Souscrire une assurance cybersécurité pour mieux protéger votre collectivité
09 Mai

Souscrire une assurance cybersécurité pour mieux protéger votre collectivité

Face à la montée de la cybermenace, les collectivités prennent conscience des mesures nécessaires à mettre en place pour se protéger. Les stratégies habituelles consistent à augmenter son niveau de sécurité par :

  • La technologie, avec les équipements incontournables de sécurité informatique (pare-feu, antivirus, sauvegarde, mises à jour, …) ;
  • La normalisation : respect des normes, des règles et du cadre légal, comme le RGPD par exemple ;
  • L’éducation, avec notamment des actions régulières de sensibilisation à la cybersécurité pour les élus et les agents.

Cependant, même si ces mesures permettent de diminuer fortement l’exposition aux risques et aux menaces, aucune collectivité n’est malheureusement à l’abri d’une cyberattaque et de ses conséquences. En effet, 30 % des collectivités ont déjà été victimes d’un rançongiciel selon l’étude du Clusif de 2020.

Ainsi, il peut être judicieux de compléter ces mesures par une assurance contre les risques cyber.

Quels risques une assurance cybersécurité couvre-t-elle ?

Ce type de contrat couvre les conséquences financières de 3 volets :

  1. Les dommages,
  2. L’assistance,
  3. La responsabilité civile.

Les dommages d’une cyberattaque peuvent être par exemple l’altération ou la destruction de données, comme leur chiffrement. A ce sujet, bien que l’ANSSI recommande de ne jamais payer de rançon pour ne pas alimenter la cybercriminalité, le Sénat a adopté en octobre 2022 un dispositif fixant l’indemnisation des rançons payées lors de cyberattaques.

Face aux conséquences d’une cyberattaque, l’assistance peut être la mise à disposition de moyens humains pour aider au redémarrage de l’activité.

Dans certains contrats, ces moyens humains peuvent être même disponibles 24/24h et 7/7 jours.

Elle permet classiquement de réparer les dommages causés à autrui, comme les conséquences d’un vol de données personnelles. Cependant, ce volet comporte souvent des exclusions, car les assureurs se montrent vigilants.

Par exemple, peuvent être exclues des garanties en Responsabilité Civile les condamnations à titre de sanction, car les collectivités ont des obligations et des responsabilités en matière de cybersécurité.

Ainsi, une collectivité condamnée à indemniser un administré consécutivement à un vol de données personnelles, ne verrait pas l’amende prise en charge par son assurance.

De plus, prudents après des factures importantes consécutives à des attaques, les assureurs peuvent être tentés d’augmenter leur tarif et de limiter leur prise de risque. Il faut donc mettre toutes les chances de son côté et préparer la souscription d’un contrat de risques cyber.

Comment souscrire à une assurance cybersécurité ?

La priorité est d’abord de mettre à niveau sa sécurité informatique. Il est inutile de souscrire à un contrat de ce type si vous ne disposez pas encore d’une sauvegarde de vos données. Il faut déjà avoir un bon niveau de maturité en sécurité du Système d’Information. Sur ce point, vous pouvez par exemple vous porter candidat à des dispositifs d’aide comme ceux proposés en 2022 par l’ANSSI, dans le cadre du volet cybersécurité de France Relance.

Naturellement, une collectivité pourra solliciter son assureur traditionnel pour connaître les garanties qu’il propose dans le domaine du risque cyber. Mais ces derniers n’offrent pas toujours toutes les garanties, comme l’assistance technique par exemple. Il peut donc être nécessaire de lancer une consultation pour se couvrir contre les risques cyber.

  • La première étape est de définir son besoin : que veut-on protéger et à quelle hauteur ? Il peut être judicieux de faire appel à un cabinet conseil pour vous accompagner dans cette démarche. Si vous décidez de lui confier la rédaction des pièces de la consultation, le cabinet devra avoir l’agrément Orias, car le marché de l’assurance est une profession réglementée.
  • Le cabinet conseil vous préparera également à remplir un questionnaire type utilisé par les assureurs pour connaître votre niveau de sécurité. En effet, une fois la consultation lancée, les soumissionnaires peuvent demander des compléments d’information avant de vous proposer une offre. Il faut être préparé, car ce questionnaire peut être long et précis dans les questions. Ici, le service informatique ou votre prestataire sera l’interlocuteur privilégié pour répondre aux questions.
  • Enfin, un dernier un point important à prendre en compte est la confidentialité des réponses. Il est nécessaire d’indiquer dans les pièces de la consultation, que les réponses concernant les questionnaires relatifs à la cybersécurité ne seront pas divulguées à tous les soumissionnaires.

Les commentaires sont fermé