Assurance Cybersécurité : De Quoi S'agit-il, Quelles Entreprises En Ont Besoin

L'assurance cybersécurité protège les entreprises contre les pertes financières causées par les cyberincidents, y compris les violations et vols de données, le piratage du système, les paiements d'extorsion de logiciels de rançon et le déni de service. Pour les petites entreprises qui stockent des informations sensibles en ligne ou sur un ordinateur, cette couverture pourrait s'avérer utile.

Parmi les petites entreprises de moins de 250 employés, le coût moyen des cyberattaques déclarées était d'environ 25 600 $, selon un rapport de 2021 d'Hiscox, un assureur. Ce montant pourrait être suffisant pour fermer certaines petites entreprises.

"La cybercriminalité est très opportuniste", déclare Nathan Little, vice-président de la criminalistique numérique et de la réponse aux incidents pour Tetra Defense, une société de gestion des cyberrisques qui aide les assureurs et les entreprises à prévenir et à se remettre des cyberattaques. "Chaque entreprise, quelle que soit sa taille, est une opportunité pour un cybercriminel de gagner de l'argent." Il ajoute que les pirates recherchent souvent des cibles par programme et attaquent les petites entreprises en raison de certaines vulnérabilités, et non parce qu'ils sont déterminés à attaquer une entreprise spécifique.

Comme les cyberincidents sont devenus plus fréquents, les assureurs ont ajouté plus de types de polices de cybersécurité. Voici ce que vous devez savoir.

» PLUS : Assurance pour les petites entreprises : de quelle couverture avez-vous besoin ?

Quelle est la meilleure solution pour votre entreprise ?Répondez à quelques questions et nous vous mettrons en contact avec un partenaire d'assurance qui pourra vous aider à obtenir des devis.COMMENCER

Quels sont les types de couverture de cybersécurité ?

L'assurance cybersécurité se présente généralement sous la forme d'une couverture de première partie ou de responsabilité ; ces politiques protègent les entreprises dans différentes circonstances. Si vous êtes une entreprise technologique, vous voudrez peut-être envisager d'ajouter également la couverture des erreurs et omissions technologiques, différente mais connexe.

Couverture de première partie

La couverture de première partie fournit une aide financière pour aider une entreprise assurée à faire face aux frais de recouvrement. Selon le type de cyberincident, une police couvre généralement :

  • Enquête sur l'incident.

  • Évaluation des risques des futurs cyberincidents.

  • Perte de revenus due à une interruption d'activité.

  • Paiements d'attaques de ransomwares basés sur les limites de couverture.

Les polices couvrent généralement le coût de la notification aux clients du cyberincident et de la fourniture de services antifraude tels que la surveillance du crédit.

Certaines polices couvriront des éléments supplémentaires tels que la réparation des systèmes qui ont été endommagés par l'incident, mais la couverture sera différente selon les polices individuelles. La couverture de cybersécurité la plus courante est l'assurance contre la violation de données.» PLUS : Vous ne parlez pas technologie ? La cybersécurité pour le reste d'entre nous

Retour au sommet

Couverture de responsabilité

Que vos clients soient des particuliers ou d'autres entreprises, vous pourriez être tenu de couvrir les dommages si leurs informations sont compromises par une cyberattaque contre votre entreprise. La couverture de responsabilité en matière de cybersécurité protège une entreprise lorsqu'un tiers poursuit le titulaire de la police pour des dommages à la suite d'un cyberincident.

Le potentiel d'une réclamation en cyberresponsabilité est peut-être plus probable que vous ne le pensez. Les téléphones portables perdus des employés peuvent donner accès aux informations sur les clients, et les attaques de ransomwares peuvent vous empêcher d'exécuter des commandes ou de mener à bien des projets, vous laissant responsable des pertes financières des clients.

La couverture de responsabilité en matière de cybersécurité protège les entreprises si de tels scénarios se produisent et paie généralement pour :

  • Les frais d'avocat et de justice liés aux procédures judiciaires.

  • Transactions et décisions de justice.

  • Amendes réglementaires en cas de non-conformité.

» PLUS : Assurance responsabilité 101 : Ce que les propriétaires d'entreprise doivent savoir

Retour au sommet

Erreurs et omissions technologiques

Une police erreurs et omissions technologiques, ou E&O, peut protéger les petites entreprises qui fournissent des services technologiques lorsque l'assurance cybersécurité ne fournit pas de couverture. Tech E&O entre en jeu si le produit ou le service d'une entreprise entraîne un cyberincident qui affecte directement un tiers.

La différence est de savoir si l'incident s'est produit dans votre entreprise, comme une violation de données sur votre réseau, ou dans l'entreprise d'un client en raison d'une erreur de votre part. À titre de comparaison, si les données financières d'un client sont volées sur votre ordinateur, la première partie ou la responsabilité fournit une couverture. Cependant, si vous écrivez un logiciel de comptabilité qui contient une erreur dans le code et que les données du client sont volées directement à partir de son ordinateur, vous êtes maintenant sur le territoire de la technologie E&O.

Technology E&O paie des éléments similaires à ceux de l'assurance responsabilité civile en matière de cybersécurité, tels que les frais juridiques, les frais de justice et les jugements ou règlements, mais uniquement dans des circonstances couvertes liées aux produits ou services. Si votre entreprise ne fabrique pas de produit technologique ou ne fournit pas de services technologiques, vous pouvez probablement ignorer complètement cette couverture.

Retour au sommet

Quelles entreprises ont besoin d'une assurance cybersécurité?

Les entreprises qui stockent des données importantes en ligne ou sur des ordinateurs. Si votre entreprise stocke des données importantes telles que des numéros de téléphone, des numéros de carte de crédit ou des numéros de sécurité sociale, que ce soit en ligne ou sur un ordinateur, vous êtes exposé à un risque de cyberattaque et pourriez bénéficier d'une assurance cybersécurité.

Les entreprises qui stockent leurs propres données financières et toutes les données personnelles de leurs clients doivent au moins envisager une couverture de première partie. Par exemple, une entreprise victime d'une attaque par rançongiciel peut perdre des données précieuses, telles que des dossiers financiers, si elle n'est pas en mesure de répondre aux demandes de paiement. Avec la couverture de première partie, l'assureur de l'entreprise peut intervenir pour couvrir une partie ou la totalité de la rançon, selon les limites de couverture de la police.

Si vous stockez des informations personnelles plus importantes sur vos clients, vous voudrez peut-être vous pencher sur la couverture de responsabilité, également appelée couverture de tiers. Contrairement à la couverture de première partie, les polices de cyberresponsabilité couvrent les frais juridiques et les jugements dans les cas où des personnes poursuivent votre entreprise pour des dommages causés par une cyberattaque. Certains types d'informations telles que les numéros de carte de crédit ou les numéros de sécurité sociale peuvent avoir un impact plus important sur les clients si leurs données sont volées à votre entreprise, car elles peuvent être utilisées dans le cadre d'un vol d'identité.

Si un client concerné décide de poursuivre en justice en raison des retombées de la violation de données, vous aurez besoin d'une couverture de responsabilité pour couvrir les frais et dépenses juridiques. Les petites entreprises qui travaillent avec les données d'autres entreprises devraient également considérer la couverture de responsabilité comme une option viable.

Entreprises avec une grande clientèle. Pour les entreprises ayant un grand nombre de clients, une assurance cybersécurité pourrait être particulièrement intéressante. Les politiques peuvent aider à couvrir certaines amendes réglementaires auxquelles ces entreprises pourraient être soumises à la suite d'une violation de données. Informer les clients des violations de données est souvent requis par la loi de l'État, et les politiques de première partie peuvent couvrir ce coût, qui peut être important pour les entreprises ayant de grandes bases de consommateurs.

Entreprises avec des revenus élevés et des actifs précieux. Pour les petites entreprises matures avec des revenus élevés et des actifs précieux, l'assurance cybersécurité peut réduire considérablement le risque financier. Les coûts associés aux cyberincidents peuvent être difficiles à prévoir, et les grandes entreprises sont susceptibles de disposer de données plus précieuses, ce qui pourrait entraîner une rançon plus coûteuse. En revanche, les petites entreprises à faible revenu pourraient avoir du mal à justifier financièrement le coût des primes de cybersécurité si elles pensent que le coût de la réponse à une violation de données sera inférieur à une année de primes.

Si vous n'êtes pas sûr de ce que vous pensez de la valeur de l'assurance cybersécurité, envisagez de parler à un agent d'assurance pour évaluer votre niveau de risque et les primes potentielles afin de déterminer s'il s'agit du bon investissement pour votre entreprise.

Retour au sommet

Qu'est-ce que l'assurance cybersécurité exclut ?

Dommages à la propriété. L'assurance cybersécurité ne couvre généralement que les dommages pécuniaires, de sorte qu'elle ne paie généralement pas les dommages matériels résultant d'une violation de données ou d'une cyberattaque, comme le matériel qui a été grillé lors de l'incident cybernétique. Ces types de réclamations sont généralement considérés comme faisant partie de l'assurance des biens commerciaux.

Propriété intellectuelle. Lors d'un cyberincident, les pertes de propriété intellectuelle et toute perte de revenu qui y est associée sont généralement exclues de la couverture d'assurance cybersécurité. Pour obtenir cette couverture, une entreprise aura besoin d'une assurance de propriété intellectuelle.

Crimes ou cyberincidents auto-infligés. Pratiquement aucune politique de cybersécurité ne couvrira une entreprise accusée d'avoir commis un crime lié à ou d'avoir causé un cyberincident.

Le coût de la prise de certaines mesures de protection. Les mesures de protection pour éviter une future cyberattaque ne sont pas non plus traditionnellement couvertes par une politique de cybersécurité. Cela comprend la formation des employés à la cybersécurité et la mise en place d'un réseau privé virtuel. Cependant, les assureurs commencent à reconnaître les avantages de ces mesures et la couverture variera donc selon les fournisseurs individuels.

» PLUS : 7 conseils pour protéger votre petite entreprise des cyberattaques Haut de page

Comment souscrire une assurance cybersécurité ?

L'assurance cybersécurité peut être achetée auprès de la plupart des assureurs professionnels réputés et constitue sa propre police. Il n'est pas considéré comme faisant partie des assurances commerciales plus traditionnelles comme la responsabilité civile générale ou les polices des propriétaires d'entreprise, bien que certains assureurs puissent fournir des avenants de cybersécurité connexes qui permettront aux petites entreprises de l'ajouter dans le cadre d'un package.

Les erreurs et omissions technologiques peuvent souvent être associées à des politiques de cybersécurité afin qu'une petite entreprise technologique soit couverte lorsqu'elle en a besoin.

» PLUS : Comment souscrire une assurance professionnelle

Retour au sommet

De quelle couverture de cybersécurité ai-je besoin ?

La plupart des petites entreprises ont environ 1 million de dollars en limites de couverture de cybersécurité, ce qui les protège généralement contre la plupart des cyberincidents. Les entreprises ont des risques et des besoins différents, cependant, un agent d'assurance peut vous aider à déterminer le niveau de couverture qui convient à votre entreprise.

Le pire scénario d'un cybercrime est de perdre complètement une entreprise, dit Little. Sans une couverture suffisante, de nombreuses entreprises pourraient ne pas être en mesure de rebondir après un cyberincident. Bien que les primes de ces polices puissent être importantes, il est généralement moins cher de payer pour récupérer des informations ou déverrouiller des données rachetées que pour reconstruire une entreprise à partir de rien.

Quelle est la meilleure solution pour votre entreprise ?Répondez à quelques questions et nous vous mettrons en relation avec un partenaire d'assurance qui pourra vous aider à obtenir des devis.COMMENCER Haut de pageFoire aux questionsJe ne stocke pratiquement aucune donnée pour mon entreprise. Ai-je besoin d'une assurance cybersécurité ?

Les experts en cybersécurité et en assurance recommandent à toutes les entreprises qui stockent toute forme de données numériques d'envisager d'avoir une couverture, même si elles ont des limites basses. Envisagez de parler à un agent d'assurance cybersécurité pour en savoir plus sur la couverture afin de pouvoir évaluer les risques que vous êtes prêt à tolérer en matière de cybersécurité.

Dois-je demander à une entreprise de cybersécurité de me conseiller sur mon risque ?

Pas nécessairement. Il existe de nombreux bons courtiers d'assurance qui ont l'expérience de la cybersécurité, dit Little. Si vous travaillez avec un fournisseur d'assurance qui comprend les besoins en matière de cybersécurité, il peut probablement vous aider à choisir une bonne police avec des limites de couverture appropriées.

Comment savoir si un assureur a de l'expérience en matière de couverture de cybersécurité ?

Un agent d'assurance devrait être en mesure de répondre à vos questions sur les risques potentiels pour votre entreprise, sur la couverture disponible, sur la manière dont cette couverture vous aide dans certaines situations et sur le montant des primes que vous êtes susceptible de payer. Si vous n'êtes pas sûr après avoir parlé avec un agent, envisagez de contacter une autre compagnie d'assurance pour comparer les informations.

Toutes les entreprises ont-elles besoin d'une couverture E&O technologique ?

Non, l'assurance E&O technologique n'est pertinente que si vous concevez ou fabriquez des produits liés à la technologie ou fournissez des services technologiques. Il sera pertinent pour les entreprises comme celles qui écrivent du code logiciel, fournissent des services informatiques à d'autres entreprises ou conçoivent des applications.

Je ne stocke pratiquement aucune donnée pour mon entreprise. Ai-je besoin d'une assurance cybersécurité ?

Les experts en cybersécurité et en assurance recommandent à toutes les entreprises qui stockent toute forme de données numériques d'envisager d'avoir une couverture, même si elles ont des limites basses. Envisagez de parler à un agent d'assurance cybersécurité pour en savoir plus sur la couverture afin de pouvoir évaluer les risques que vous êtes prêt à tolérer en matière de cybersécurité.

Dois-je demander à une entreprise de cybersécurité de me conseiller sur mon risque ?

Pas nécessairement. Il existe de nombreux bons courtiers d'assurance qui ont l'expérience de la cybersécurité, dit Little. Si vous travaillez avec un fournisseur d'assurance qui comprend les besoins en matière de cybersécurité, il peut probablement vous aider à choisir une bonne police avec des limites de couverture appropriées.

Comment savoir si un assureur a de l'expérience en matière de couverture de cybersécurité ?

Un agent d'assurance devrait être en mesure de répondre à vos questions sur les risques potentiels pour votre entreprise, sur la couverture disponible, sur la manière dont cette couverture vous aide dans certaines situations et sur le montant des primes que vous êtes susceptible de payer. Si vous n'êtes pas sûr après avoir parlé avec un agent, envisagez de contacter une autre compagnie d'assurance pour comparer les informations.

Toutes les entreprises ont-elles besoin d'une couverture E&O technologique ?

Non, l'assurance E&O technologique n'est pertinente que si vous concevez ou fabriquez des produits liés à la technologie ou fournissez des services technologiques. Il sera pertinent pour les entreprises comme celles qui écrivent du code logiciel, fournissent des services informatiques à d'autres entreprises ou conçoivent des applications.

Timothée Gachet
Timothée Gachet Les cyberincidents mineurs peuvent perturber les petites entreprises de manière majeure. L'assurance cybersécurité peut fournir une protection et un soutien financiers importants.