Retrouvez l’intégralité de l’interview d’Arnaud Gressel à propos de la cyber assurance, fondateur de RESCO Courtage, par Jean-Christophe Le Blevec sur le Blog ActuOuest.
Assurance cyber risques : Entrepreneurs, êtes-vous assurés contre le cyber-risque ?
La cyber criminalité fait souvent la Une de l’actualité…
Pourtant peu d’entrepreneurs semblent avoir vraiment conscience des risques pour leur activité ! On fait le point avec Arnaud Gressel, courtier en assurance spécialiste de la cyberassurance.
Quels sont les risques et les menaces auxquels les entrepreneurs
sont potentiellement exposés sur le web dans le cadre de leur activité ?
Ils sont très nombreux. Cela va du ransomware (extorsion) capable de paralyser la totalité du système informatique, à l’espionnage dans des secteurs exposés, en passant par la transmission de virus et le vol de données. Les hackers ne sont jamais à court d’imagination. Ils ont même souvent un temps d’avance.
Ajoutez à cela qu’aujourd’hui, le RGPD rajoute un risque juridique d’amende potentiellement très lourde. Le sujet ne peut plus être traité à la marge au niveau des TPE/PME. Derrière ces risques cyber, c’est leur pérennité même qui est en jeu.
L’autre intérêt de ma spécialisation en sûreté : C’est que ces sujets sont interconnectés : par exemple, il est vivement déconseillé de partir dans certains pays du monde avec un pc portable contenant des données. Elles pourraient fuiter avant d’avoir passé la douane !
Les entrepreneurs, de l’indépendant au patron de TPE ou PME voire ETI
ont-ils vraiment conscience de ces risques ?
La prise de conscience progresse. Mais moins vite que les profits de la cyber criminalité. On a vu début 2019 une demande de rançon cyber d’un montant inégalé d’1M€. Je pourrais vous citer également une récente « fraude au président » de 19 M€ en France. D’autant plus que la prise de risque est limitée pour les hackers malveillants, ciblant nos entreprises et administrations depuis l’étranger.
C’ est certain qu’en 2017, les attaques NotPetya et Wanacry ont fortement mobilisé l’attention du public. Et que 2018 a augmenté le niveau de conscientisation des décideurs avec le RGPD.
Il reste cependant beaucoup à faire sur les TPE et PME. La grande majorité ne s’assurentpas contre ces risques, et sont plus ou moins bien protégées.
Comment se protéger ? S’en préserver ?
Cela passe par de la sensibilisation en interne ? Adopter de bonnes pratiques préventives ? Lesquelles ?
Le sujet de la protection contre les risques cyber reste une affaire de spécialistes. C’est pour cela que je me suis entouré de partenaires de très haut niveau dans ce domaine. Cela rend l’approche plus passionnante encore.
Ce qui est certain, c’est que meilleure sera la protection du risque, meilleures seront les conditions d’assurance. L’assureur prendra en compte les systèmes de protection tels que les pare-feux et les anti-virus, et les mesures de protection en place. Ce peut être l’organisation des sauvegardes, la gestion des mots de passe. Et bien sûr l’effort de sensibilisation et de formation.
La formation des personnels aux bons usages informatiques est même primordiale dans un domaine où une seule erreur peut coûter très cher à toute l’organisation.
Toutes les activités commerciales semblent concernées par le piratage
de données ou des escroqueries type ransomware ?
Aujourd’hui, aucun secteur n’est épargné, qu’il soit privé ou public. Pas même le secteur médical y compris les hôpitaux. Car l’appât du gain est trop fort, et l’attribution d’une attaque reste particulièrement complexe. Quand bien même les succès de la police et de la gendarmerie se multiplient en la matière.
Les organisations doivent l’intégrer. Les dirigeants doivent consacrer toujours plus de ressources et de moyens financières à la protection de leur patrimoine contre les risques cyber.
Y-a-t’il un moyen de savoir si ses noms de domaine
ou son entreprise sont compromises sur le Dark Web ?
Aujourd’hui oui ! C’est pourquoi il faut raison garder sur le sujet. Les cyber criminels progressent, mais le niveau de réponse aussi, et très vite.
Des outils sont à disposition du grand public tout d’abord, tel le site haveibeenpwned qui permet à chacun de savoir si son adresse mail a été compromise. Les acteurs de la cyber sécurité ont également des moyens pour rechercher des informations volées dans le dark web. Cela fait d’ailleurs partie des services dont on dispose dans un contrat de cyberassurance par exemple.
Comportements à risque ou non
, on peut malheureusement être la cible d’attaques malveillantes. Et c’est là que la cyber résilience s’applique : de quoi s’agit-il concrètement ? Dans le cadre de son activité, Resco Courtage propose une étude de “Cyberassurance” en quoi cela consiste exactement ?
La vocation de RESCO Courtage est d’aider les entreprises et les organisations à se protéger contre tout type de malveillance.
S’agissant de la menace cyber, j’aide les entreprises à identifier les principales menaces. A faire le diagnostic des couvertures éventuellement en place. Et à rechercher pour elles le meilleur niveau d’assurance au meilleur prix. Car contrairement aux idées reçues, faire appel à un courtier ne coûte pas plus cher. Il fait jouer la concurrence entre les assureurs.
A titre personnel, j’ai suivi également une formation très poussée délivrée par l’INHESJ sur le thème de la Protection des Entreprises et de l’intelligence économique.
La promesse de RESCO Courtage c’est d’être en veille sur la menace, l’environnement et les différents types de solutions d’assurance.
Que couvrent les assurances cyber face à ces risques ?
Comment faire le bon choix en la matière puisque les technologies évoluent sans cesse tout comme les Hackers. D’ailleurs qui ne cessent d’imaginer de nouvelles formes de cybercriminalité ?
En plus en général, les entrepreneurs n’ont que des expertises limitées dans ces domaines ?
Quels conseils leur donneriez-vous ?
De prendre le sujet très au sérieux. Contre l’incendie, les entreprises s’équipent d’extincteurs, de sprinklers… Et pourtant elles s’assurent.
Face à la menace cyber, menace numéro 1, moins de 10% des TPE et PME s’assurent assurées.
Essentiellement par méconnaissance. Un contrat d’ « assurance cyber risques » vient compléter le dispositif en place (protection/sensibilisation). Avec un volet assistance de haut niveau pour faire face à la crise. C’est aussi une couverture responsabilité civile adaptée, la prise en charge de la perte d’exploitation, et des garanties spécifiques. Certaines garantissent le remboursement de la rançon ou des amendes RGPD.
Le coût d’une police d’assurance contre les risques cyber est pour 90 % des entreprises inférieur à 1.500 € TTC. Soit moins que le prix d’une seule journée d’intervention d’un expert en gestion de crise cyber. Lorsque les dirigeants en prennent conscience, ils n’hésitent plus longtemps.
L’autre intérêt de ce type d’assurance cyber risques ? C’est tout simplement de pouvoir justifier que l’entreprise a pris les devants afin d’être résiliente face à cette menace. On voit d’ailleurs se développer l’exigence de produire des attestations d’assurance cyber pour participer à certains marchés.