Contrats d’assurance cyber : quelles garanties ?

Avantageux pour toute entreprise, les contrats d’assurance cyber comportent trois volets de protection : une garantie dommages, un volet responsabilité civile et une partie gestion de crise. Explications.

Garantie dommages

Dans un contrat d’assurance cyber, les garanties dommages couvrent les pertes de l’assuré à la suite du sinistre, en dehors de toute réclamation de tiers. Ce sont notamment les frais de restauration de données et de remise en état du système d’information, les frais de notification, les frais de surveillance, les frais d’enquêtes et de sanctions administratives, les frais de cyber extorsion et les pertes de revenus consécutives au sinistre.

Zoom sur les frais de surveillance (monitoring) et de notification

En cas de vol ou d’atteinte des données bancaires, l’assureur prend en charge les frais de monitoring liés à la surveillance du marché en cas de revente et/ou d’utilisation frauduleuse de ces données.

Les entreprises sont également soumises à une obligation de notification qui s’applique en cas de violation de données à caractère personnel, sur la base du Règlement Général européen sur la Protection des Données à caractère personnel (RGPD), en vigueur depuis le 25 mai 2018. Le coût moyen est estimé à 7 euros par notification. L’estimation inclut les frais d’investigation informatiques, les frais de notification, la mise en place d’une cellule de relation clients ainsi que les experts juridiques. Les frais de notification sont également pris en charge au titre de contrat cyber, dans le cadre d’une police d’assurance cyber.

Bon à savoir : le manquement à l’obligation de notifier peut également engager la responsabilité du responsable de traitement, qui devra être couverte par le volet de responsabilité civile du contrat cyber.

Responsabilité civile

Autre volet important dans tout contrat d’assurance cyber, le volet responsabilité civile. Ce volet garantit les conséquences financières et les frais de défense de l’assuré résultant de réclamations de tiers pour atteinte à des données ou systèmes d’information.

Il existe de nombreuses formes de dommages subis par les tiers :

  • contamination du système d’information par la transmission par l’assuré d’un fichier infecté d’un virus,
  • déni de service du fait de l’inaccessibilité des services de l’assuré,
  • violation du droit fondamental au respect de la vie ou des obligations de confidentialité, de transparence et de durée de conservation,
  • contenu d’un site Internet,

Gestion de crise

En cas de cyberattaque, c’est une course contre la montre qui se joue. La mise à disposition auprès de l’entreprise assurée par l’assureur d’un réseau de partenaires experts en gestion de crise (experts informatiques, en relations publiques et communication, experts juridiques) constitue un réel atout pour l’entreprise.

Le volet gestion de crise intègre la prise en charge des frais de recherche de la cause du sinistre et de rétablissement du système d’information, des frais de communication et de relations publiques, de restauration des données et de notification et/ou monitoring.