Une activité en hausse

Alors que l’activité du bâtiment en France était à nouveau en hausse, en 2022, avec un chiffre d’affaires historique de près de 160 milliards d’euros (source : rapport de l’Observatoire de la qualité de la construction, édition 2023), il est estimé que 80 % des sinistres dans la construction ont pour origine un défaut lors de la réalisation des travaux (source : AXA).

En effet, la réalisation d’une opération de construction, de réhabilitation ou de rénovation est jalonnée d’imprévus qui peuvent mener à un dysfonctionnement ou à un blocage du projet, causant souvent un retard et un coût supplémentaire.

Parallèlement à ces chiffres, les acteurs du bâtiment doivent également composer avec un contexte réglementaire toujours plus encadrant. Ils sont donc confrontés à un défi majeur : réussir à gérer et anticiper les nombreux risques inhérents à leur activité.

Des maîtres d’ouvrage exposés au risque

Les professionnels du bâtiment et les maîtres d’ouvrage sont de plus en plus exposés au risque. En témoigne la hausse annuelle de la sinistralité en dommages ouvrage, de 6,2 % en moyenne depuis 2009.

Pour les maîtres d’ouvrage, il est de rigueur de connaître les risques et les responsabilités auxquels ils sont exposés, du démarrage des travaux jusqu’à leur réception. Ainsi, ils pourront mieux les anticiper et les maîtriser.

L’importance de l’assurance construction

À ce titre, l’assurance construction s’impose comme un allié de poids. Encadrée par la loi du 4 janvier 1978, dite loi Spinetta, l’assurance construction, obligatoire en France, repose sur un système à double détente :

• l’assurance dommages ouvrage : souscrite par le maître d’ouvrage pour une durée de 10 ans, permet une prise en charge rapide en cas de sinistre, en pré finançant les dommages de nature décennale,
• l’assurance responsabilité civile décennale : obligatoire pour tous les constructeurs (entrepreneurs, maîtres d’œuvre, architectes, etc.), couvre leur responsabilité pendant dix ans après la réception des travaux en cas de dommages compromettant la solidité de l’ouvrage ou le rendant impropre à sa destination.

En offrant une couverture spécifique contre les risques inhérents aux activités de construction, l’assurance construction permet aux acteurs du bâtiment de se mettre en conformité avec la loi mais également de protéger leur ouvrage et leur avenir contre toute conséquence liée à la survenue d’un sinistre.

Des assurances obligatoires

Le Brésil ne fait pas exception et, comme dans de nombreux autres pays du monde, il existe plusieurs assurances obligatoires pour se mettre en conformité avec la loi.

C’est le cas, de la responsabilité civile automobile pour tous les conducteurs de véhicules motorisés, mais également de l’assurance dommages corporels pour les membres de clubs sportifs et les propriétaires de bateaux, pour couvrir les victimes d’un accident impliquant leur navire ou leur marchandise, ou encore pour les brésiliens voyageant dans l’un des états de l’espace Schengen.

Le Brésil impose également des assurances à certains professionnels et aux entreprises, dans certaines conditions.

Transport

Les marchandises transportées doivent être couvertes lorsqu’elles circulent au Brésil par voie terrestre, maritime ou aérienne.

Une assurance responsabilité civile des transporteurs est imposée pour garantir les dommages aux marchandises transportées. Les transporteurs aériens ont l’obligation de contracter une assurance responsabilité civile aviation pour les dommages corporels aux passagers (pour les lignes commerciales). Les propriétaires d’avions et/ou d’objets volants (dont les drones pesant plus de 250 grammes) doivent quant à eux souscrire une assurance responsabilité civile. Il est également nécessaire, dans le cadre d’un transport interne de biens appartenant aux entreprises brésiliennes, d’avoir une assurance incendie et marchandises transportées.

Responsabilité civile

L’assurance responsabilité civile est obligatoire au Brésil pour les entrepreneurs en construction et en bâtiment, en cas de dommages corporels ou matériels. L’assurance responsabilité civile professionnelle est elle aussi exigée pour tous les courtiers en réassurance.

Garanties financières et assurance-crédit

Ces assurances sont, elles aussi, obligatoires au Brésil dans les cas suivants :

• entrepreneurs en bâtiment et promoteurs immobiliers,
• emprunteurs pour les projets de construction,
• prêts à la consommation ou aux entreprises financés par les institutions financières publiques,
• à l’export financées par les institutions gouvernementales lorsque la National Council of Private Insurance le juge opportun,
• dans le cadre de la responsabilité civile des propriétaires de bateaux et armateurs en cas de marée noir ou de pollution par hydrocarbures.

Dommages

Le Brésil impose par ailleurs la souscription d’une assurance dommages aux biens pour les copropriétés, et d’une assurance récoltes pour les bénéficiaires des aides du programme gouvernemental « renforcer les exploitations familiales ».

Les assurances professionnelles en détail

En plus des assurances obligatoires pour vous mettre en conformité avec la loi brésilienne, les entreprises ont également intérêt à s’intéresser à d’autres assurances pour couvrir les différents risques pouvant menacer leur activité.

Accidents du travail et faute inexcusable

Au Brésil, c’est l’État qui se charge des accidents du travail : leur gestion relève en effet du système de Sécurité sociale. Les cotisations de Sécurité sociale des employeurs pour les prestations d’accidents du travail et de maladie professionnelle dépendent de leurs antécédents.

Les polices locales de responsabilité civile générale incluent automatiquement la faute inexcusable – qui n’est pas disponible seule – étendue aux employés travaillant temporairement à l’étranger, mais excluent spécifiquement :

• la négligence grave de l’assuré,
• les réclamations concernant les véhicules de l’assuré en dehors des locaux,
• les maladies professionnelles,
• les créances résultant de la subrogation des autorités de Sécurité sociale.

Assurance santé

Selon les études de marché, près de 100 % des employeurs au Brésil ont une couverture médicale pour leurs employés, et environ 95 % ont également une couverture dentaire. L’accès aux garanties « soins de longue durée », en revanche, est limité sur le marché.

Assurances dommages

Incendie

La garantie incendie de base couvre les incendies, la foudre et les explosions. Les risques industriels et commerciaux plus importants sont souscrits en tous risques, tandis que les petites industries sont en péril dénommé.

Evénements naturels

Les crues et glissements de terrain fluviaux et soudains sont courants au Brésil, et sont les principales causes de catastrophes naturelles. Les entreprises exerçant dans le pays ont donc intérêt à protéger leur activité avec une assurance couvrant ces risques.

Grèves, émeutes

La garantie grèves, émeutes et troubles civils (SRCC) est rarement souscrite par les entreprises implantées au Brésil, et moins d’1 % des contrats couvrent ce risque qui n’est pourtant pas nul.

Assurance construction

À noter, il existe une grande capacité sur le marché pour les assurances de chantier, principalement apportée par les assureurs étrangers opérant au Brésil.

Les assurances de responsabilité

Les entreprises et professionnels doivent aussi se couvrir plus largement, et notamment en matière de responsabilité. Sur cette question, et bien que les assurances de responsabilité civile ne soient pas obligatoires pour tous dans le pays, trois types d’assurances de responsabilités peuvent être particulièrement intéressantes.

Responsabilité civile produit

Cette garantie est souscrite par la plupart des grandes entreprises exportatrices en réponse aux besoins de leurs clients. Elle est intégrée à la responsabilité civile générale, et comporte des sous-limites. Elle est généralement limitée aux réclamations survenant dans les limites territoriales brésiliennes.

Responsabilité civile professionnelle

Les conditions de souscription en responsabilité civile professionnelle se sont durcies au Brésil, avec des taux plus élevés, des franchises plus importantes dans de nombreux cas, et des restrictions de capacité.

Responsabilité civile dirigeants

La coassurance devient, par nécessité, une pratique courante pour les risques importants. En effet, le durcissement du marché a entraîné une augmentation des primes et de nombreux assureurs offrent actuellement une capacité réduite.

La couverture pour les entreprises cotées en bourse aux États-Unis est particulièrement difficile, les limites substantielles requises étant désormais compliquées à obtenir.

À savoir pour assurer votre activité au Brésil

Tous les pays ont leurs propres spécificités en matière d’assurances pour les entreprises et professionnels, et le Brésil ne déroge pas à la règle. Si vous souhaitez assurer votre activité dans ce pays, voici les principales caractéristiques à connaître :

• les polices non-admises ne sont pas autorisées, à l’exception de rares cas,
• la clause différence de conditions/différence de limites n’est pas autorisée,
• la reconduction n’est pas tacite,
• aucun courtier local n’est exigé,
• la prime doit être obligatoirement collectée localement (période de 30 jours).

Des assurances obligatoires

Comme c’est le cas dans de nombreux pays, l’Inde impose aux entreprises et à certains professionnels la souscription d’assurances. Ainsi :

• les fabricants de matériaux dangereux, les transporteurs aériens, les courtiers en assurance et en réassurance, les agents de change et sociétés d’investissements devront obligatoirement souscrire une assurance Responsabilité Civile
• les propriétaires de bateaux sont quant à eux soumis à l’assurance Responsabilité Civile Pollution ou doivent mettre en place une garantie financière.

Dans chacune de ces situations, la prime peut être émise dans toute monnaie, à condition d’avoir obtenu l’accord de la Banque Centrale Indienne.

En Inde, les conducteurs de véhicule motorisé doivent également être couverts par une assurance responsabilité civile automobile. A noter dans ce cas, des tarifs statutaires s’appliquent, et la prime doit obligatoirement être émise en roupie indienne.

Attention, l’Inde est un grand pays organisé selon un modèle fédéral, d’autres assurances obligatoires peuvent donc exister au niveau local. Pour plus de précisions, n’hésitez pas à nous contacter.

Les assurances professionnelles en détail

Au-delà des assurances obligatoires pour se mettre en conformité avec la loi du pays, les entreprises implantées en Inde ont également intérêt à s’intéresser à d’autres types d’assurances pour couvrir leurs différents risques. Récapitulatif à destination des professionnels pour s’assurer en Inde.

Les assurances dommages

Bris de machine

Cette assurance est souvent incluse dans les polices tous risques industriels. Elle couvre les machines comme : les compresseurs, pompes, turbines et machines électriques (dont les transformateurs, moteurs électriques et générateurs), etc.

Evénements naturels

Fortement exposée aux conséquences du changement climatique, l’Inde subit des catastrophes naturelles à répétition. Les entreprises exerçant dans ce pays ont donc intérêt à protéger leur activité contre ces risques.

Trois types d’événements sont principalement couverts par les assurances dommages :

• les tremblements de terre : la garantie standard incluse en extension de la police incendies et risques spéciaux couvre les dommages consécutifs aux tremblements de terre et aux secousses. Il est possible d’y ajouter l’option incendie suite à un tremblement de terre. Dans ce cas, les sommes assurées sont les mêmes que celles pour la police incendie. 95 % des polices dommages aux biens assurent les tremblements de terre en Inde,
• les tempêtes : la garantie incluse dans la police dommages aux biens couvre toutes les pertes liées à la désintégration ou aux dommages consécutifs à une tempête, un orage, un cyclone, un typhon ou une tornade. 95 % des polices incendies et risques spéciaux incluent la garantie tempêtes, orages et inondations en Inde,
• les inondations : la garantie est incluse dans la police dommages aux biens, sans surcoût.

Pertes d’exploitation

Garantie basée sur le modèle britannique, elle couvre uniquement la perte de bénéfices. Elle peut être souscrite seule, dans une police tous risques industriels, ou comme extension de la police incendie.

Vol, vandalisme et mouvements populaires

Concernant le vol, notons qu’en principe, une garantie vol est incluse dans la police tous risques industriels et commerciaux. Mais il est possible d’émettre une police à part.

A savoir : la couverture du risque vol/vandalisme est limitée aux pertes consécutives à une entrée ou à une sortie forcée et/ou violente.

Pour les mouvements populaires, en revanche, il s’agit d’une police à part. Elle couvre les grèves, les émeutes et les mouvements populaires.

L’assurance construction

Non-obligatoire et pourtant indispensable à tous les professionnels du secteur, l’assurance construction offre une couverture contre les principaux risques attenants à cette activité.
Pour les projets complexes comme la construction de ponts ou le creusement de tunnels, la réassurance par des assureurs spécialisés est pratique courante.

Les accidents du travail

En Inde, tout salarié victime d’un accident de travail ayant pour conséquence une invalidité totale ou partielle perçoit une indemnité payée exclusivement par son employeur. L’entreprise peut souscrire une assurance facultative qui couvre le décès et l’invalidité : le niveau d’indemnisation est prévu par la loi (Employee Compensation Act). Aucun maximum n’est défini.

Avantage : les frais juridiques peuvent être remboursés avec l’aval de la compagnie d’assurance.

La prime doit obligatoirement être émise en roupie indienne.

Les assurances de responsabilité

Le contrat de responsabilité civile peut être souscrit sur une base réclamation ou fait dommageable.

Responsabilité d’exploitation

Les frais juridiques peuvent être remboursés, dans les limites globales d’indemnisation et avec l’accord de l’assureur.

Responsabilité civile professionnelle

Elle est obligatoirement souscrite sur la base réclamation.

Responsabilité civile environnement

Cette assurance est fortement recommandée pour les entreprises fabriquant ou utilisant des produits chimiques dangereux.

À savoir pour assurer votre activité en Inde

L’Inde présente des spécificités en matière d’assurances pour les professionnels. Voici donc les particularités à connaître :

• la souscription des polices d’assurance se fait sur le principe de « cash before cover »,
• les polices non-admises ne sont pas autorisées, à l’exceptions de rares cas comme la santé,
• la reconduction n’est pas tacite,
• il n’y a pas de tarifs statutaires, sauf pour la garantie terrorisme,
• aucun courtier local n’est exigé. En revanche, la prime doit être obligatoirement collectée localement.

Approche personnalisée

Chaque entreprise est unique, et c’est pourquoi notre approche en matière d’assurance cyber est entièrement personnalisée. Avec notre équipe d’experts dédiés, nous prenons le temps de comprendre vos besoins spécifiques, votre secteur d’activité et les risques associés à vos opérations numériques.

Nous réalisons un audit précis de vos besoins, vérifions la conformité des programmes existants, et négocions les meilleures conditions pour vous. Notre service client est fondé sur le respect, la confiance et la fidélité, garantissant une expérience client de qualité. Cette analyse approfondie nous permet de vous fournir des conseils éclairés et adaptés à votre réalité d’entreprise.

Une offre clé en mains

Servyr vous accompagne en effet dans l’analyse de vos risques, la mise en place et la gestion de vos programmes d’assurance cyber. Pour vous proposer la meilleure solution possible, couvrant tous les aspects du risque cyber, nous avons développé une offre packagée comprenant trois volets.

Gestion de crise

En cas d’incident cyber, l’image et la réputation de votre entreprise sont en jeu. C’est pourquoi il est crucial de vous préparer à gérer dans l’urgence vos relations publiques. Servyr vous soutient dans cette gestion de crise.

De la première réponse à la résolution finale, nous sommes là pour vous aider à naviguer dans ces moments difficiles. Notre expertise en gestion de crise vous assure une reprise rapide et efficace, minimisant l’impact sur votre entreprise.

Dommages

L’offre Servyr comprend également un volet sur la couverture des dommages engendrés par un incident cyber.

Cette garantie prend en charge les pertes d’exploitation, les frais de notifications, les sanctions légalement assurables et les frais de défense de l’assuré victime d’un incident cyber.

Responsabilité civile

La garantie dommages ne couvrant que les pertes financières et les frais concernant l’assuré, l’offre Servyr comprend également un volet Responsabilité civile pour indemniser les réclamations des tiers à la suite d’une atteinte aux données personnelles ou à un manquement à l’obligation de notification.

Ce dernier volet est tout aussi important que les deux précédents, car les dommages subis par les tiers en cas de cyberattaques sont nombreux et variés, et peuvent engendrer des conséquences financières lourdes. Elles engagent également la responsabilité de l’entreprise.

Aller plus loin

Si vous souhaitez en savoir plus en matière d’assurance contre les risques cyber, Servyr peut vous mettre en relation avec un prestataire référencé par le site cyber malveillance du gouvernement. Ce dernier pourra vous proposer la réalisation d’un audit identifiant les principales menaces pour votre entreprise.

Afin de vous accompagner dans l’évolution de vos besoins, les équipes de Servyr sont à votre disposition pour répondre à vos questions et vous conseiller dans la mise en place des outils de transfert du risque.

Se protéger des conséquences financières

Les contrats Responsabilité Civile et Dommages classiques ne garantissent pas les retombées financières d’un sinistre lié à un acte de malveillance ou à une erreur humaine. Le risque de fraude n’est pas couvert également.

Une protection supplémentaire est donc nécessaire pour vous protéger de toutes conséquences financières d’un incident informatique. C’est justement ce que prévoit un contrat d’assurance cyber.

Sécuriser l’activité de votre entreprise

La sécurisation de votre activité en cas d’attaque est un enjeu majeur pour votre entreprise. En effet, les pertes financières liées aux attaques informatiques s’élevaient à 2 milliards d’euros en France en 2022 (source : étude du cabinet de conseil Astères, 2022), dont 888 millions d’euros de rançons payées pour récupérer l’accès à leur système informatique, et 887 millions d’euros de coûts directs nécessaires pour contrer les conséquences des cyberattaques.

Se protéger face aux attaques informatiques est donc vital pour le futur économique de votre entreprise. En souscrivant un contrat d’assurance cyber, vous bénéficiez d’une sécurité financière qui limite l’exposition financière de votre entreprise.

Anticiper les risques liés à la nouvelle réglementation

Entré en vigueur en mai 2018, le RGPD – ou Règlement Général sur la Protection des Données – mis en application par la CNIL renforce le droit des personnes et responsabilise les acteurs traitant des données personnelles.

Cette nouvelle réglementation rend les entreprises responsables des données à caractère privé qu’elles détiennent et prévoit des amendes pouvant atteindre 4 % de leur chiffre d’affaires en cas de manquement.

Le volet dommages de votre contrat d’assurance cyber vous permet d’anticiper ces éventuels risques. L’assureur prend en effet en charge les frais de monitoring et de notification, essentiels pour se mettre en conformité avec la loi.

Mettre en place une procédure de gestion de crise

L’accompagnement et la coordination des prestataires experts dans leur domaine (informatique, juridique, communication) en cas de crise sont indispensables à la bonne gestion d’une attaque.

C’est avec leur aide que vous pourrez élaborer un plan de continuité d’activité et mettre en place les procédures adéquates pour à la fois reprendre votre activité le plus rapidement possible et limiter les répercussions négatives sur votre image.

En effet, il est fortement conseillé de mettre en place une procédure de gestion de crise lorsque survient un incident informatique. Cela permet d’assurer la continuité de l’activité de votre entreprise et d’éviter qu’un tel événement ne ternisse durablement la confiance que clients et partenaires ont dans votre entreprise.

En offrant garanties et protection aux entreprises qui y souscrivent, le contrat d’assurance cyber est donc essentiel pour réduire les conséquences des cyberattaques sur votre activité. En plus de préparer la reprise rapide après incident et de sécuriser les pertes financières associées, le contrat d’assurance cyber aide votre entreprise à anticiper les risques liés aux nouvelles réglementations et vous permet de vous mettre en conformité. Un point crucial pour limiter votre responsabilité et vous protéger en cas d’incident.

Matériels et système d’information

Aujourd’hui, plus aucune entreprise ne peut se passer du numérique, que ce soit de façon externe via un site internet, des réseaux sociaux pour se faire connaître auprès de ses clients et partenaires, ou pour vendre en ligne, ou bien de façon interne pour organiser ses process (production, logistique…), sa communication, etc.

Le numérique représente un coût important, avec l’achat de matériels spécifiques, mais aussi un investissement, car il est un puissant levier de croissance. Ce n’est pas pour rien que 98 % des entreprises de plus de 20 salariés mènent une politique de transformation digitale en 2023 (source : baromètre Croissance et Digital de l’Acsel, 7e édition).

Comme tout investissement, il faut le protéger. Car en cas de panne, de vol, de dégâts irréparables sur le matériel, ou d’attaque cyber, c’est toute l’activité de l’entreprise qui peut se retrouver mise à l’arrêt. Les conséquences financières et relatives à la réputation peuvent être considérables.

Fraude et risques cyber

Quand on parle de protection numérique, l’entreprise a tout intérêt à se prémunir contre les risques de fraude. Pour rappel, la fraude est un acte intentionnel réalisé par un salarié ou un tiers de façon illicite, pour en retirer un avantage financier. Elle peut revêtir de nombreuses formes : usurpation d’identité, arnaque au faux président, escroquerie, abus de confiance, etc.

La cybercriminalité est une forme de fraude, par intrusion dans les systèmes d’information de l’entreprise. Pour autant, si le contrat d’assurance fraude garantit les pertes pécuniaires directes et les frais supplémentaires d’exploitation en cas de fraude, il interviendra au titre d’une fraude informatique de façon limitée, que ce soit sur l’origine du sinistre ou des montants d’indemnisation.

Vous l’aurez compris, les contrats d’assurance combinés cyber et fraude n’offrent pas de protection aussi étendue que la souscription de deux contrats d’assurance distincts, dont les montants des garanties sont plus importants. Pour une couverture plus globale et de meilleures garanties, la combinaison de ces deux contrats d’assurance s’avère être une stratégie plus pertinente.

L’assurance tous risques informatiques (TRI)

Contrairement à ce que son nom pourrait laisser penser, une assurance tous risques informatiques (TRI) couvre uniquement les dommages matériels subis par les équipements informatiques à la suite d’un incendie, d’une explosion, d’un dégât des eaux ou des dommages électriques. Le risque cyber n’est donc pas pris en compte.

L’assurance TRI vient en complément d’un contrat cyber. Elle ne s’y substitue pas. Le contrat cyber, de son côté, intervient en cas d’attaque cyber et en-dehors de tout dommage matériel au parc informatique. Ces deux assurances sont donc parfaitement complémentaires.

Pour assurer à votre entreprise la meilleure des protections contre toutes les formes de risques informatiques et cyber, impossible de vous contenter d’un seul contrat d’assurance. Optez plutôt pour plusieurs contrats, selon vos besoins et les risques encourus. Pour trouver la solution la plus adaptée à votre situation, contactez-nous.

Garantie dommages

Dans un contrat d’assurance cyber, les garanties dommages couvrent les pertes de l’assuré à la suite du sinistre, en dehors de toute réclamation de tiers. Ce sont notamment les frais de restauration de données et de remise en état du système d’information, les frais de notification, les frais de surveillance, les frais d’enquêtes et de sanctions administratives, les frais de cyber extorsion et les pertes de revenus consécutives au sinistre.

Zoom sur les frais de surveillance (monitoring) et de notification

En cas de vol ou d’atteinte des données bancaires, l’assureur prend en charge les frais de monitoring liés à la surveillance du marché en cas de revente et/ou d’utilisation frauduleuse de ces données.

Les entreprises sont également soumises à une obligation de notification qui s’applique en cas de violation de données à caractère personnel, sur la base du Règlement Général européen sur la Protection des Données à caractère personnel (RGPD), en vigueur depuis le 25 mai 2018. Le coût moyen est estimé à 7 euros par notification. L’estimation inclut les frais d’investigation informatiques, les frais de notification, la mise en place d’une cellule de relation clients ainsi que les experts juridiques. Les frais de notification sont également pris en charge au titre de contrat cyber, dans le cadre d’une police d’assurance cyber.

Bon à savoir : le manquement à l’obligation de notifier peut également engager la responsabilité du responsable de traitement, qui devra être couverte par le volet de responsabilité civile du contrat cyber.

Responsabilité civile

Autre volet important dans tout contrat d’assurance cyber, le volet responsabilité civile. Ce volet garantit les conséquences financières et les frais de défense de l’assuré résultant de réclamations de tiers pour atteinte à des données ou systèmes d’information.

Il existe de nombreuses formes de dommages subis par les tiers :

• contamination du système d’information par la transmission par l’assuré d’un fichier infecté d’un virus,
• déni de service du fait de l’inaccessibilité des services de l’assuré,
• violation du droit fondamental au respect de la vie ou des obligations de confidentialité, de transparence et de durée de conservation,
• contenu d’un site Internet,
• …

Gestion de crise

En cas de cyberattaque, c’est une course contre la montre qui se joue. La mise à disposition auprès de l’entreprise assurée par l’assureur d’un réseau de partenaires experts en gestion de crise (experts informatiques, en relations publiques et communication, experts juridiques) constitue un réel atout pour l’entreprise.

Le volet gestion de crise intègre la prise en charge des frais de recherche de la cause du sinistre et de rétablissement du système d’information, des frais de communication et de relations publiques, de restauration des données et de notification et/ou monitoring.

Sécurité financière

Il y a en effet de nombreux avantages à souscrire à un contrat d’assurance cyber. Tout d’abord, ce contrat est un outil de transfert de risques qui sécurise financièrement l’entreprise. Même si le risque zéro n’existe pas, la mise en place d’une police d’assurance cyber permet de limiter l’exposition financière de l’entreprise en cas d’attaque.

Une protection non négligeable, quand on connaît les risques financiers que courent les entreprises victimes de cyberattaques. En effet, ces incidents peuvent entraîner des coûts considérables pour l’entreprise, notamment en matière de récupération de données, de gestion de crise et de réparation des systèmes compromis.

Le coût moyen d’une cyberattaque s’élève à 1,3 million d’euros pour une interruption d’activité de 15 jours. Une somme colossale qui peut mettre en péril l’avenir d’une entreprise.

Exposition

Par ailleurs, le processus de mise en place d’un contrat d’assurance cyber requiert la réalisation d’une cartographie des risques au sein de l’entreprise. Cette démarche est un réel atout pour l’entreprise, qui lui permet d’identifier clairement et de façon plus globale les risques auxquels elle est exposée, mais également d’évaluer quels risques peuvent être transférés à l’assurance.

L’occasion également de construire avec des experts leur(s) plan(s) de continuité d’activité (PCA) en cas de sinistre. Dans un monde où les cyberattaques sont monnaie courante et où toutes les entreprises, quelle que soit leur taille et leurs niveaux de sécurité, sont exposées, la mise en place d’un tel plan est indispensable pour assurer la stabilité opérationnelle d’une société.

Lorsqu’il est consciencieusement élaboré, le plan de continuité d’activité permet à l’entreprise de réduire les temps d’arrêt consécutifs à l’incident cyber, grâce à des procédures claires pour la reprise des opérations. Il contribue également à protéger la réputation de la société en prévoyant des outils et une stratégie de communication de crise favorisant la gestion de ses relations publiques et la limitation des dommages perçus.

Couverture adaptée

Le risque cyber est complexe et protéiforme. Le contrat d’assurance doit donc disposer de plusieurs volets afin de couvrir au mieux ses diverses typologies et ses conséquences.

Il doit permettre d’assurer les dommages subis par les tiers ainsi que ceux subis par les entreprises assurées, mais aussi fournir à l’entreprise assurée des prestations d’assistance et de gestion de crise.

Le volet assurance comprend trois parties :

• un module d’assistance qui fait intervenir des experts cyber et des experts en communication de crise,
• la prise en charge des coûts directs : les opérations, les pertes d’exploitation et de chiffre d’affaires,
• les dommages aux tiers.

Comprendre les problématiques pour définir son besoin

Les programmes d’assurance cyber font partie d’un processus global de maîtrise du risque cyber : la cyber résilience s’inscrit dans un panorama plus général de gouvernance impliquant des décisions managériales, techniques, comportementales et gouvernementales.

Pour savoir si votre entreprise est concernée par la mise en place de tels programmes, il est nécessaire de définir ce processus en s’appuyant notamment sur les principaux enjeux de l’entreprise qui sont :

• la préservation des intérêts de l’entreprise,
• la maîtrise de l’image de l’entreprise,
• la globalisation de la gestion du risque cyber.

Quelles questions se poser ?

Avant toute chose, il est important de connaître votre situation. En répondant simplement à ces questions, vous pourrez déterminer la nécessité de mettre en place un programme d’assurance et d’évaluer votre degré de maturité à ce sujet.

Préservation des intérêts de l’entreprise

Premier enjeu à questionner : la préservation des intérêts de l’entreprise. Il est ici question de la sécurisation financière de votre structure, des intérêts économiques, du respect des valeurs éthiques et de la conformité réglementaire. Ainsi, demandez-vous :

• une impossibilité d’accès à vos systèmes d’information peut-elle affecter le fonctionnement de l’entreprise dans sa globalité ?
• possédez-vous des données confidentielles (clients, collaborateurs, fournisseurs) ?
• les données informatiques sont-elles stratégiques au sein de l’entreprise ?

Maîtrise de l’image de l’entreprise

Deuxième domaine sur lequel vous interroger : l’image de votre entreprise. Répondez à ces questions :

• la fuite de données informatiques peut-elle entraîner une perte de confiance des fournisseurs, clients, actionnaires ou toute autre partie prenante ?
• pensez-vous qu’une attaque cyber puisse porter atteinte à la réputation de l’entreprise ?

Globalisation de la gestion du risque cyber

Dernière thématique à aborder : la gestion du risque cyber à une échelle plus globale. Ainsi :

• avez-vous envisagé ou envisagez-vous la mise en place d’une politique globale de prévention des risques ?
• une analyse de vulnérabilité de l’entreprise est-elle devenue essentielle ?
• envisagez-vous la mise en place d’outils de transfert de risques de l’entreprise ?
• avant de vous renseigner auprès de Servyr, étiez-vous en mesure de définir précisément la notion de risque cyber ?

Etes-vous concerné(e) par la mise en place d’un contrat d’assurance cyber ?

Selon les réponses que vous aurez données, vous pourrez mieux évaluer vos besoins en matière de programme d’assurance cyber. Voici comment analyser vos résultats.

Si vous avez majoritairement répondu « non »

Les enjeux relevés sont essentiels pour vous et nécessitent un accompagnement particulier en ce qui concerne la gestion de vos risques, notamment en matière de conseils.

La mise en place d’un processus global de cyber résilience est vraisemblablement prématurée. D’autres solutions plus simples et adaptées peuvent être envisagées.

Si vous vous situez dans la moyenne

Vous êtes à mi-chemin de votre réflexion concernant la globalisation de la gestion du risque cyber.

Un programme d’assurance global pourrait répondre à la plupart de vos besoins essentiels et prioritaires. Il faudra, cependant, rester attentif au degré de maturité de l’ensemble des parties prenantes de votre entreprise.

Le choix de votre assureur ou courtier en assurance et de vos intermédiaires sera déterminant pour la réussite de votre projet.

Si vous avez majoritairement répondu « oui »

Vos besoins en matière de cyber résilience sont importants et requièrent une analyse approfondie de la nature du programme à mettre en place.

Votre maturité à ce sujet est évidente, ce qui vous permettra de vous orienter plus librement vers un programme global de gestion de vos risques.

Des montages plus complexes peuvent également être envisagés.

Vis-à-vis des pouvoirs publics

L’une des premières choses à faire après avoir subi une cyberattaque ou en cas de suspicion de cyberattaque, c’est de prévenir les autorités compétentes. Une cyberattaque n’a en effet rien d’anodin, et les pouvoirs publics doivent en être informés pour que des sanctions puissent éventuellement être prises contre les auteurs. En tant que victime de pirates de l’informatique, vous devez porter plainte et notifier l’incident.

Porter plainte

Toute cyberattaque représente une infraction aux technologies de l’information et de la communication définies par le Code Pénal et le Code Monétaire et Financier.

Vous devez déposer une plainte au plus vite auprès du service territorial de police ou de gendarmerie le plus proche de l’entreprise ou par courrier auprès du procureur de la République du Tribunal de Grande Instance de votre ressort géographique.

Lorsque votre entreprise est victime d’une attaque ou d’une suspicion d’attaque informatique, vous devez relever des preuves numériques de l’incident à l’aide de constatations techniques. Un spécialiste en cybercriminalité, nommé par les services de police, peut venir compléter vos observations lors de l’enquête.

Notifier l’incident

En cas de violation de données personnelles

Selon l’article 34 bis de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les fournisseurs de services de communications électroniques sont dans l’obligation de notifier l’incident à la Commission Nationale de l’Informatique et des Libertés (CNIL). En cas de risque d’atteinte aux données personnelles ou à la vie privée, le(s) intéressés(s) doi(ven)t être averti(s).

Attention, depuis mai 2018, les entreprises ayant des activités de traitement de données personnelles sont également concernées par cette obligation de notification à l’autorité compétente et aux intéressés.

En cas d’atteinte au système d’information

Selon l’article 22 de la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, le Premier ministre et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) doivent être informés de l’incident informatique pour les opérateurs d’importance vitale.

A la suite de la directive européenne 2016/1148, relative à la sécurité des réseaux et des systèmes d’information dans l’Union Européenne (SRI), les entreprises dites « d’opérateur de services essentiels » ou de « fournisseur de services numériques » sont aussi concernées par l’obligation de notification à l’autorité compétente.

Vis-à-vis de votre assureur

Autre personne à prévenir en priorité suite à un incident cyber : votre assureur. En effet, contactez au plus vite votre assureur ou votre courtier en assurance afin d’être accompagné face aux risques informatiques. Informez votre interlocuteur dédié avant de prendre toute décision qui pourrait impacter les conséquences de l’incident et la gestion de votre déclaration de sinistre. Votre assureur ou votre courtier sauront vous conseiller en tenant compte de la particularité de votre situation.

Face à la menace grandissante des cyberattaques, il est impératif pour les entreprises de mettre en place des mesures de protection préventives pour réagir efficacement lorsqu’un incident survient. Cependant, même avec la meilleure des préparations, aucun système n’est invulnérable. En cas d’attaque cyber, les pouvoirs publics sont des interlocuteurs clés, tout comme votre assureur ou votre courtier en assurance.