Assurances au service de la sécurité et Cyber assurance

Le 31 mars 2025, 20 directeurs sécurité sûreté se sont donné rdv pour le Club SécuriDate sur la thématique des assurances au service de la sécurité.

1. Généralités

La démarche relative aux assurances est complexe car il est délicat de savoir ce qu’on peut et doit assurer et pour quel montant. Les questions arrivent souvent à l’issue d’un sinistre. Assurer son entreprise, c’est mettre en place un contrat par lequel l’assureur promet à l’assuré, en contrepartie du paiement d’une prime, le versement d’une indemnité en cas de sinistre. La loi ne fixe aucune liste exhaustive d’assurances obligatoires qui dépendent principalement de l’activité de l’entreprise, mais peuvent être prescrites par la loi, par les textes (certaines activités) ou par des dispositions contractuelles (bail commercial). Comme de nombreux dommages ou pertes peuvent coûter très cher à l’entreprise, il n’est pas recommandé de faire l’impasse sur les assurances, même si elles sont facultatives. Il faut bien réfléchir aux risques que l’on prend ! Les assurances relatives aux biens ont un impact sur les biens de l’entreprise en cas de risques extérieurs (vol, incendie…), l’assurance perte d’exploitation porte sur la baisse de revenus dus à des sinistres, l’assurance risque informatique sur les sinistres informatiques. L’assurance responsabilité civile professionnelle couvre les dommages matériels, immatériels ou corporels causés par l’entreprise à des tiers ; l’assurance relative aux personnes est à destination des salariés (assurance complémentaire santé, assurance prévoyance collective ou assurance homme-clé). D’autres assurances sont possibles : protection juridique pour litiges avec les partenaires, les fournisseurs et les clients. Un assureur assure en espérant ne jamais devoir indemniser des sinistres ! Deux risques importants pourraient être assurés : émeutes, K&R, climatiques et réputationnels.

2. Démarche pour s’assurer

Chaque entreprise, après avoir déterminé les risques auxquels elle est confrontée (cartographie des risques), doit décider quels risques sont supportables et quels risques ne le sont pas. Il faudra définir les frontières des risques au sein de l’entreprise et il faut coopérer avec le Riskmanager, le RSSI, le responsable des assurances, la direction juridique et la direction des services généraux. Il faut distinguer les risques que l’entreprise peut prendre à sa charge, compte tenu de sa capacité financière (auto-assurance), et les risques pour lesquels il apparaît indispensable de souscrire une garantie. Un courtier en assurances est l’intermédiaire entre les assurés et les compagnies d’assurance. Son rôle consiste à conseiller, orienter, et proposer des solutions adaptées aux besoins spécifiques de ses clients en matière d’assurance. Pour des raisons de simplicité et de facilité, les contacts directs avec les assureurs ne sont pas recommandés. La révision des contrats est indispensable pour, si nécessaire, abaisser franchise et/ou prime ou modifier couverture.

3. Cyber assurance

Toute entreprise qui stocke des informations clients ou qui dépend de la technologie est confrontée à des cyber-risques. Les équipes de sécurité peuvent prendre des mesures pour atténuer les cybermenaces, mais elles ne peuvent pas les empêcher complètement. La cyberassurance (assurance contre les cyber-risques ou risques informatiques) couvre les pertes financières subies par les entreprises à la suite d'attaques par ransomware, de violations de données et d'autres cyberincidents. La couverture varie en fonction des besoins de l'entreprise, des types de données qu'elle stocke et de son secteur d'activité ; il existe des options : de couverture directe (coûts de récupération des données et de restauration des systèmes) et de tiers (préjudices subis par des parties externes à l'entreprise, comme les consommateurs dont les données ont été volées). Les polices couvrent les dommages aux systèmes informatiques, les pertes de revenus, les frais juridiques et autres coûts liés aux cyberattaques. La cyberassurance peut atténuer l'impact financier de ces violations, ce qui en fait un élément important de la gestion des risques pour les entreprises. Les produits d'assurance standard (responsabilité civile générale et les polices d'erreurs et omissions) ne couvrent généralement pas les pertes liées aux cyber-événements. Les possibilités de la cyberassurance sont :1- Interruptions d’activité ; 2 - Réponse aux menaces et résolution ; 3 - Frais de justice ; 4 - Reprise des opérations après une violation des données ; 5-Action réglementaire/enquêtes réglementaires ; 6-Gestion de la réputation ; 7-Paiements de rançons (fin à cette couverture ou limites en raison du coût élevé des rançons) ; 8 - Correction des logiciels malveillants. Les assureurs imposent des exigences plus strictes en matière de sécurité des réseaux. Certains assureurs n'offriront même pas de devis d'assurance si une entreprise n'a pas mis en place une sécurité cohérente et solide (questions pouvant donner beaucoup d’informations à l’assureur). Les cyberassureurs pourraient jouer un rôle clé dans l'application de normes car, pour les entreprises qui les respectent, ce serait moins couteux.