Dans le numérique, les risques sont nombreux, et de nouvelles menaces web apparaissent chaque jour… Il est donc primordial de sécuriser le système informatique de votre entreprise et les données qu’il contient. Les assurances professionnelles classiques vous protègent-elles des menaces sur Internet ? Comment éviter l’intrusion de votre réseau, l’infection de votre système par un virus ou encore une attaque par déni de service ? Quelle prévention efficace adopter pour limiter ces risques ? On vous explique tout, suivez le guide !

Ransomwares : que fait votre assurance en cas d'attaque ?

Un ransomware, ou un rançongiciel, est un logiciel malveillant contenu dans un virus. Son but est soit :

  • De bloquer les écrans de tout votre système informatique, le rendant inutilisable. C’est un ransomware classique.
  • De chiffrer l’ensemble des dossiers et des fichiers des ordinateurs liés au système (l’on parle alors de crypto-ransomware).

Ceci dans le but de demander une rançon à l’entreprise ou l’institution visée. Les ordinateurs seront déverrouillés, ou les données prises en otage décryptées, lors du paiement de la somme demandée. Si vous refusez, le cyber criminel vous menacera de dégrader, de s’approprier ou encore de diffuser vos données. Cette situation arrive lorsqu’un salarié ouvre une pièce jointe contenue dans un faux e-mail de fournisseur par exemple - ce qu’on appelle du phishing - ou surfe sur un site web infecté. Sachez qu’après les États-Unis, la France est le deuxième pays le plus visé par ce type d’attaque…

Sachez qu'il est possible de vous assurer pour espérer une indemnisation si vous veniez à être dans une telle situation. Réassurez-moi vous propose de trouver les meilleures offres de cyber assurance grâce à son comparateur en ligne. Gratuit, il sonde les offres du marché correspondant à vos besoins et à votre budget (que vous aurez renseignés via en formulaire en ligne) et vous présente plusieurs devis. Vous n'avez plus qu'à choisir !

reassurez-moi illustration

Les meilleures assurances cyber risques du marché

Je compare les cyber assurances

Quelle solution contre un ransomware ?

Vos assurances professionnelles classiques (RC, matériel informatique, tous risques…) ne sont pas faites pour couvrir les risques immatériels, dont la demande de rançon suite à un ransomware fait partie. Seule une cyber assurance peut prendre en charge cette situation, et encore ! Il faudra avoir souscrit une couverture particulièrement performante, et donc onéreuse…

En effet, la plupart des cyber assurances ne couvrent que les dommages subis par l'entreprise et ceux subis par les tiers suite à une atteinte aux données personnelles. Elles pourront cependant prendre en charge les frais de recherche du hacker, de notification à vos clients ou de reconstitution des données, par exemple, en cas de demande de rançon suite à un vol d'informations.

Même si le but d’une cyber assurance est de protéger les entreprises des attaques informatiques en général, rares sont celles proposant le remboursement d’une rançon. Ce sera dans tous les cas une garantie souscrite en option : la garantie cyber-extorsion.

Exemple d’assurances proposant une garantie cyber extorsion :

Paiement de la rançonPrise en charge des frais
axa-logoNonOui
logo-mmaSelon conditions particulièresOui
logo-aprilOuiOui
logo-hiscoxSelon conditions particulièresOui
logo-ganSelon conditions particulièresOui

Si vous comptez contracter cette protection, soyez très attentif au montant maximum d'indemnisation ainsi qu’au prix de la franchise qui restera à votre charge en cas de demande de rançon.

Comment se protéger des virus informatiques ?

Un virus informatique est un programme malveillant qui peut être de type furtif (difficilement détectable), polymorphe (changeant de signature à chaque infection de fichier), tunnel (invisible par un antivirus), rétrovirus (attaquant les antivirus) ou hybride (combinant plusieurs de ces caractéristiques)…

Virus les plus courantsExemples d'actionExemples de vecteurs
Virus informatiqueInfection + propagation via un réseauE-mail, clé USB
Ver informatiqueInfection + propagation via Internet + duplication Réseaux vulnérables
AdwareEspionnage de données, désactivation d'antivirusPublicité
Logiciel espionEspionnage de donnéesNombreux chemins d'accès
RansomwareInfection + chiffrageE-mail, téléchargement
RobotsSpécifiques (espionnage, attaque DDoS)Nombreux chemins d'accès
RootkitsContrôle d'un appareil sans détectionNombreux chemins d'accès
Cheval de troieModification de l'appareil infectéTéléchargement

Pour faire face à tous ces risques mettant en péril votre entreprise, vous pouvez agir préventivement de 3 manières :

  1. Formez vos salariés aux bons réflexes informatiques ! Vous pouvez mettre en place des mots de passe évolutifs (qui seront donc moins communicables), effectuer des sauvegardes régulières, sécuriser l’accès wifi dans vos locaux, interdire l’usage personnel avec le matériel informatique professionnel (y compris les tablettes et les smartphones) pour éviter des téléchargements douteux sur des sites non sécurisés.
  2. Sécurisez les postes de travail, les serveurs, vos sites web…  grâce à des anti-virus à titre préventif. Il en existe de nombreux, plus ou moins efficaces. Faites-en sorte d’en contracter un - ou plusieurs - qui soit réellement adapté à votre activité, à l’importance de votre réseau informatique, ainsi qu’à la valeur de vos données. De nombreuses sociétés sont spécialisées dans la lutte contre les virus informatiques. Après un audit de votre système informatique et de vos besoins, ils sauront vous conseiller. Veillez à régulièrement mettre à jour vos logiciels de protection !
  3. Protégez votre entreprise grâce à une cyber assurance. Ainsi, si votre entreprise est victime d’une attaque via un virus informatique, elle vous aidera à résoudre le problème afin d’assurer au plus vite la continuité de votre activité. Concrètement, elle dépêchera un informaticien spécialisé dans la résolution des attaques web en direct et vous accompagnera dans la gestion de la crise en mandatant des experts spécialisés selon la situation que vous subissez. Elle prendra en charge le coût des interventions nécessaires (juridiques, technologiques…), dans la limite des garanties prévues au contrat. 

Si votre entreprise est mise en cause par un tiers victime du virus :

  • Votre RC pro ne jouera que si elle contient une garantie « virus informatique » (c'est très rare).
  • Si ce n’est pas le cas, alors c’est votre cyber assurance qui prendra en charge le dommage, au titre du volet Responsabilité Civile qu’elle contient.

Quelle garantie souscrire pour se prémunir des fuites de données ?  

La création d’Internet a été un important booster de possibles pour les entreprises du monde entier. Tout étant maintenant dématérialisé et connecté, votre société se sert du web pour communiquer, échanger et stocker des données via votre cloud, vos réseaux et vos supports informatiques. Mais le web est aussi un immense facteur de risques… Et le vol de données au sein d’une entreprise, d’une institution ou d’une collectivité est l’un des cyber crimes les plus récurrents.

En 2024, plus de 80 % des entreprises ont déclaré au moins 1 attaque à leurs données, qu’il s’agisse d’une attaque interne (employés, fournisseurs de service, partenaires ou clients profitant d’une faille informatique) ou externe (pirate informatique, concurrent ou activiste).

En cas de vol de données, les conséquences pécuniaires sont effarantes :

  • Frais de notification de l’atteinte aux salariés ou aux clients concernés,
  • Frais de défense juridique et coût du préjudice financier à régler en cas de condamnation,
  • Perte financière suite à l’impact des données perdues,
  • Baisse du chiffre d’affaires dû à la chute de la réputation de l’entreprise (on se souvient de Linkedln s’étant fait voler les données de ses 167 millions d’utilisateurs, qui se sont retrouvées en vente…),
  • Amende administrative et / ou pénale, notamment en cas de non-respect de vos obligations envers le RGPD.

Depuis 2018, chaque entreprise doit se soumettre au RGPD (Règlement Général sur la Protection des Données) pour garantir un niveau de sécurité adapté au risque de traitement des données personnelles.

Quelle solution contre une fuite de données ?

Être couvert par une cyber couverture est absolument primordial, surtout si votre entreprise collecte et traite des données sensibles (médicales, financières…) et / ou en quantité importante. La plupart des assurances cyber risques incluent une garantie perte de données personnelles et confidentielles. Le coût de cette dernière dépendra du volume et du type d’informations que votre entreprise traite, ainsi que de l’importance du chiffre d’affaires de la société.

Grâce à une cyber assurance, seront pris en charge - selon les contrats :

  • Les frais de notification de la violation des données à la CNIL et aux personnes concernées.
  • Les frais de gestion de crise : communication, préservation de l’image et reconstitution des données.
  • Les frais de défense et de conseil juridique.
  • Les pertes financières subies.
  • Le coût du préjudice causé aux tiers du fait de l’atteinte aux données.

Les sanctions pénales suite au non-respect des consignes imposées par le RGPD font presque toujours partie des exclusions posées par les cyber assureurs. Certains contrats appliqueront même une déchéance de votre garantie perte de données si vous ne les avez pas suivies !

La destruction, la perte, le vol, la divulgation, l’exploitation ou encore la revente des données personnelles dont votre entreprise dispose peut être d’origine malveillante, mais peut aussi provenir d’une erreur humaine d’un de vos salariés ou prestataires. Veillez à ce que cette situation soit aussi couverte par votre cyber assurance !

Quels sont les recours en cas d’attaques DDoS ?  

Une attaque de type DDoS est l’attaque d’un serveur web qui va provoquer un déni de service : le système informatique ciblé deviendra indisponible pour ses utilisateurs légitimes.
Pour ce faire, le cyber pirate va faire en sorte de surcharger le ou les serveurs que votre entreprise utilise pour faire fonctionner son site, son blog ou ses réseaux sociaux, en l’inondant de messages, de requêtes ou de demandes de connexions artificielles. Votre serveur subira un trafic si élevé qu’il ne pourra plus répondre à toutes ces sollicitations et que sa bande passante sera totalement consommée.

En cas d’attaque sur votre site web de type DDos (Distributed Denial of Service), vous devrez très rapidement rétablir votre serveur afin que l’attaque et ses conséquences soient stoppées. Votre cyber assurance, grâce à son volet assistance, mandatera une compagnie spécialisée dans la remise en service de votre serveur.

Si vous n’êtes pas couvert par une assurance cyber risques, vous devrez vous rapprocher de votre hébergeur : la plupart d’entre eux vous proposeront des solutions techniques pour lutter contre les DDoS. Si ce n’est pas le cas, il ne vous restera plus qu’à mandater une société spécialisée dans ce type d’attaque… En sachant que ni les pertes financières de l’entreprise, ni les frais pour remettre votre service en état de fonctionnement, ni la sécurisation de votre réseau ne sera pris en charge.

Pour vous faire rembourser des pertes financières dues à l’attaque : peu d'assurances pro comprennent la prise en charge des dommages immatériels dus aux malveillances informatiques. Cela sera votre cyber assurance qui prendra en charge le montant de la perte d’exploitation générée (si vous avez bien souscrit cette garantie).

Si vous êtes mis en cause par un tiers, c’est-à-dire une victime de l’attaque, vous pouvez vous tourner vers :

  • Votre assurance Responsabilité Civile professionnelle - si elle comprend une garantie « fraude informatique », ce qui est rare.
  • Votre cyber assurance, qui indemnisera le ou les tiers grâce au volet Responsabilité Civile qu’elle contient.

Assurez-vous que votre couverture cyber risques vérifie bien que l’attaque DDoS dont votre entreprise est victime ne serve pas de diversion destinée à cacher une intrusion dans votre système ou un vol de données ! Pensez aussi à bloquer les adresses IP identifiées comme sources de l’attaque (vous devrez, pour ce faire, prendre contact avec votre hébergeur).

Arnaque en ligne : votre assurance joue t-elle en cas de phishing ?

Le phishing, ou hameçonnage en français, fait partie des techniques les plus courantes utilisées par les pirates informatiques pour avoir accès à des données personnelles. En premier lieu, quelqu’un dans l’entreprise (salarié ou dirigeant) reçoit un e-mail, un sms ou encore un appel l’invitant à cliquer sur un lien ou à se connecter sur un site ressemblant (presque) parfaitement à celui d’un prestataire ou une institution reconnue.

Par ce biais, le hacker a accès aux données de l’entreprise, et peut donc les utiliser dans le but de les revendre ou encore de vous demander une rançon. Au délit d’escroquerie et de vol de données se rajoute celui de falsification d’identité de l’institution dont le site a été copié...

Bien entendu, comme il s’agit de vol de données, l’impact d’un hameçonnage en entreprise est très important :

  • Atteinte à l’e-réputation de votre entreprise, du dirigeant, des salariés, des clients : le pirate peut facilement utiliser votre image ou votre marque à des fins malhonnêtes.
  • Vol de données confidentielles : nous l’avons vu plus haut, cela coûtera cher à l’entreprise compte tenu des pertes financières engendrées et des dédommagements dus aux victimes concernées par le vol (clients, salariés…).

La très grande majorité des cyber assurances prennent en charge le vol de données. Pour rappel, seront pris en charge, selon votre contrat, les frais de restitution des données et de la communication de crise, les honoraires des conseillers et avocats de cas de litige avec des tiers victimes, et la perte financière engendrée par cette attaque informatique.

En plus de prévenir votre assurance, avertissez votre banque pour qu’elle mette en place l’opposition aux moyens de paiement de l’entreprise (si les coordonnées bancaires ont été communiquées), et changez l’ensemble des mots de passe employés.

N’oubliez pas de déclarer le vol de vos données auprès de la CNIL, c’est obligatoire ! Nous vous rappelons que toutes les entreprises sont concernées, depuis 2018, par la mise en place de bonnes pratiques pour prévenir la fuite des données confidentielles.

Usurpation d'identité : la Responsabilité Civile professionnelle suffit-elle ?  

Une RC pro classique protège votre entreprise des frais liés aux dommages causés aux tiers. En effet, en cas de mise en cause civile ou pénale et de responsabilité avérée, les indemnisations dues peuvent avoir une ampleur importante et causer un impact conséquent sur la trésorerie de votre société, et donc sur sa pérennité.

  • En cas d’usurpation d’identité classique, votre assurance RC Pro pourra, selon les termes du contrat souscrit, prendre en charge cette arnaque.
  • Cependant, dans le cadre d’une usurpation d’identité par un cyber criminel, elle ne jouera pas. En effet, l’immense majorité des couvertures RC pro ne prennent pas en charge les usurpations (ni aucune autre situation) liées aux dangers d’Internet.

Malveillance informatique, quelle prise en charge d'une RC pro et d'une cyber assurance ?

Responsabilité Civile Pro *Cyber assurance *
Frais liés à l'usurpation d'identitéNonOui
Frais de décontamination du systèmeNonOui
Perte d'exploitation occasionnéeNonOui
Dommages causés aux donnéesNonOui
Frais de notification aux tiers victimesNonOui
Gestion de la criseNonOui
Responsabilité Civile en cas de mise en causeNonOui

* Sous réserve de contrats spécifiques.

Ainsi, en cas d’usurpation d’identité ayant permis de soutirer à une entreprise des données, des codes d’accès ou bancaires grâce à un phishing ou via un site web falsifié, vous ne pourrez compter que sur une assurance cyber risques comprenant une garantie Responsabilité Civile. Votre cyber couverture prendra en charge les conséquences immatérielles suite à une cyber fraude via usurpation d’identité :

  • Au sujet des pertes immatérielles, cette garantie cyber fraude vous permettra le déblocage de la somme nécessaire à la reprise de votre activité professionnelle, et, si prévu au contrat, le remboursement du préjudice financier subit.
  • D’un point de vue juridique, des experts seront mis à votre disposition, tant pour les démarches de recherche du cyber criminel que pour vous assister devant les tribunaux en cas de plaintes des tiers victimes.

Une assurance tous risques informatique sécurise-t-elle assez l’entreprise?

Une assurance tous risques informatiques couvre les dommages matériels causés au système informatique de votre entreprise. Elle prendra en charge, selon les modalités et les plafonds prévus au contrat, les bris, les destructions ou encore les détériorations de votre matériel informatique. Les causes peuvent être dues à des accidents, une malveillance, un incendie, une inondation, un vol, à des causes naturelles ou encore à des défauts de conception. Sont généralement couverts, que le matériel soit en activité ou au repos :

  • Les ordinateurs fixes.
  • Les unités centrales, les mémoires et logiciels.
  • Les téléphones et ordinateurs portables (il faudra souvent souscrire une extension de garantie).

Dans certains cas, les garanties de l’assurance tous risques informatiques peuvent être étendues à la reconstitution des données de l’entreprise, mais souvent avec des conditions très strictes de sauvegardes. Vous le voyez, une assurance tous risque est nécessaire à la sécurisation de votre matériel informatique. Cependant, elle vous sera inutile concernant votre cyber sécurité, et ce quel que soit le moyen employé ou les conséquences qui pourraient en découler : perte financière, vol de données, atteinte à la réputation de votre société etc.

Pour protéger votre entreprise de ces menaces informatiques provenant d’Internet, une cyber assurance est donc tout autant conseillée. Voire plus, car, nous l’avons vu, les dommages qu’une attaque web peut provoquer sont souvent extrêmement lourds et peuvent facilement conduire une entreprise à la faillite…

Nos 12 conseils pour prévenir les menaces informatiques

En tant que chef d’entreprise ou responsable de la sécurité informatique, vous ne devez pas hésiter à mettre en place des règles en interne concernant la sécurité sur Internet :

  • Conseil 1 - Mettre en place des pare-feux : cela permettra de protéger votre réseau, ainsi que de sécuriser les connexions sans fil (cible privilégiée des hackers)
  • Conseil  2 - Installer des répartiteurs de charge pour fluidifier le traitement des requêtes, vous éviterez un déni de service.
  • Conseil 3 - Utiliser des solutions de filtrage pour éviter la saturation du réseau de votre société.
  • Conseil 4 - Faire des sauvegardes complètes et régulières des données que conserve ou exploite votre entreprise. En cas d’attaque DDoS, vous pourrez les récupérer.
  • Conseil 5 - Se méfier des e-mails douteux, notamment ceux émis par un inconnu, invitant à une action urgente ou comprenant un nombre anormal de fautes d’orthographe / fautes de grammaire / formulations malvenues.
  • Conseil 6 - Ne jamais divulguer d'informations confidentielles (identifiants de connexion, numéro de Sécurité Sociale, numéros de carte bancaire...) en réponse à un e-mail ou à un formulaire en ligne.
  • Conseil 7 - Utiliser des mots de passe différents. Ils doivent être longs et compliqués (se servir d’un gestionnaire de mots de passe). Les changer régulièrement.
  • Conseil 8 - Vérifier que la page web est sécurisée lors d’un paiement en ligne. L’URL de la page doit commencer par « https » et doit comporter un cadenas fermé en haut ou en bas de page assurant qu’elle est cryptée.
  • Conseil 9 - Se servir des solutions antivirus / anti-malware fiables. Ils détectent et neutralisent les logiciels dangereux et bloquent les connexions aux sites malveillants.
  • Conseil 10 - Télécharger sur les sites officiels des éditeurs uniquement (Google Play, Amazon Appstore…). Ils ne proposent que des applications « propres ». Si les notes sont mauvaises et le nombre de téléchargements bas, évitez le produit.
  • Conseil 11 - Mettre à jour votre système d'exploitation régulièrement. Effectuer aussi les mises à jour de vos logiciels résidents.
  • Conseil 12 - Éviter les sites Internet non fiables, ne pas télécharger de pièces jointes non vérifiées, ne pas cliquer sur des liens contenus des e-mails aux expéditeurs inconnus.

La cyber sécurité professionnelle passe aussi par le fait de bien indiquer à l’ensemble du personnel qu’il faut séparer les usages personnels des usages professionnels et être aussi prudent avec un smartphone ou une tablette qu’avec un ordinateur.