Skip to main content
Marsh logo

La cyberassurance et son rôle en cas de panne informatique

En 2024, une mise à jour logicielle de CrowdStrike a entraîné une interruption qui a perturbé les activités commerciales de millions d’organisations dans le monde[1], en particulier dans des secteurs comme le transport, la vente au détail et les soins de santé. Plus de 500 clients de Marsh ont été touchés, avec plus de 375 déclarations de sinistres reçues.

Bien que le problème ait été résolu relativement rapidement, l’événement CrowdStrike met en évidence les risques de perturbation informatique alors que les chaînes d’approvisionnement deviennent de plus en plus interconnectées numériquement. Que vous cherchiez à entamer votre parcours vers l’atténuation des cyberrisques ou à évaluer votre couverture de cyberassurance existante, il est essentiel de comprendre comment la cyberassurance peut protéger votre entreprise contre les pertes financières pour assurer la résilience aux risques technologiques.

Quand la cyberassurance s’applique-t-elle?

La cyberassurance peut aider les entreprises à récupérer les pertes et les coûts associés engendrés par des événements technologiques qui perturbent leurs activités commerciales. Les attaques par rançongiciel, les atteintes à la sécurité des données à grande échelle ou les pannes informatiques, comme le récent incident de mise à jour logicielle de CrowdStrike, sont des exemples de ce type d’événement.

Que couvre la cyberassurance?

La cyberassurance peut protéger les organisations en offrant une couverture sur mesure contre un large éventail de sinistres de première partie et de tiers.

La couverture des risques propres peut comprendre les protections suivantes :

  • Pertes d’exploitation ou pertes d’exploitation indirectes : protection contre la perte de revenus d’entreprise ou les dépenses supplémentaires engagées par l’assuré lorsque ses activités sont touchées directement ou indirectement (p. ex., si un fournisseur est touché) par une panne.
  • Cyberextorsion ou rançongiciel : couvre les coûts d’enquête, de criminalistique et de rançon en cas de cyberextorsion ou d’attaque par rançongiciel.
  • Restauration des données : couvre les coûts de remplacement, de restauration ou de recréation des données endommagées ou perdues.
  • Gestion des événements ou réponse en cas de violation : couvre les coûts comme les services d’expertise judiciaire, de relations publiques, de centre d’appels, de notification (p. ex., aux organismes de réglementation, aux clients) et de surveillance du crédit à la suite d’une violation de données.

La couverture de tiers peut comprendre les protections suivantes :

  • Responsabilité civile liée à la protection des renseignements personnels : protège contre les frais liés à la responsabilité civile et les frais de défense, les amendes et les pénalités découlant du fait de ne pas avoir empêché l’accès ou la divulgation non autorisés de renseignements personnels ou confidentiels qui vous sont confiés.
  • Responsabilité civile liée à la sécurité du réseau : protège contre les frais liés à la responsabilité civile et les frais de défense découlant d’un échec de la sécurité du système à prévenir ou à atténuer une attaque informatique.
  • Frais de protection réglementaire liée à la confidentialité de l’information : couvre les amendes ou les pénalités imposées par les organismes de réglementation en cas d’atteinte à la vie privée.
  • Erreurs et omissions liées aux technologies : couvre les frais de défense et les dommages pour les pertes découlant de l’échec réel ou allégué des services ou des produits technologiques de l’assuré.

Il est important de noter que pour les réclamations liées aux pannes de réseau, une période d’attente de 4 à 12 heures s’applique généralement avant que les réclamations puissent être présentées en vertu d’une police. Un courtier d’assurance et un conseiller en gestion de risques de confiance peuvent vous conseiller sur le montant de garantie approprié et personnaliser les modalités de la police de cyberassurance en fonction des besoins de votre entreprise.

Améliorez votre assurabilité en matière de cyberrisques grâce à 12 contrôles des risques clés

Lors de l’achat d’une cyberassurance, l’adoption de certaines mesures de contrôle des cyberrisques est devenue une exigence minimale des assureurs. Les organisations qui ont mis en œuvre des contrôles comme l’authentification multifacteur, le filtrage des courriels et la sécurité Web, la gestion des accès privilégiés, la détection et l’intervention aux points d’extrémité, entre autres, seront généralement considérées favorablement par les assureurs lors du placement d’une police de cyberassurance.

Les entreprises de toutes tailles peuvent tirer parti de l’outil d’autoévaluation des cyberrisques de Marsh pour évaluer leur maturité en matière de cyberrisques et identifier les lacunes dans leurs contrôles en se comparant à leurs pairs au sein du même secteur d’activités. L’outil permet également aux organisations de déterminer les domaines d’amélioration de leurs contrôles informatiques afin d’améliorer leur assurabilité en matière de cyberrisques et de potentiellement réduire leurs primes de cyberassurance. Reconnues par tous les assureurs, les réponses de l’évaluation peuvent être utilisées directement dans les propositions de cyberassurance, ce qui simplifie et accélère l’expérience de placement d’assurances. 

La question n’est pas de savoir si cela arrivera, mais quand – protégez votre entreprise contre les conséquences des pannes informatiques dès maintenant

Dans un monde numérique de plus en plus connecté, la cyberassurance offre une protection financière et un soutien pour l’inévitable cyberincident. Si vous n’avez pas de cyberassurance et que vous voulez protéger votre entreprise contre les risques de panne informatique, communiquez avec un représentant de Marsh Asie.

1 Reuters. (2024). Microsoft déclare qu'environ 8,5 millions de ses appareils ont été affectés par une panne liée à CrowdStrike. https://www.reuters.com/technology/microsoft-says-about-85-million-its-devices-affected-by-crowdstrike-related-2024-07-20/