est exclu des contrats de dommages. Il faut vraiment passer par un contrat dédié pour avoir une couverture. pleine. de ce risque-là. Donc ça peut être une erreur de penser qu'on est assuré parce qu'on a plein d'assurances, c'est un travers qu'on rencontre souvent. Et souvent, on imagine que ça va être complexe, long et laborieux, et là aussi, les assurants ont vraiment fait des progrès sur ce qu'on appelle la souscription, et on peut aller aujourd'hui assez vite pour savoir si on est assurable ou pas, et si oui, à quelles conditions. Ce sur quoi il faut être vigilant, et là aussi, c'est vraiment l'importance d'avoir un conseil. soit spécialisé comme on l'a chez Resco ou un courtier qui maîtrise bien ce sujet, c'est de ne pas sous-estimer l'impact afin de déterminer le bon niveau d'assurance. C'est le premier exercice, c'est de savoir ce que pourrait coûter une crise cyber majeure sur l'entreprise pour adapter le niveau de garantie en conséquence. Donc ne pas sous-estimer. Un autre point, c'est être vigilant aux prérequis. l'assureur pour pouvoir prendre une garantie. va s'attendre à ce que l'entreprise ait un certain niveau de sécurité informatique, un certain niveau de protection. Et ça va être contractualisé. Donc, si l'entreprise s'est engagée à avoir des antivirus à jour, des sauvegardes qui sont déconnectées, à avoir une sécurisation des accès à distance, alors c'est contractuel, c'est ce qu'on appelle les prérequis. Et là, il faut une vraie vigilance des assurés sur ces points-là parce qu'en cas de sinistre, ce sont des points qui vont être vérifiés par les assureurs et ça jouera sur la garantie, bien évidemment. Il faut d'ailleurs être vigilant au respect de ses prérequis dans le temps. Une entreprise qui rachète une filiale devra s'assurer que cette filiale respecte elle aussi ses prérequis. Et puis après, ça reste de l'assurance. Il y a des critères qui sont assez classiques, mais qu'il faut surveiller. Est-ce qu'on a une activité, par exemple, USA Canada ? Ça peut faire l'objet d'exclusions et de rachats. Est-ce qu'on exerce certaines activités à risque ? Quel est le volume de données qu'on a en base ? Est-ce qu'on ne dépasse pas certains seuils qui peuvent avoir des conséquences sur sa police d'assurance ? Donc, être vigilant, effectivement, aux conditions qui permettent d'être assuré et être vigilant sur le fait de s'assurer que dans le temps, on respecte toujours bien ces conditions-là.

  • Speaker #0

    En cas de non-assurance, est-ce qu'on a une idée un peu de ce que ça aurait représenté en termes de coûts et de dégâts humains, même parce qu'il y a un impact humain également dont on n'a pas forcément parlé, mais on ne peut pas tout aborder malheureusement ? Qu'est-ce que ça aurait représenté si vous n'aviez pas été là ?

  • Speaker #1

    Je précise, en deux jours, on savait qu'on pouvait repartir. Et il a fallu néanmoins bien dix jours pour que l'entreprise reparte. Qu'est-ce qui se passe si cette crise, et comme d'autres, ne s'était pas gérée de cette façon ? Ça veut dire que le dirigeant, avec son équipe, va se retrouver seul, confronté à une situation qu'il n'a peut-être jamais vécue. Et il faut bien voir qu'aujourd'hui, quand on parle de menace cyber, on est face à des réseaux très spécialisés, voire même professionnels dans une certaine mesure. si ce n'est pas des mafias ou des groupes avec des appuis étatiques. Donc l'entreprise, elle est livrée elle-même. Elle va devoir en urgence rechercher des experts capables d'intervenir. La difficulté, c'est que dans l'urgence, on ne trouve pas forcément des prestataires en capacité d'intervenir ou ayant le savoir-faire. Donc c'est des choses qui s'anticipent. Alors il existe des dispositifs, et notamment sur Cybermalveillance, qui mettent à disposition des experts, et c'est important de l'avoir en tête. Mais c'est quand même fondamental d'avoir ce dispositif de réaction quasiment prêt à démarrer. Tous les experts le disent, réagir en quelques heures, c'est fondamental. Si on n'est pas ça, je dirais que c'est pour ça que le business des hackers fonctionne si bien et qu'aujourd'hui, un certain nombre de rançons sont payées. C'est parce qu'aujourd'hui, les entreprises n'ont pas d'alternative. Elles n'ont pas les bons appuis ou elles n'ont pas forcément, et ou elles n'ont pas pris les bonnes mesures en amont, notamment sur ce qui s'agit des sauvegardes. Et ça entretient le business de la cybercriminalité. et d'autres entreprises. prises ne se relèveront pas. Donc aujourd'hui, on parle beaucoup de résilience, il faut se dire que c'est un risque qui peut arriver demain. Encore une fois, on peut être ciblé directement, on peut être touché par rebond, ça peut être les données qui pourraient être exposées aux compromises. On se doit de passer cette étape, on se doit de relancer l'activité, d'être résilient. Donc c'est se dire que ça peut arriver, mais il faut y faire face. Et un autre point qu'on peut évoquer, c'est préparer cette gestion de crise. C'est fondamental et d'ailleurs aujourd'hui, ça fait partie des mesures que peuvent exiger les assureurs, ou en tout cas soutenir, favoriser, c'est de jouer ces exercices de crise pour être prêts. On peut jouer différents cas. Dans la réalité, ce ne sera jamais comme un exercice, mais on va gagner du temps, les équipes seront plus prêtes à jouer. Et puis, c'est important de savoir sur qui on peut compter, quels seront les experts qui interviendront le moment venu.

  • Speaker #0

    C'était le sujet du deuxième épisode. de l'anticipation au maximum de la crise, quand bien même elle ne pourrait jamais survenir. On en parlait avec Sébastien Jardin il y a un mois, justement, dans les locaux du Forum Insider. Je vais revenir sur les fameuses exigences qu'on a citées précédemment, les exigences des assureurs. On a vu qu'elles étaient parfois très poussées en matière de sécurité et de conformité. Est-ce que vous pouvez nous en dire un petit peu plus sur la place qu'elles occupent désormais dans la stratégie cyber des entreprises ?

  • Speaker #1

    Je commencerais par dire qu'aujourd'hui, Objectivement, les exigences des assureurs sur le risque cyber sont cohérentes avec la menace. Si on a ce niveau d'exigence générale de la part des assureurs pour un certain niveau de chiffre d'affaires ou d'activité, c'est que globalement, il y a un vrai niveau de risque et que si on ne prend pas ces mesures-là, alors l'assureur considérera qu'il n'y aura pas d'aléas, c'est juste une question de temps. C'est d'ailleurs intéressant, quand on engage cette démarche, de voir quels sont les prérequis des assurances. Ça permet de se dire, voilà, OK, donc, a priori, le bon niveau de sécurité, il est celui-ci. Effectivement, les assureurs ont poussé et mis en avant un certain nombre de mesures. Ils sont très vigilants au fait que les systèmes d'antivirus soient déployés et soient à jour pour qu'il n'y ait pas de vulnérabilité liée à une mise à jour qui n'aurait pas été faite. Les assureurs ont fortement poussé à la sécurisation des accès à distance. Quand je dis ont fortement poussé, c'est-à-dire que poste cette période de Covid. il n'était plus possible d'assurer une grosse PME, une ETI, si les accès à distance n'étaient pas sécurisés par ce qu'on appelle un VPN et une authentification forte. Mais ces mesures, elles étaient cohérentes parce que c'était vraiment une porte d'entrée trop accessible pour les hackers. On parlait de gestion de crise, de sensibilisation aux employés. Ça fait partie de ce que peuvent recommander, voire exiger les assureurs, notamment que les employés d'une entreprise soient sensibilisés, voire que l'on organise des campagnes de phishing. Et là aussi, je dirais que c'est plutôt en bonne intelligence qu'on a ce type de mesures-là. Et finalement, les premiers bénéfices, c'est les entreprises. On peut avoir après, en fonction d'un chiffre d'affaires plus important, des exigences complémentaires. Les assureurs vont exiger ce qu'on appelle des EDR, des antivirus plus plus, qui vont vraiment faire de la surveillance active sur le système d'information. On peut exiger des plans de continuité. Nous, ce qu'on observe, c'est qu'il y a une certaine cohérence entre les exigences. et la réalité du risque. Ça ne veut pas dire qu'il ne faut pas mettre en concurrence les différents assureurs et que parfois, une entreprise ne sera pas éligible auprès de tel ou tel, mais trouvera néanmoins une autre solution d'assurance parce qu'un assureur acceptera ce risque-là. Certains sont plus exigeants. Ça évolue dans le temps et d'une manière générale, la concurrence est importante par rapport à ça. Ce qu'on peut dire, et je trouve que c'est une nouvelle tendance, c'est que 1. les assureurs ont des exigences en termes de prérequis, mais 2. ils sont force de proposition. aujourd'hui. Donc certains vont négocier par exemple des avantages tarifaires auprès de telle ou telle solution qu'ils vont recommander au client. Donc quelque part là il y a une économie qui peut être réalisée pour le client, mais d'autres, et c'est vraiment une tendance qui vient d'outre-Atlantique, intègrent directement dans leurs offres d'assurance cyber ce volet prévention avec ce qu'on appelle des scans de vulnérabilité qui vont être joués de façon hebdomadaire. Donc l'entreprise va bénéficier de cette veille et elle saura s'il y a des fuites, des expositions, des mots de passe qui auraient pu... pu fuiter. Il n'est pas rare d'ailleurs que certains assureurs nous préviennent pour dire voilà tel client est exposé, on a découvert une faille grâce à ces scans, il faut le prévenir. Donc vous voyez on est vraiment là dans la prévention, dans la proactivité. Les assureurs aussi ont mis en place des systèmes de campagne de phishing. Donc aujourd'hui, quand je vous disais tout à l'heure que ça peut coûter entre 1000 et 5000 euros pour s'assurer en cyber pour une PME, ça peut comprendre notamment un dispositif de veille et un dispositif de campagne de phishing. ... Et si on fait le compte, c'est pour le coup avantageux financièrement parce que vous avez d'un côté les éléments de la prévention et vous avez l'assurance et la réponse à incidents. Donc, c'est un budget, mais qui va permettre de réduire d'autres budgets d'investissement en cybersécurité.

  • Speaker #0

    Très intéressant, vous avez commencé à répondre un petit peu à ma dernière question. J'ai bien compris que l'assurance ne peut pas substituer la mise en place de solutions qui, en plus, avec NIS2, DORA, deviennent obligatoires. On ne peut plus échapper à l'installation de différentes solutions au sein de son entreprise pour protéger son système d'information. Comment il évolue cet équilibre entre l'offre assurantielle et les exigences côté entreprise ? Et quelles sont les alternatives quand on ne veut pas ou qu'on ne peut pas s'assurer ?

  • Speaker #1

    On l'a dit tout à l'heure, effectivement, les conditions sont durcies en 2022-2023 et il devenait difficile pour certaines entreprises de s'assurer ou de trouver un bon équilibre entre le niveau de prime et le niveau d'assurance. Aujourd'hui, la concurrence joue vraiment et on voit que les conditions se sont bien améliorées. C'est important de savoir aujourd'hui que les primes d'assurance ont baissé, les franchises ont baissé. On a des niveaux de capacité qui sont conformes aux besoins. À un moment, on avait des difficultés aussi à avoir les bons niveaux de garantie. Donc, même si la menace n'a jamais baissé, et on voit qu'elle s'est renforcée d'année en année, après les analyses de l'ANSI et autres, la menace augmente, mais le niveau de sécurité des entreprises l'a accompagné. Donc aujourd'hui, on a un bon équilibre entre, on le disait, le besoin d'assurance. et les prérequis attendus pour s'assurer. Il y a une forte pression pour renforcer leur sécurité. Vous évoquez Dora, Nice 2. Effectivement, la tendance est à l'augmentation du niveau de sécurité, et c'est logique. Et on voit que le contexte politique dans lequel on est ne va pas améliorer les choses. Le cyber, aujourd'hui, c'est un moyen de déstabiliser. Donc, on n'a pas d'autre choix que de renforcer ce niveau de sécurité. Donc, ça va bénéficier à l'assurance. Parce que ce qu'on observe, c'est que quand les entreprises engagent cette démarche de cybersécurité, de renforcer leur résilience, alors va se poser la question de l'assurance et du transfert à l'assureur. Donc, ça va forcément faire augmenter le recours à l'assurance. Je le disais tout à l'heure, parfois, les entreprises nous contactent parce qu'elles ont besoin d'une attestation d'assurance. Donc, quelque part, je ne pense pas qu'il y aura une obligation légale ou réglementaire à s'assurer. Mais cette obligation contractuelle, elle est importante. et donc elle va inciter aussi les entreprises à avoir recours à l'assurance. Et objectivement, c'est une bonne chose parce qu'on voit que l'assurance, ça renforce la résilience des organisations, des entreprises. Maintenant, celles qui ne peuvent pas s'assurer, qui n'ont pas fait leur démarche, vont rechercher des solutions d'assistance. On a ce qu'on appelle les solutions en certes. On va prendre un abonnement auprès d'un spécialiste en cybersécurité qui, en plus de faire une veille, pourra intervenir dans la situation en cas d'incident cyber, avec un forfait en nombre de jours, mais on sait que ce nombre de jours est limité. Donc d'avoir un cert, ça va garantir une forte réactivité en cas d'incident, mais ça ne prendra pas en totalité le coût de ces experts. Et en tout état de cause, ça ne prendra pas en charge les conséquences financières que pour avoir une cyberattaque ou un incident. J'ai évoqué cybermalveillance.gouv. On a là, heureusement, des experts qui sont recensés et qui permettent d'intervenir si on n'a pas anticipé les choses. Mais ma recommandation, c'est vraiment anticipons. Et par expérience, ce qu'on voit, c'est que les entreprises qui engagent la démarche d'assurance cyber, déjà, elles n'y renoncent pas. Les entreprises qui ont souscrit, à un moment donné, vont conserver cette assurance parce qu'elles en ont compris le bénéfice. On voit aussi que ça permet d'avoir une vraie communication au sein de l'entreprise, que le sujet soit porté par le DSI, par le dirigeant, par le DAF. Ils vont communiquer entre eux et ça va, je trouve, mettre le niveau du risque cyber au bon niveau. dans l'entreprise. Ça ne va plus devenir seulement le sujet de la DSI ou du service informatique, voire du prestataire. On va le prendre en considération, on va en mesurer les impacts et on va dire, OK, on va le traiter pour demain, si on est confronté à ce type de situation, traverser au mieux la situation.

  • Speaker #0

    Alors, Arnaud, petite question de surprise. Je vous donne 15 secondes pour convaincre un dirigeant de souscrire une assurance cyber.

  • Speaker #1

    En 15 secondes. Que le dirigeant anticipe la situation, qu'il n'attende pas d'être dos au mur parce que ça peut arriver à tout le monde. Si demain il est confronté à un ransomware, un incident grave de cybersécurité, qu'il sache sur qui il peut compter pour répondre dès les premières heures à cette situation et qu'une assurance soit en place pour en prendre en charge les coûts que ça peut représenter.

  • Speaker #0

    Merci d'avoir suivi cet épisode d'Incyber Voices. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Description

Dans cet épisode d'InCyber Voices, nous recevons Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et protection des entreprises. L’assurance cyber est souvent perçue comme une simple formalité ou un luxe inaccessible, alors qu’elle peut devenir un véritable atout stratégique… à condition d’en maîtriser les enjeux.


🔹 Qui est concerné par l’assurance cyber ? (TPE, PME, ETI, grands groupes, collectivités…)
🔹 Comment réagir face à une cyberattaque ? Retour d’expérience sur une crise résolue en 48h.
🔹 Quels coûts anticiper ? Prime d’assurance vs. coût réel d’un sinistre.
🔹 Que couvrent (ou pas) les contrats ? Ransomware, erreurs humaines, responsabilités juridiques…
🔹 Quelles erreurs éviter lors de la souscription ? Prérequis, garanties, pièges à déjouer.


Un éclairage indispensable, animé par Mélissa Périé-Betton, pour anticiper les risques cyber et renforcer la résilience de son organisation.


🎧 Écoutez l’épisode maintenant !


Un podcast de la marque INCYBER


Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

  • Speaker #0

    Bonjour à tous et bienvenue dans ce nouvel épisode d'Incyber Voices. Aujourd'hui, on va parler garantie, obligations et responsabilités avec Arnaud Gressel, fondateur de RESCO Courtage, expert en gestion de crise et en protection des entreprises. L'assurance cyber reste souvent perçue comme une formalité ou comme un luxe inaccessible. Pourtant, elle peut devenir un levier stratégique, à condition d'en comprendre les règles. C'est parti pour un tour d'horizon des bonnes questions à se poser avant de signer. Avant de parler de garantie, on va peut-être poser les bases. Qu'est-ce qu'on entend exactement par assurance cyber aujourd'hui ? À qui les contrats s'adressent ? Je parle de taille d'entreprise, de secteur. Et concrètement, qui va piloter ce sujet en interne ? Est-ce que c'est les DSI ? Est-ce que c'est le juridique, le risque manager, le RSSI ?

  • Speaker #1

    Alors effectivement, peut-être déjà rappeler et remettre dans le contexte l'assurance cyber, rappeler que depuis... au moins 2019, parce que j'ai en tête le baromètre de l'assureur Alliance, en 2019 l'assurance cyber devient le risque numéro 1. La cybercriminalité est le premier risque. Le deuxième risque étant l'interruption d'activité. Donc on voit qu'on est vraiment sur un risque très fort, important pour les entreprises. Aujourd'hui on voit que ça touche toutes les entreprises, toutes les associations, possiblement les collectivités locales, etc. En tout cas, nul n'est à l'abri, quelle que soit sa taille, son secteur à l'actualité. Une cyberattaque a toujours des conséquences sur une organisation. On parle d'un coût médian pour les TPE, PME de 50 000 euros, mais on sait que ça coûte des millions d'euros dès lors qu'on va toucher des ETI et des grands groupes. Les exemples ne manquent pas. On sait que c'est aussi un risque vital. L'actualité a présenté un certain nombre de cas de sociétés qui ont été placées en redressement judiciaire, en liquidation judiciaire suite à des cyberattaques. Donc c'est une menace qu'il ne faut pas prendre à la légère. et en même temps, c'est une menace. Et les experts en cybersécurité le confirment, qu'on a du mal à préonder. Ça concerne souvent les autres et on se sent concerné lorsque l'on a été touché ou quand son écosystème proche l'a été. Souvent, on sous-estime aussi l'impact qu'une cyberattaque peut avoir sur son organisation. Donc voilà, il faut redonner ce contexte. Et donc l'assurance cyber, qui a plus d'une vingtaine d'années aujourd'hui, mais qui se développe fortement depuis maintenant 4-5 ans, même s'il y a encore énormément de choses à faire, elle a comme objectif de sécuriser les entreprises. face aux cyberattaques, face aux vols de données, face à la compromission de données. Et on peut dire que c'est un mix entre un volet assistance, qui est fondamental et souvent méconnu, et un volet assurance. L'assistance, parce que l'assurance cyber, elle va jouer dès les premières heures de la crise en mettant à disposition d'une entreprise ou d'une organisation des experts de premier niveau, rompus à la cybersécurité et ses opérations de cyberattaques essentiellement, même si ça ne touche pas que cyberattaques. et un assureur qui va prendre en charge les conséquences financières de ces incidents, à savoir la prise en charge, la mise à disposition déjà de ces experts, qui ont un coût élevé parce qu'on est vraiment sur du haut niveau d'intervention. Et dedans, il y aura des avocats, il y aura de la communication de crise. Et puis, c'est l'ensemble des coûts directs que l'entreprise peut subir jusqu'à la perte d'exploitation. Donc, l'idée, c'est de remettre en situation une entreprise, une organisation qui a été touchée, afin de lui permettre de repartir après cette cyberattaque. Merci. Et surtout, parce que la menace est forte des rançons, de ne pas avoir à payer les rançons. Parce que ça, c'est un sujet qui a beaucoup fait parler de lui. Il est vrai que les assurances cyber, globalement, ont ce volet de remboursement de rançons, mais dans les faits, elles ne sont quasiment jamais amenées à le faire, ou très rarement. Et en tout cas, en France, on a cette confirmation de la part des assureurs, parce que tout est mis à disposition des entreprises pour leur permettre de redémarrer rapidement. Alors, vous me disiez qui peut potentiellement être touché ? Effectivement, c'est tout le monde. c'est déjà tout Toute taille d'entreprise, les TPE, les PME, les ETI et les grands groupes, les exemples ne manquent pas. Il ne suffit pas d'être connu ou sur un secteur en pointe comme le digital ou le monde financier pour être ciblé. Tout le monde aujourd'hui peut, un peu l'image du chalut qui va pêcher dans ses filets, énormément de poissons, mais toute entreprise peut se retrouver dans ses filets. D'autant qu'on peut être touché directement avec une attaque ciblée, mais ça peut être ce fameux clic qu'on ferait sur un mauvais lien. ou le mail auquel on répondrait en donnant ses identifiants. Ça arrive encore régulièrement. Mais ça peut être aussi son sous-traitant, son hébergeur qui peut être touché. Et donc, par rebond, on peut l'être. Et on peut donner un exemple. Fin 2023, 1200 experts comptables ont été touchés parce qu'un de leurs prestataires avait, lui, été victime d'une cyberattaque. Donc, ça concerne vraiment toutes les entreprises. Mais pas que. On sait que les cyberattaques peuvent également toucher les collectivités locales. Les exemples ne manquent pas. Même les hôpitaux sont ciblés et un certain nombre d'exemples, dont Corbeil-Yesson qui a fait parler de lui, sont des exemples très connus. Les établissements d'enseignement, que ce soit les établissements d'enseignement supérieur ou autre, sont touchés. Les associations, les ONG, les musées, bref, aujourd'hui, je ne crois pas qu'il y ait un seul temps de l'activité qui soit à l'abri de ces cyberattaques, principalement. Donc tous et toutes ces organisations ont intérêt de recourir à l'assurance. Pour bénéficier, ça c'est toujours ce qu'on dit à nos clients et prospects, déjà pour avoir cette capacité de répondre immédiatement à un incident qui par nature va être violent, va toucher et mettre en grand danger l'organisation. Donc permettre de répondre dès les premières heures et puis de passer cette crise-là et d'onger les coûts qui peuvent être très conséquents.

  • Speaker #0

    J'ai une question un peu spontanée qui me vient. J'ai souscrit une assurance cyber, je suis le CHU de Nantes. Il y a une attaque qui surgit. Qui intervient concrètement ? Parce que là, vous ici, vous êtes 5, 6. Il y a combien de personnes ? J'ai l'impression qu'on passe en cellule de crise et que d'un coup, il y a 30 personnes qui débarquent pour dire voilà, il faut faire ça, il faut faire ci. Comment ça se passe concrètement quand ça arrive ?

  • Speaker #1

    Alors concrètement, ça va être de la gestion de crise. Alors si on prend l'exemple du CHU, heureusement, ils ont l'ANSI et d'autres services. Mais dès lors qu'on est sur le monde du privé ou autre, c'est le recours à l'assurance. Si je vous donne un exemple, parce que celui-là, il est parlant et c'est du vécu. À 15h, un jeudi, un client nous appelle et nous dit que son système vient de tomber et il se rend compte que les sauvegardes sont elles aussi touchées. C'est un mélange entre panique et sidération. Donc tout de suite, on active l'assurance et donc on active cette assistance dont je vous parlais. 17h, première réunion avec des membres de cette entreprise et les experts qui interviennent pour le compte de l'assureur. Entre temps, je précise que le dirigeant m'avait appelé pour savoir déjà si on pouvait... rembourser des rançons avec le contrat avoué. Quand je parle de sidération et d'effet panique, on en est là. Et le premier constat, et je me rappelle vraiment de cette crise, c'est la sérénité qui a été amenée par le fait de se retrouver en visioconférence avec les experts de l'assureur, qui ont tout de suite permis de poser les choses, de comprendre et de mettre en place le dispositif. En l'occurrence, les serveurs étaient touchés, les sauvegardes étaient chiffrées par un ransomware. Donc tout de suite, on déroule un plan de gestion de crise. Plusieurs hypothèses sont envisagées et la première option est la meilleure, et ça a été prouvé par la suite, c'est qu'on prend la décision de sortir les disques durs des serveurs, de les envoyer par transporteur dès le lendemain matin auprès d'une société qui était spécialisée dans la récupération de données. Et d'ailleurs, ce qui était important, c'est que cette société spécialisée dans la récupération de données, elle était présente à cette première visio parce que tout de suite, ça avait été identifié. Et l'autre souvenir que j'ai, c'est que le samedi midi, on reçoit un mail nous confirmant que les serveurs sont déchiffrés. On est vraiment passé d'un effet de panique important, avec un risque très grave pour l'entreprise de peut-être ne pas pouvoir se relever, parce qu'en l'occurrence les serveurs étaient chiffrés, à une phase assez rapide de remédiation, puisque dès lors qu'on a pu restaurer les sauvegardes, on a pu remettre en place l'activité, et une semaine à dix jours après, l'activité était repartie. Alors, ça a eu des conséquences, c'était une semaine compliquée. de suractivité pour les dirigeants concernés, etc. Mais cette entreprise est repartie et l'aide des experts a été fondamentale dès les premières heures. Et on parle de une à deux heures entre le déclenchement et cette assistance.

  • Speaker #0

    Très bien. Et donc tout cet écosystème qui va s'agiter pour sauver l'entreprise, ça a bien un coût. Est-ce que, alors, si ce n'est pas pour celle-ci, est-ce qu'on peut essayer d'avoir une idée du coût moyen que ça représente ? cette assurance versus les dégâts occasionnés, ce qui pourrait représenter également ?

  • Speaker #1

    C'est une bonne question parce que souvent, le coût de ces assurances fait l'objet de beaucoup d'idées reçues. Aujourd'hui, on est sur des niveaux de primes d'assurance qui ont baissé. Si je vous donne quelques exemples, on va dire que pour une PME, le coût d'une assurance cyber, ça va être entre 1 000 et 5 000 euros, grosso modo. Il y a des différences de tarifs qui vont s'expliquer déjà par le choix entre les assureurs, d'où l'intérêt d'être conseillé par un... courtier spécialisé qui aidera à faire ce choix là. Qu'est ce qui va rentrer en ligne de compte ? Le chiffre d'affaires, l'activité, le volume des données, la sensibilité de l'activité web. C'est sûr qu'une société qui fait du flou le web ou des ventes sur internet aura un risque plus élevé qu'une entreprise moins dépendante. Donc voilà tout ça a un impact sur la prime mais retenez que pour une PME entre 1000 et 5000 euros on a pour habitude de dire que c'est le de quelques smartphones, ça reste très raisonnable. Il est vrai que pour les ETI, les grands groupes, on va être cette fois-ci sur des montants de primes bien supérieurs. Pour une ETI, c'est des dizaines de milliers d'euros. Pour un grand groupe, c'est en centaines de milliers. Mais on va parler là cette fois-ci de garantie en millions d'euros. Et on voit que la menace est très forte. Ce sont des polices qui sont amenées fréquemment à jouer. Nous, ce qu'on observe, c'est que 80% des cas, c'est surtout de l'assistance. C'est-à-dire que seuls les experts vont être mobilisés sur la remise en place du système. Et ça, ça va limiter les coûts. Par contre, il est vrai que quand on a une interruption totale ou partielle d'activité ou des systèmes d'information, alors on va avoir ce qu'on appelle de la perte d'exploitation. Et là, on va avoir des sinistres qui vont se chiffrer en centaines de milliers d'euros, voire en millions d'euros. Donc, ce sont des contrats qui ont un coût, mais avec un risque fort derrière. Et on le voit, ils jouent régulièrement. En tout cas, ça reste abordable. Et c'est important de dire que les prix ont baissé ces dernières années, alors qu'ils avaient très fortement monté, notamment après la phase de confinement. parce que là, il y avait une explosion des cyberattaques. On se demandait même si le marché de l'assurance cyber allait tenir. Dans les faits, les résultats sont améliorés. notamment aussi parce que les entreprises ont fait de très gros efforts sur leur cybersécurité et donc le risque est redevenu assurable. Et ce que l'on observe aujourd'hui, c'est que les sociétés qui s'assurent sont généralement celles qui ont un bon, voire un très bon niveau de sécurité. Et d'ailleurs, il n'est pas rare de voir des entreprises nous demander de produire une attestation d'assurance parce qu'on leur demande de produire cette attestation. Et quelque part, c'est une façon de démontrer que si on est assuré par un assurance cyber, alors on démontre un certain niveau de sécurité.

  • Speaker #0

    Merci. Maintenant, vous allez nous aider à lire entre les lignes des contrats qui, pour certains, peuvent ne pas paraître clairs. Quels sont les événements qui sont réellement couverts et ceux qui ne le sont pas ?

  • Speaker #1

    Merci de cette question. Effectivement, on parle beaucoup de cyberattaques. L'assurance cyber ne couvre pas que les cyberattaques, mais principalement, aujourd'hui, c'est ce que l'on observe. Quand on parle de cyberattaques, ça va être des attaques externes. Beaucoup de ransomware, c'est des logiciels qui viennent chiffrer les données. Les hackers prétendent déchiffrer les données moyennant le paiement d'une rançon. Ça, c'est une menace qui est très forte. On a du vol de données, on a des attaques par déni de service. L'entreprise va se retrouver avec un système site web ou même un système garantie qui va tomber parce qu'elle se fait bombarder de requêtes. Ça, c'est un premier cas d'activation. Toutes ces attaques externes et intrusions de nos systèmes d'information. mais une cyberattaque peut également être déclenchée Si l'origine est interne, avec pourquoi pas de la malveillance interne, en tout cas ça fait partie des déclencheurs, mais une erreur humaine ou un incident perturbant l'exploitation peut également être un cas d'activation, parce qu'au final les conséquences seront les mêmes pour l'entreprise. Le système est à l'arrêt, il peut y avoir une exposition des données, donc c'est un cas d'activation. Et puis il y a un autre cas qui est assez fréquent, c'est quand son fournisseur, par exemple son fournisseur informatique, son prestataire, son infogéreur, son hébergeur de données est lui-même touché, on se retrouve en cas de cyberincident, donc on va activer la police. Donc je l'ai dit tout à l'heure, lorsqu'on active la police d'assurance, immédiatement on est sur la phase généralement d'assistance, des experts sont missionnés, ils vont intervenir pour comprendre la situation, qu'est-ce qui se passe, est-ce qu'il y a une intrusion dans le système d'information, est-ce que des données sont exposées, ont été volées, donc il y a toute cette phase-là d'analyse. D'autres experts vont rentrer en ligne de compte juridique et communication de crise. Juridique parce que si des données sont compromises, alors il y a une notification à l'affaire LACNIL, voire il faudra prévenir les clients que leurs données ont pu être exposées. Et un point qui est souvent sous-estimé, c'est la communication de crise. Une bonne crise doit être bien gérée en termes de communication, parce que vous pouvez très bien la réussir techniquement. Si on communique mal ou si ce qu'on observe souvent, on ne communique pas pendant cette phase-là, alors ça génère de l'inquiétude. Ça peut générer des fausses informations. Les réseaux sociaux peuvent s'en emparer. Donc, le volet gestion de crise, dont la composante de communication de crise, il est fondamental. Alors, vous le disiez, ça a un coût. Donc, les experts qui interviennent ont des honoraires qui peuvent être élevés, puisqu'on est, encore une fois, sur de l'expertise de haut niveau. Le principe, c'est que l'assurance va prendre en charge le coût de ses experts. Donc, l'assureur les met à disposition et prend en charge le coût de ses interventions. Et derrière, l'assurance, elle va venir couvrir... prendre en charge l'ensemble des pertes, ces pertes étant les coûts directs d'une entreprise, la perte d'exploitation que j'évoquais tout à l'heure, ou possiblement des recours en responsabilité civile parce qu'il y a eu une compromission de données. Aujourd'hui, c'est perçu comme un véritable risque, mais dans les faits, c'est encore assez faible dans la sinistralité qu'on observe en France. Mais si on regarde Outre-Atlantique, on voit que les recours en compromission de données ont tendance à augmenter. Donc ce volet de responsabilité civile, il est important. protéger l'entreprise et je dirais également ces dirigeants qui sont eux responsables de cette gestion.

  • Speaker #0

    Ce qui est sûr, c'est que l'assurance responsabilité civile, elle ne suffit pas aujourd'hui alors que j'imagine qu'à tort, il y en a qui il y a des patrons qui peuvent imaginer que c'est le cas. J'ai une autre question, justement, lors de la souscription d'un contrat avec vous, par exemple, est-ce qu'il y a des erreurs stratégiques à ne pas commettre ? Quels sont les angles morts les plus fréquents dans la souscription d'une assurance cyber, finalement ?

  • Speaker #1

    Je dirais qu'il y a deux types d'erreurs. Il y a les erreurs qu'on peut rencontrer avant la phase de souscription ou au début. C'est cette sous-estimation du risque cyber. Il faut être conscient de l'impact que ça peut avoir. Une autre erreur qu'on rencontre moins, mais plus fréquemment lorsque j'avais lancé Resco, c'est croire que l'on est assuré. Le risque cyber, aujourd'hui, il est exclu des polices de responsabilité civile. Généralement, il est exclu des contrats de dommages. Il faut vraiment passer par un contrat dédié pour avoir une couverture. pleine. de ce risque-là. Donc ça peut être une erreur de penser qu'on est assuré parce qu'on a plein d'assurances, c'est un travers qu'on rencontre souvent. Et souvent, on imagine que ça va être complexe, long et laborieux, et là aussi, les assurants ont vraiment fait des progrès sur ce qu'on appelle la souscription, et on peut aller aujourd'hui assez vite pour savoir si on est assurable ou pas, et si oui, à quelles conditions. Ce sur quoi il faut être vigilant, et là aussi, c'est vraiment l'importance d'avoir un conseil. soit spécialisé comme on l'a chez Resco ou un courtier qui maîtrise bien ce sujet, c'est de ne pas sous-estimer l'impact afin de déterminer le bon niveau d'assurance. C'est le premier exercice, c'est de savoir ce que pourrait coûter une crise cyber majeure sur l'entreprise pour adapter le niveau de garantie en conséquence. Donc ne pas sous-estimer. Un autre point, c'est être vigilant aux prérequis. l'assureur pour pouvoir prendre une garantie. va s'attendre à ce que l'entreprise ait un certain niveau de sécurité informatique, un certain niveau de protection. Et ça va être contractualisé. Donc, si l'entreprise s'est engagée à avoir des antivirus à jour, des sauvegardes qui sont déconnectées, à avoir une sécurisation des accès à distance, alors c'est contractuel, c'est ce qu'on appelle les prérequis. Et là, il faut une vraie vigilance des assurés sur ces points-là parce qu'en cas de sinistre, ce sont des points qui vont être vérifiés par les assureurs et ça jouera sur la garantie, bien évidemment. Il faut d'ailleurs être vigilant au respect de ses prérequis dans le temps. Une entreprise qui rachète une filiale devra s'assurer que cette filiale respecte elle aussi ses prérequis. Et puis après, ça reste de l'assurance. Il y a des critères qui sont assez classiques, mais qu'il faut surveiller. Est-ce qu'on a une activité, par exemple, USA Canada ? Ça peut faire l'objet d'exclusions et de rachats. Est-ce qu'on exerce certaines activités à risque ? Quel est le volume de données qu'on a en base ? Est-ce qu'on ne dépasse pas certains seuils qui peuvent avoir des conséquences sur sa police d'assurance ? Donc, être vigilant, effectivement, aux conditions qui permettent d'être assuré et être vigilant sur le fait de s'assurer que dans le temps, on respecte toujours bien ces conditions-là.

  • Speaker #0

    En cas de non-assurance, est-ce qu'on a une idée un peu de ce que ça aurait représenté en termes de coûts et de dégâts humains, même parce qu'il y a un impact humain également dont on n'a pas forcément parlé, mais on ne peut pas tout aborder malheureusement ? Qu'est-ce que ça aurait représenté si vous n'aviez pas été là ?

  • Speaker #1

    Je précise, en deux jours, on savait qu'on pouvait repartir. Et il a fallu néanmoins bien dix jours pour que l'entreprise reparte. Qu'est-ce qui se passe si cette crise, et comme d'autres, ne s'était pas gérée de cette façon ? Ça veut dire que le dirigeant, avec son équipe, va se retrouver seul, confronté à une situation qu'il n'a peut-être jamais vécue. Et il faut bien voir qu'aujourd'hui, quand on parle de menace cyber, on est face à des réseaux très spécialisés, voire même professionnels dans une certaine mesure. si ce n'est pas des mafias ou des groupes avec des appuis étatiques. Donc l'entreprise, elle est livrée elle-même. Elle va devoir en urgence rechercher des experts capables d'intervenir. La difficulté, c'est que dans l'urgence, on ne trouve pas forcément des prestataires en capacité d'intervenir ou ayant le savoir-faire. Donc c'est des choses qui s'anticipent. Alors il existe des dispositifs, et notamment sur Cybermalveillance, qui mettent à disposition des experts, et c'est important de l'avoir en tête. Mais c'est quand même fondamental d'avoir ce dispositif de réaction quasiment prêt à démarrer. Tous les experts le disent, réagir en quelques heures, c'est fondamental. Si on n'est pas ça, je dirais que c'est pour ça que le business des hackers fonctionne si bien et qu'aujourd'hui, un certain nombre de rançons sont payées. C'est parce qu'aujourd'hui, les entreprises n'ont pas d'alternative. Elles n'ont pas les bons appuis ou elles n'ont pas forcément, et ou elles n'ont pas pris les bonnes mesures en amont, notamment sur ce qui s'agit des sauvegardes. Et ça entretient le business de la cybercriminalité. et d'autres entreprises. prises ne se relèveront pas. Donc aujourd'hui, on parle beaucoup de résilience, il faut se dire que c'est un risque qui peut arriver demain. Encore une fois, on peut être ciblé directement, on peut être touché par rebond, ça peut être les données qui pourraient être exposées aux compromises. On se doit de passer cette étape, on se doit de relancer l'activité, d'être résilient. Donc c'est se dire que ça peut arriver, mais il faut y faire face. Et un autre point qu'on peut évoquer, c'est préparer cette gestion de crise. C'est fondamental et d'ailleurs aujourd'hui, ça fait partie des mesures que peuvent exiger les assureurs, ou en tout cas soutenir, favoriser, c'est de jouer ces exercices de crise pour être prêts. On peut jouer différents cas. Dans la réalité, ce ne sera jamais comme un exercice, mais on va gagner du temps, les équipes seront plus prêtes à jouer. Et puis, c'est important de savoir sur qui on peut compter, quels seront les experts qui interviendront le moment venu.

  • Speaker #0

    C'était le sujet du deuxième épisode. de l'anticipation au maximum de la crise, quand bien même elle ne pourrait jamais survenir. On en parlait avec Sébastien Jardin il y a un mois, justement, dans les locaux du Forum Insider. Je vais revenir sur les fameuses exigences qu'on a citées précédemment, les exigences des assureurs. On a vu qu'elles étaient parfois très poussées en matière de sécurité et de conformité. Est-ce que vous pouvez nous en dire un petit peu plus sur la place qu'elles occupent désormais dans la stratégie cyber des entreprises ?

  • Speaker #1

    Je commencerais par dire qu'aujourd'hui, Objectivement, les exigences des assureurs sur le risque cyber sont cohérentes avec la menace. Si on a ce niveau d'exigence générale de la part des assureurs pour un certain niveau de chiffre d'affaires ou d'activité, c'est que globalement, il y a un vrai niveau de risque et que si on ne prend pas ces mesures-là, alors l'assureur considérera qu'il n'y aura pas d'aléas, c'est juste une question de temps. C'est d'ailleurs intéressant, quand on engage cette démarche, de voir quels sont les prérequis des assurances. Ça permet de se dire, voilà, OK, donc, a priori, le bon niveau de sécurité, il est celui-ci. Effectivement, les assureurs ont poussé et mis en avant un certain nombre de mesures. Ils sont très vigilants au fait que les systèmes d'antivirus soient déployés et soient à jour pour qu'il n'y ait pas de vulnérabilité liée à une mise à jour qui n'aurait pas été faite. Les assureurs ont fortement poussé à la sécurisation des accès à distance. Quand je dis ont fortement poussé, c'est-à-dire que poste cette période de Covid. il n'était plus possible d'assurer une grosse PME, une ETI, si les accès à distance n'étaient pas sécurisés par ce qu'on appelle un VPN et une authentification forte. Mais ces mesures, elles étaient cohérentes parce que c'était vraiment une porte d'entrée trop accessible pour les hackers. On parlait de gestion de crise, de sensibilisation aux employés. Ça fait partie de ce que peuvent recommander, voire exiger les assureurs, notamment que les employés d'une entreprise soient sensibilisés, voire que l'on organise des campagnes de phishing. Et là aussi, je dirais que c'est plutôt en bonne intelligence qu'on a ce type de mesures-là. Et finalement, les premiers bénéfices, c'est les entreprises. On peut avoir après, en fonction d'un chiffre d'affaires plus important, des exigences complémentaires. Les assureurs vont exiger ce qu'on appelle des EDR, des antivirus plus plus, qui vont vraiment faire de la surveillance active sur le système d'information. On peut exiger des plans de continuité. Nous, ce qu'on observe, c'est qu'il y a une certaine cohérence entre les exigences. et la réalité du risque. Ça ne veut pas dire qu'il ne faut pas mettre en concurrence les différents assureurs et que parfois, une entreprise ne sera pas éligible auprès de tel ou tel, mais trouvera néanmoins une autre solution d'assurance parce qu'un assureur acceptera ce risque-là. Certains sont plus exigeants. Ça évolue dans le temps et d'une manière générale, la concurrence est importante par rapport à ça. Ce qu'on peut dire, et je trouve que c'est une nouvelle tendance, c'est que 1. les assureurs ont des exigences en termes de prérequis, mais 2. ils sont force de proposition. aujourd'hui. Donc certains vont négocier par exemple des avantages tarifaires auprès de telle ou telle solution qu'ils vont recommander au client. Donc quelque part là il y a une économie qui peut être réalisée pour le client, mais d'autres, et c'est vraiment une tendance qui vient d'outre-Atlantique, intègrent directement dans leurs offres d'assurance cyber ce volet prévention avec ce qu'on appelle des scans de vulnérabilité qui vont être joués de façon hebdomadaire. Donc l'entreprise va bénéficier de cette veille et elle saura s'il y a des fuites, des expositions, des mots de passe qui auraient pu... pu fuiter. Il n'est pas rare d'ailleurs que certains assureurs nous préviennent pour dire voilà tel client est exposé, on a découvert une faille grâce à ces scans, il faut le prévenir. Donc vous voyez on est vraiment là dans la prévention, dans la proactivité. Les assureurs aussi ont mis en place des systèmes de campagne de phishing. Donc aujourd'hui, quand je vous disais tout à l'heure que ça peut coûter entre 1000 et 5000 euros pour s'assurer en cyber pour une PME, ça peut comprendre notamment un dispositif de veille et un dispositif de campagne de phishing. ... Et si on fait le compte, c'est pour le coup avantageux financièrement parce que vous avez d'un côté les éléments de la prévention et vous avez l'assurance et la réponse à incidents. Donc, c'est un budget, mais qui va permettre de réduire d'autres budgets d'investissement en cybersécurité.

  • Speaker #0

    Très intéressant, vous avez commencé à répondre un petit peu à ma dernière question. J'ai bien compris que l'assurance ne peut pas substituer la mise en place de solutions qui, en plus, avec NIS2, DORA, deviennent obligatoires. On ne peut plus échapper à l'installation de différentes solutions au sein de son entreprise pour protéger son système d'information. Comment il évolue cet équilibre entre l'offre assurantielle et les exigences côté entreprise ? Et quelles sont les alternatives quand on ne veut pas ou qu'on ne peut pas s'assurer ?

  • Speaker #1

    On l'a dit tout à l'heure, effectivement, les conditions sont durcies en 2022-2023 et il devenait difficile pour certaines entreprises de s'assurer ou de trouver un bon équilibre entre le niveau de prime et le niveau d'assurance. Aujourd'hui, la concurrence joue vraiment et on voit que les conditions se sont bien améliorées. C'est important de savoir aujourd'hui que les primes d'assurance ont baissé, les franchises ont baissé. On a des niveaux de capacité qui sont conformes aux besoins. À un moment, on avait des difficultés aussi à avoir les bons niveaux de garantie. Donc, même si la menace n'a jamais baissé, et on voit qu'elle s'est renforcée d'année en année, après les analyses de l'ANSI et autres, la menace augmente, mais le niveau de sécurité des entreprises l'a accompagné. Donc aujourd'hui, on a un bon équilibre entre, on le disait, le besoin d'assurance. et les prérequis attendus pour s'assurer. Il y a une forte pression pour renforcer leur sécurité. Vous évoquez Dora, Nice 2. Effectivement, la tendance est à l'augmentation du niveau de sécurité, et c'est logique. Et on voit que le contexte politique dans lequel on est ne va pas améliorer les choses. Le cyber, aujourd'hui, c'est un moyen de déstabiliser. Donc, on n'a pas d'autre choix que de renforcer ce niveau de sécurité. Donc, ça va bénéficier à l'assurance. Parce que ce qu'on observe, c'est que quand les entreprises engagent cette démarche de cybersécurité, de renforcer leur résilience, alors va se poser la question de l'assurance et du transfert à l'assureur. Donc, ça va forcément faire augmenter le recours à l'assurance. Je le disais tout à l'heure, parfois, les entreprises nous contactent parce qu'elles ont besoin d'une attestation d'assurance. Donc, quelque part, je ne pense pas qu'il y aura une obligation légale ou réglementaire à s'assurer. Mais cette obligation contractuelle, elle est importante. et donc elle va inciter aussi les entreprises à avoir recours à l'assurance. Et objectivement, c'est une bonne chose parce qu'on voit que l'assurance, ça renforce la résilience des organisations, des entreprises. Maintenant, celles qui ne peuvent pas s'assurer, qui n'ont pas fait leur démarche, vont rechercher des solutions d'assistance. On a ce qu'on appelle les solutions en certes. On va prendre un abonnement auprès d'un spécialiste en cybersécurité qui, en plus de faire une veille, pourra intervenir dans la situation en cas d'incident cyber, avec un forfait en nombre de jours, mais on sait que ce nombre de jours est limité. Donc d'avoir un cert, ça va garantir une forte réactivité en cas d'incident, mais ça ne prendra pas en totalité le coût de ces experts. Et en tout état de cause, ça ne prendra pas en charge les conséquences financières que pour avoir une cyberattaque ou un incident. J'ai évoqué cybermalveillance.gouv. On a là, heureusement, des experts qui sont recensés et qui permettent d'intervenir si on n'a pas anticipé les choses. Mais ma recommandation, c'est vraiment anticipons. Et par expérience, ce qu'on voit, c'est que les entreprises qui engagent la démarche d'assurance cyber, déjà, elles n'y renoncent pas. Les entreprises qui ont souscrit, à un moment donné, vont conserver cette assurance parce qu'elles en ont compris le bénéfice. On voit aussi que ça permet d'avoir une vraie communication au sein de l'entreprise, que le sujet soit porté par le DSI, par le dirigeant, par le DAF. Ils vont communiquer entre eux et ça va, je trouve, mettre le niveau du risque cyber au bon niveau. dans l'entreprise. Ça ne va plus devenir seulement le sujet de la DSI ou du service informatique, voire du prestataire. On va le prendre en considération, on va en mesurer les impacts et on va dire, OK, on va le traiter pour demain, si on est confronté à ce type de situation, traverser au mieux la situation.

  • Speaker #0

    Alors, Arnaud, petite question de surprise. Je vous donne 15 secondes pour convaincre un dirigeant de souscrire une assurance cyber.

  • Speaker #1

    En 15 secondes. Que le dirigeant anticipe la situation, qu'il n'attende pas d'être dos au mur parce que ça peut arriver à tout le monde. Si demain il est confronté à un ransomware, un incident grave de cybersécurité, qu'il sache sur qui il peut compter pour répondre dès les premières heures à cette situation et qu'une assurance soit en place pour en prendre en charge les coûts que ça peut représenter.

  • Speaker #0

    Merci d'avoir suivi cet épisode d'Incyber Voices. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.

Share

Embed

You may also like