Avec les progrès constants de la numérisation, de plus en plus d'entreprises comprennent la nécessité d'une bonne cyberassurance. Mais qu’est-ce exactement qu’une bonne cyberassurance ? Cette question entraîne généralement un processus de sélection intéressant. Tom Van Britsom, expert en cybernétique chez Vanbreda Risk & Benefits, vous montre la voie à suivre pour choisir la cyberassurance idéale pour votre organisation.
Réfléchir à une cyberassurance implique avant tout de vous demander si votre entreprise peut tirer profit d’une telle couverture. Ou, en d’autres termes, votre entreprise est-elle fortement dépendante de ses activités numériques ? Seriez-vous en mesure de continuer si, demain, on débranchait la « prise de courant » de votre infrastructure numérique ? En se posant cette question, de nombreuses entreprises découvrent qu’elles seraient rapidement à l’arrêt si cela venait à se produire. Pendant un moment, on peut encore faire de l’archivage, passer quelques appels, mais très vite, il devient clair qu’avec la plateforme numérique, c’est l’une des artères principales de l’activité qui a été coupée. « Plus qu’une question de oui ou de non, cette première étape sert avant tout à ouvrir les yeux », souligne Tom Van Britsom. « Voyez cela comme une incitation à réfléchir davantage à la structure de vos services numériques et aux flux d’approvisionnement importants. »
Une entreprise commence souvent à envisager de souscrire une cyberassurance après avoir subi un premier sinistre ou lors d’un examen approfondi de son profil de risque. « En analysant la situation dans son ensemble, une entreprise identifie la maintenance et les mises à jour réellement nécessaires », explique Tom Van Britsom. « Toutefois, lors d’un tel processus, la question de la cyberassurance est souvent la dernière étape, et c’est une erreur. À titre de comparaison : c’est comme si vous fermiez la porte de votre maison tous les jours, laissiez les volets baissés, entreteniez votre logis correctement, etc. mais attendiez le dernier moment – lorsqu’un incendie se produit – pour commencer à penser à l’assurance incendie. » Tom Van Britsom souligne l’importance pour les entreprises de faire leurs « devoirs numériques », mais ajoute que ces devoirs ne doivent pas les empêcher de souscrire une cyberassurance. Pas même si ceux-ci permettent, au bout du compte, d’améliorer le profil de risque et donc de réduire la prime ? « Ce processus peut facilement prendre un an ou plus », estime Tom Van Britsom. « Reporter une décision importante comme la souscription d’une assurance jusqu’à ce que la situation soit idéale n’est pas une bonne idée. De toute façon, votre organisation se sera lancée dans un mécanisme d’amélioration permanente. Et, après un an, elle devra faire face à de nouveaux défis numériques. »
Si vous constatez la nécessité d’une cyberassurance, il est important de décrire immédiatement la situation à assurer de manière très transparente. Donnez une image fidèle de votre entreprise, de ses processus informatiques et de sa dépendance numérique vis-à-vis de ses fournisseurs et de ses clients. « Il faut impérativement en discuter avec le courtier et l’assureur », déclare Tom Van Britsom. « Votre secteur d’activité, la physionomie de votre infrastructure informatique, votre site web… ces éléments doivent être clairs lors de la souscription du risque à assurer. Grâce à ces informations, nous pouvons, en tant que consultants en matière de risques, mettre en évidence les points de préoccupation et les risques potentiels. »
Une dizaine de cyberassureurs sont actifs sur le marché belge et chacun a ses propres conditions, son appétit au risque, son expérience et sa politique de souscription. Certains se concentrent sur les grandes entreprises, d’autres sur les PME. Certains peuvent cibler des secteurs spécifiques et refuser des assurances dans d’autres. Pour bien évaluer l’offre, il est important de demander des devis en fonction de votre profil et de les comparer. « Ne vous basez pas uniquement sur le prix, mais prêtez également attention à la qualité et à l’expérience de l’assureur et du courtier », conseille Tom Van Britsom. « En tant que courtier et consultant en risques, nous aidons à analyser correctement certains facteurs : depuis combien de temps un assureur est-il actif sur le marché, comment évalue-t-il le risque et comment fonctionne la gestion des sinistres ? Ces facteurs sont également importants lors de l’examen des propositions. « Un exemple concret est le service d’assistance téléphonique qu’un assureur associe à sa police d’assurance. Il est important d’examiner son fonctionnement, le niveau de formation des experts et l’expérience (nombre de sinistres) de l’assureur. « Cette expérience n’est pas seulement utile pour aider une entreprise immédiatement lorsque le sinistre survient, mais elle est également importante pour le règlement financier et l’évaluation de la cause exacte du problème », précise Tom Van Britsom.
Une cyberassurance se compose de plusieurs garanties et, en pratique, les entreprises les souscrivent souvent toutes. Ne serait-il pas plus logique de supprimer les garanties qui n’ont aucune incidence sur votre activité et de réduire ainsi la prime ? « Cela semble logique, mais ça ne fonctionne pas comme ça », affirme Tom Van Britsom. « Chaque mesure de protection a une certaine pondération en fonction du risque. Si vous ne disposez pas d’une plateforme de paiement en ligne, l’assureur n’accordera pas beaucoup de poids à la garantie correspondante. Par conséquent, cette garantie ne pèsera pas lourd dans la tarification. En d’autres termes, il n’y a guère d’intérêt à exclure ces garanties. » Tom Van Britsom souligne en revanche l’attention accrue que les entreprises accordent à la fraude par ingénierie sociale, comme la fraude aux factures ou aux CEO. De plus en plus de propriétaires d’entreprises veulent s’assurer pleinement contre ce risque. « Si cette fraude a lieu sans qu’il y ait d’intrusion dans le système, par exemple par le biais de faux e-mails, elle relève de la couverture de la fraude. Nous constatons que les clients souscrivent souvent une police d’assurance contre la fraude distincte à cet effet. »
L’une des étapes les plus complexes sur la voie d’une cyberassurance idéale pour votre entreprise consiste à déterminer le capital que vous allez inclure dans la couverture d’assurance. Ce n’est pas une estimation évidente, mais Tom Van Britsom a une règle d’or claire. « Demandez-vous combien de capital est nécessaire pour reprendre l’activité si votre entreprise est mise à l’arrêt par un piratage », conseille-t-il. « Combien de temps faudra-t-il pour remettre en place l’infrastructure informatique et reprendre le travail ? Voilà un bon élément de mesure pour estimer la perte de revenus afin de déterminer le total assuré. » En outre, la quantité de données gérées par l’entreprise et la question des rançongiciels influencent également cette estimation, même si, bien sûr, on peut difficilement deviner à l’avance le montant des rançons demandées.
Une fois que la cyberassurance entre en vigueur, il est important que le gestionnaire des risques et le département IT ne soient pas les seuls à en avoir connaissance. Informez vos collaborateurs de l’existence de cette couverture, expliquez-leur à quoi ressemble la procédure à suivre en cas d’incident et associez cela à des données concrètes : la ligne d’assistance, les motifs pour lesquels la contacter, les données nécessaires à cet effet, etc. « Le CFO qui souscrit l’assurance n’est souvent pas la personne que les travailleurs doivent contacter en premier en cas de sinistre », explique Tom Van Britsom. « Communiquez la procédure très clairement, afin qu’il n’y ait aucun doute si un incident se produit. Dans l’idéal, un tel plan existe déjà et la cyberassurance en est l’élément final. Mais l’assurance peut aussi être le facteur motivant l’élaboration d’un bon scénario. »
Un rachat, une forte croissance ou d’autres évolutions peuvent radicalement changer la donne en matière d’assurance après un certain temps. Si le chiffre d’affaires d’une entreprise augmente, par exemple, il peut être nécessaire d’assurer davantage de capital. En cas d’ouverture d’un nouveau site, il est important d’étendre la communication sur la cyberassurance. « Le courtier a lui aussi un rôle à jouer à cet égard », déclare Tom Van Britsom. « Nous interrogeons continuellement nos clients à ce sujet et négocions avec les assureurs sur cette base. La cyberassurance nécessite un important travail de mise à jour. »
Pour une entreprise qui travaille de manière numérique, il est logique d’inclure les clients et les fournisseurs dans le processus de numérisation. La garantie d’une bonne santé numérique va en effet de pair avec la mesure dans laquelle vos fournisseurs, en particulier, peuvent assurer la cybersécurité. « Effectivement », commente Tom Van Britsom. « Votre organisation a beau être parfaitement protégée, si votre fournisseur ne l’est pas, vous êtes aussi faible que lui. Les entreprises peuvent introduire l’aspect cybersécurité dans leurs contrats, en demandant par exemple aux fournisseurs de souscrire eux-mêmes une assurance. Il arrive de plus en plus souvent que les contrats exigent la continuité nécessaire, par le biais de plans de sauvegarde et d’une cyberassurance. »
La montée des dangers numériques n'a pas faibli en 2023. Selon le baromètre du risque, la cyberfraude apparaît devant les catastrophes naturelles, les crises énergétiques et même les risques de guerre. Notre cyberexpert Tom Van Britsom a donné plus de détails dans le journal francophone L'Echo.
Les entreprises belges sont plus que jamais conscientes des risques numériques et voient la nécessité de s’en protéger par le biais d’une cyberassurance. Les chiffres des sinistres de notre portefeuille Cyber montrent également que les cyberincidents coûtent de plus en plus cher aux entreprises belges. En 2022, le coût total d’un incident sur cinq a dépassé 100 000 euros.
Les chiffres relatifs aux sinistres du cyberportefeuille du courtier en assurances Vanbreda Risk & Benefits montrent que 90 % des cyberinfractions commises dans les entreprises en 2021 sont dues à une erreur humaine. Plus que jamais, il convient de miser sur la prévention et de former les collaborateurs à reconnaître les attaques de phishing de plus en plus professionnelles.
Aujourd'hui, chaque entreprise représente une cible pour les cybercriminels. Une pratique de plus en plus professionnelle, mais aussi plus audacieuse. C'est pourquoi il est essentiel de disposer d'une bonne protection contre la hausse des cyberrisques afin de garantir la continuité et la stabilité financière de votre entreprise.
Besoin de plus d’informations ou de conseils pour votre entreprise ? N’hésitez pas à contacter nos experts à l’adresse cybersecure@vanbreda.be ou Tom Van Britsom.