Logo
Assurance
Cybersécurité
Sinistres
Courtiers
Ressources
À propos
Lang
Connexion

Depuis le début de l’année 2022, les assureurs traditionnels qui proposent du cyber ont augmenté leurs prix et durci leurs conditions d’éligibilité. Se protéger contre le risque N°1 en entreprise est devenu très compliqué pour les dirigeants de PME et ETI qui manquent notamment de ressources financières pour s’assurer. Aujourd’hui, de nouveaux acteurs comme Stoïk oeuvrent sur le marché de l’assurance cyber pour la rendre à nouveau accessible aux petites et moyennes entreprises. Il est désormais possible de souscrire une police d’assurance à un prix abordable, et ce, sur le long terme.

Comprendre le prix d’une assurance cyber

Toutes les assurances ont des critères de tarification différents, que ce soit pour une assurance habitation, une assurance auto ou une assurance cyber. Le processus de souscription inclut toujours une phase de réalisation d’un devis sur-mesure qui permet de définir le prix et les garanties adaptées à chaque entreprise.

Un prix sur mesure qui dépend de plusieurs facteurs

Chez tous les assureurs, le prix d’un contrat en cyber-assurance dépend de plusieurs critères tels que :

  • le chiffre d’affaires (CA) de l’entreprise : plus le CA de l’entreprise est élevé, plus la prime augmente.
  • le secteur d’activité : plus l’entreprise dispose de données sensibles, comme c’est le cas pour un cabinet médical par exemple, plus elle va être considérée à risque. Certains secteurs d’activités sont exclus des polices d’assurance cyber.
  • le nombre d’employés : plus il y a d’employés plus le risque humain est élevé.
  • le profil de risque de l’entreprise : en fonction des bonnes pratiques cyber mises en place (audit réguliers, double authentification, campagnes de simulation de phishing, connexion à distance, mise à jour des logiciels et antivirus) et des dangers détectés sur l’infrastructure (via un questionnaire de cybersécurité).
  • les options que souhaite souscrire l’entreprise : cyber-fraude, responsabilité civile transmission de virus, responsabilité média dans certains cas.
  • la franchise et le plafond de garanties choisies.

Les critères d’éligibilité à l'assurance cyber

Certains critères servent également aux assureurs à définir l’éligibilité de l’entreprise à l’assurance cyber : 

1- Le secteur d’activité :

Certains secteurs d’activité peuvent être exclus. Par exemple, chez Stoïk les secteurs d’activité suivants ne sont pas éligibles : vente d’armes ou d’autres substances illicites ; diffusion d’images à caractère pornographique, site internet à caractère religieux, politique ou idéologique, activité de jeux et paris, réseaux sociaux, activités liées aux cryptomonnaies, compagnies aériennes, aéroports, marché boursier, fournisseurs de service de paiement, opérateurs de réseaux, chaînes de télévision et journaux, Établissements Publics à caractère Administratif (EPA), hôpitaux publics, privés et universitaires.

2- Le niveau actuel d’hygiène cyber :

Chez la plupart des autres assureurs, il est nécessaire de remplir un long questionnaire de cybersécurité qui est ensuite étudié du côté de l’assureur pour déterminer l’éligibilité de l’entreprise à sa police d’assurance. Cela peut prendre un certain temps car ce processus n’est pas automatisé et basé uniquement sur du déclaratif.

Chez Stoïk, l’outil scan externe est mis à disposition des entreprises pour scanner l’infrastructure externe et connaître leur niveau de vulnérabilité. Cette indication n’a aucun impact sur le prix final mais elle permet de connaître l’éligibilité de l’entreprise à l’assurance. Ainsi, si des vulnérabilités critiques sont détectées ou si le score est inférieur à 60/100, il sera demandé de résoudre les vulnérabilités avant de pouvoir souscrire. À cela s’ajoute un minimum de déclaratif concernant les antivirus et sauvegardes.

Comment choisir le plafond de garantie et la franchise ?

Toutes les entreprises n’ont pas les mêmes besoins en termes de protection cyber. Un des critères clés pour l’entreprise et son assureur va être d’estimer un plafond de garanties qui correspond aux risques encourus lors d’une attaque cyber, notamment sur les conseils d’experts en piratage informatique ou d’un courtier en assurance

Il est important de définir ensemble, et en fonction du CA de l’entreprise, les frais maximum que l’assurance pourra indemniser en cas d’interruption partielle ou totale des systèmes informatiques et en cas d’atteinte à la confidentialité des données.

De manière générale, il est proposé aux entreprises de choisir un plafond de garantie entre :

  • 100 000 euros, pour celles qui n’ont pas un CA très élevé et moins de risque de subir une fuite de données.
  • et 1 million d’euros pour celles qui réalisent jusqu’à 50 millions de chiffre d’affaires annuel et qui ont de la donnée particulièrement sensible à protéger.

Exemples de tarifications d’une assurance cyber Stoïk pour 10 secteurs d’activité

Critères d’exemple :

  • Chiffre d’affaires compris entre 30 000€ et 35 000€
  • 30 employés
  • Profil de risque optimal
  • Sans les options RC transmission de virus et cyber-fraude (compter +10% avec les options)
  • Franchise minimum : 1000€
  • Plafond de garantie minimum : 100 000€

Prix d’une assurance cyber par secteur d’activité :

  • E-commerce : à partir de 172€ / mois
  • Formation et éducation : à partir de 140€ / mois
  • Restaurant, bar et discothèque : à partir de 115€ / mois
  • Industrie manufacturière : à partir de 140€  /mois
  • Création de sites web : à partir de 140€ / mois
  • Services et fonds d’investissements : à partir de 172€ / mois
  • Ehpad et maison de retraite : à partir de 140€ / mois
  • Laboratoire d’analyses médicales : à partir de 172€ / mois
  • Architecte, ingénieur, bureau d’étude : à partir de 172€ / mois
  • Métiers du droit (avocats, notaires) : à partir de 115€ / mois

À titre de comparaison, une entreprise du secteur bien-être qui réalise moins de 200 000€ de CA avec 5 employés pourra souscrire une assurance cyber à partir de 44€ / mois. Un budget complètement envisageable pour les PME et ETI qui souhaitent se protéger contre le risque N°1 en entreprise aujourd’hui.

Payer une assurance cyber, le prix de la sécurité

Subir une cyberattaque coûte (beaucoup) plus cher que l’assurance

Le coût médian d’une cyberattaque en France est de 50 000€. 60% des PME qui subissent une attaque ne se relèvent pas et mettent la clé sous la porte dans les 18 mois qui suivent l’attaque.

Voici des estimation du coût d’une attaque par ransomware*, pour les mêmes secteurs d’activités que ceux cités ci-dessus :

  • E-commerce : 22 000 €
  • Formation et éducation : 35 000 €
  • Restaurant, bar et discothèque : 22 000 €
  • Industrie manufacturière : 42 000 €
  • Création de sites web : 29 000 €
  • Services et fonds d’investissements : 29 000 €
  • Ehpad et maison de retraite : 43 000 €
  • Laboratoire d’analyses médicales : 43 000 €
  • Architecte, ingénieur, bureau d’étude : 29 000 €
  • Métiers du droit (avocats, notaires) : 35 000 €

*Simulateur At-Bay : pour un chiffre d'affaires inférieur à 1 million d’euros.

https://www.at-bay.com/cyber-risk-calculators/

Dans ces chiffres, sont compris non seulement le montant de la rançon mais tout ce qui peut s’en suivre : la réparation du matériel qui pourrait être endommagé, l’intervention d’experts en cybersécurité, l’interruption d’activité, etc. Des frais qui sont pris en charge par l’assurance cyber lorsque l’entreprise est assurée.

Une fuite de données peut coûter jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende

À cela, peuvent s’ajouter d’autres conséquences indirectes. Dans le cas d’une fuite de données de clients ou d’utilisateurs de l’entreprise victime, cette dernière peut avoir à rendre des comptes devant la justice pour ne pas avoir su protéger les données de tiers. La responsabilité civile du dirigeant en matière de protection des données peut mener jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende. L’assurance cyber joue un rôle crucial dans ce type de cas en mettant à disposition des experts juridiques et en assumant les conséquences de la fuite de données pour l’entreprise.

Enfin, la réputation de l’entreprise peut également être mise à mal, et ce sur le long terme. Or, l’assurance met également à disposition des experts en communication de crise qui vont être là pour réinstaurer la confiance avec les clients, les partenaires, prestataires, fournisseurs et collaborateurs.

L’assurance cyber : une évidence ?

Souscrire une assurance cyber est certes un budget pour une PME ou une ETI. Pourtant, il reste moindre au regard de la hausse du nombre de cyberattaques et du coût qu’elles peuvent engendrer. En effet, il est plus rentable pour une entreprise de payer une cyber-assurance qui lui garantit une aide après une attaque plutôt que de prendre le risque de mettre la clé sous la porte.

Le plus rentable entre payer une cyberattaque et payer une assurance cyber :

L’augmentation des prix chez les assureurs traditionnels

Les prix des assurances cyber traditionnelles reflètent une triste réalité : plus le nombre de cyberattaques augmente, plus l’assurance cyber coûte cher, surtout pour les plus vulnérables : les PME et ETI. 

En 2 ans, le nombre total d’attaques a bondi de +170 %. De juin 2019 à juin 2020, ce sont 192 attaques par demandes de rançon qui ont été signalées : une hausse de +255 %. Les hackers visent principalement l’erreur humaine et utilisent des méthodes de phishing (hameçonnage) de plus en plus sophistiquées, ce qui les rend de plus en plus difficiles à éviter.

Face à un risque non maîtrisé et en plein boom, les assureurs traditionnels se sont retrouvés perdants face au déséquilibre du ratio sinistre / prime. Résultat : ils ont augmenté leurs prix et fortement restreint leurs conditions d’éligibilité. Trouver une assurance cyber adaptée et surtout abordable en termes de prix s’est avéré plus difficile pour les PME.

Des prix abordables pour les PME sur le long terme, est-ce possible ?

Depuis quelque mois, de nouveaux acteurs comme Stoïk se lancent sur le marché de l’assurance cyber avec une nouvelle approche de maîtrise du risque. Stoïk propose ainsi une offre cyber avec des prix adaptés aux PME et ce, sur le long terme. Grâce à son approche analytique du risque et aux outils de monitoring du risque dont elle dispose, l’assurance cyber Stoïk est aujourd’hui en capacité d’appréhender le risque cyber comme aucune autre assurance.

Ainsi, Stoïk est la seule assurance cyber sur le marché à proposer un processus de souscription et de sélection du risque qui soit sain (pas uniquement basé sur un long questionnaire de sécurité), ce qui lui permet de proposer des prix bas de manière pérenne.

Quelques exemples de cyberattaques

Agence immobilière

En Suisse, l’agence immobilière Grange est victime d’un ransomware. Les hackers demandent une rançon de 20 000 francs suisse en bitcoin. L’agence fait le choix de ne pas payer. Elle réussit à récupérer la majorité de ses données à l’exception d’une journée de mails, mais par « un processus long et coûteux en ressources internes et externes. » Sa PME a ainsi été paralysée pendant 3 jours. 

Producteur de pièces détachées d’électroménager

En 2017, la PME Clermont pièces, est contrainte de mettre la clé sous la porte suite à un ransomware que l’entreprise a refusé de payer. L’attaque a totalement paralysé son entreprise et mis ses 8 employés au chômage technique. Les fichiers clients du spécialiste en pièces d’électroménager sont devenus illisibles et son logiciel métier a été entièrement verrouillé.

Location de droits audiovisuels de films et documentaires

À Montpellier en 2020, la PME Collectivision qui loue les droits audiovisuels de films et documentaires s’est vue dans l’incapacité d’accéder à ses serveurs informatiques distants. Dans leurs imprimantes, un message imprimé leur indiquait de contacter le hacker. La société ne pouvait plus émettre de facture. Leur prestataire qui n’était pas bien protégé, ne pouvait pas non plus remonter dans ses sauvegardes. Ils ont porté plainte au SRPJ (Service Régional de Police Judiciaire) de Montpellier et les techniciens ont pu récupérer une partie des données. Mais le mal était fait, le préjudice s’est élevé à plusieurs dizaines de milliers d’euros. La PME a bien failli mettre la clé sous la porte.

Source : 

Dans la même thématique.

24 avril 2025
Lire la suite