Comment un monde sans cyberassurance est devenu inconcevable en 5 ans

En 2013, la cyberassurance n'était encore qu'un produit flambant neuf sur le marché belge. À l'époque, seule une minorité insignifiante estimait cette police utile. Mais depuis lors, le nombre de processus en ligne dans le monde des entreprises n'a cessé d'augmenter et les risques ne sont plus à démontrer. La cybersécurité figure par ailleurs aussi parmi les priorités de l'Europe, en témoigne la nouvelle législation sur le respect de la vie privée (RGPD).

Comment un monde sans cyberassurance est devenu inconcevable en 5 ans

Tant les entreprises que les cybercriminels ont changé

L’importance croissante de la cyberassurance est une conséquence directe d’une métamorphose survenue sur deux terrains ces dernières années. Premièrement, les entreprises se sont numérisées dans une large mesure. Une grande avancée a été réalisée non seulement dans la production, mais aussi dans la facturation et les finances. En outre, le marché B2C s’est également fortement numérisé : pratiquement tout peut être commandé en ligne aujourd’hui.

Deuxièmement, on a également assisté ces dernières années à une énorme professionnalisation des cybercriminels. Auparavant, les individus formaient la principale menace sur ce terrain. Ils exploraient les frontières du possible et tentaient de piéger les entreprises. Cette première forme de cybercriminalité a aujourd’hui cédé la place à une professionnalisation qui défie l’imagination. Il existe en effet aujourd’hui des bandes qui recourent à toute une armée de hackers et autant de call centers pour faciliter le rançonnement.

Une cyberassurance à la mesure de cette nouvelle réalité

Une cyberassurance couvre les dommages subis par une entreprise à la suite d’un cyberincident. Celui-ci peut résulter d’une exposition à un logiciel malveillant, de virus ou de hackers, mais peut également être dû à une erreur humaine imputable à un collaborateur. Les conséquences sont souvent importantes: qu’il s’agisse de la perte de revenus générée par une interruption d’activité, d’heures supplémentaires prestées par les informaticiens et autres professionnels ou encore d’indemnités élevées réclamées par des clients ou fournisseurs affectés par la fuite de données.

La cyberassurance constitue aujourd’hui une police particulièrement étendue qui – sous l’impulsion du monde des assurances – s’est adaptée à l’évolution du contexte. Il existait initialement deux polices distinctes : la première couvrait la responsabilité de l’assuré – des amendes et coûts de notification à l’indemnisation des entreprises qui ont subi un préjudice à la suite d’une fuite de données ou d’un virus transmis par les serveurs de l’assuré. Une seconde police visait à indemniser les propres dommages de l’assuré, par exemple, après un arrêt d’activité. Ces deux volets sont aujourd’hui réunis en une seule cyberassurance.

Ces dernières années, la police a été étendue à de nouvelles garanties de base, comme la couverture contre le cybervol ou le piratage téléphonique. Les facteurs déclencheurs de cette police ont également été étendus. L’actuelle cyberassurance peut couvrir les conséquences financières d’une violation de la sécurité, mais aussi d’une erreur humaine ou d’une cause naturelle comme la foudre.

En outre, une série de services supplémentaires a été ajoutée à cette police. Les assurés peuvent dorénavant contacter des lignes d’assistance juridique, de gestion de crise et bénéficier à la fois d’une assistance IT et PR. Des analyses sont également proposées gratuitement pour évaluer la vulnérabilité d’une entreprise aux cyberattaques et aux hackers.

Le nombre de polices mais aussi les dommages subis augmentent de manière exponentielle

La cyberassurance a définitivement percé en 2016. Mais l’année dernière encore, nous avons également constaté chez Vanbreda un nouveau doublement du nombre de cyberassurances souscrites par rapport à 2016.

C’est essentiellement le marché des PME belges qui s’est récemment assuré contre la cybercriminalité et les risques de sécurité. Dans ce cadre, la nouvelle réglementation européenne sur la protection de la vie privée (RGPD) constitue assurément une motivation supplémentaire : ceux qui ne sont pas en règle risquent en effet des amendes salées. Ces amendes administratives, mais aussi tous les frais liés à l’obligation de notification, sont aujourd’hui assurables dans le cadre d’une cyberassurance.

Malheureusement, de nombreuses entreprises ont été confrontées récemment à la cybercriminalité (ou une tentative de cybercriminalité). Cela aussi les a sensibilisées.

Les statistiques des sinistres de Vanbreda et de quelques grands cyberassureurs sont éloquentes: un assuré sur treize a été victime d’un sinistre au cours des cinq dernières années. Nos chiffres (voir graphique) révèlent que 43% des cas concernaient des cryptolockers. Seulement 5% des indemnisations concernaient une fuite de données, mais ce chiffre augmentera sans aucun doute en 2018. En effet, la législation RGPD impose de signaler les fuites de données à dater du 25 mai 2018.

En ce qui concerne le type de sinistres, nous en distinguons deux catégories. D’une part, il y a les cryptolockers: ils sont fréquents aujourd’hui, mais les dommages restent heureusement limités à un montant inférieur à 10 000 euros. D’autre part, nous constatons également des dommages de plus en plus importants: des cybervols impliquant la disparition d’un million d’euros ou des interruptions d’activité qui peuvent durer plusieurs jours ou semaines. Leur impact financier est énorme. Notre pays a connu des exemples de cybersinistres qui ont atteint plusieurs millions.

Que nous réserve l'avenir?

Il est évident que ces graphiques refléteront une image totalement différente. L’obligation de signaler les fuites de données placera ce type de sinistres dans le top trois. En outre, en cas de fuites de données consécutives au non-respect de la réglementation RGPD, l’Europe inflige des amendes pouvant s’élever à 4% du chiffre d’affaires mondial. Le volume des indemnités versées s’en ressentira également.

Il est clair que la législation se durcit et que l’ignorance n’est plus une excuse. Ni les pouvoirs publics ni les entreprises ne doutent des risques actuels. Bref, l’utilité de la cyberassurance n’est plus mise en cause.

Tom Van Britsom
Inscrivez-vous à notre newsletter.