Quels sont les risques couverts par une cyberassurance ?

Dans un monde qui se numérise de plus en plus, la cyberassurance devient aussi essentielle que l’assurance incendie ou l’assurance auto, pour les grandes comme pour les petites entreprises. En effet, un cyberincident peut avoir des conséquences financières majeures sur l’entreprise touchée, mais aussi sur des tiers. Une bonne protection en tiendra compte. Mais à quelles garanties pouvez-vous vous attendre ?

Quels sont les risques couverts par une cyberassurance ?

Les entreprises qui veulent se couvrir contre la cybercriminalité peuvent faire appel à une cyberassurance. Cette assurance protège la santé numérique de votre entreprise via trois éléments : une ligne d’assistance, la couverture des dommages propres et la couverture des dommages aux tiers. Tom Van Britsom, cyberexpert chez Vanbreda Risk & Benefits, dissèque la cyberassurance.

Premiers secours en cas de cyberincidents

Une ligne d’assistance fait penser à un service de dépannage. Si votre véhicule tombe en panne sur la route, vous appelez la ligne d’assistance. Pour un cyberincident, c’est pareil : des spécialistes répondent à votre appel et vous aident à y faire face. « Ce sont des experts informatiques qui ont l’habitude des problèmes comme les ransowares », explique Tom Van Britsom, cyberexpert chez Vanbreda Risk & Benefits. « Ils peuvent aider les entreprises confrontées à cette situation en se fondant sur leur expérience. » Cependant, la ligne d’assistance ne se limite pas à une assistance en cas de crise ou à une assistance informatique. L’impact des cyberincidents s’étend en effet au-delà de l’aspect technique. Si votre site Web est piraté et que des informations sensibles se retrouvent sur la voie publique, vous avez aussi un problème juridique. « Vous devez prendre certaines mesures : informer les clients concernés, par exemple, contacter l’Autorité de protection des données, etc. », précise Tom Van Britsom. « La ligne d’assistance met les entreprises en contact avec des juristes qui les conseillent et qui leur expliquent exactement ce qu’ils doivent déclarer. » Enfin, la ligne d’assistance fournit une assistance en matière de relations publiques, pour veiller à ce que votre entreprise communique les bonnes informations, sans semer la panique ou la confusion.

Couverture des dommages propres

La résolution d’un cyberincident nécessite une assistance spécialisée. Une cyberpolice peut couvrir vos frais à ce niveau et ce, assez largement. La police intervient au niveau des honoraires des experts informatiques, mais notamment aussi de ceux des gestionnaires de crise, des juristes ou des experts en estimation des sinistres. En outre, la police couvre les pertes d’exploitation effectives et les frais de restauration des données. Tom Van Britsom établit la comparaison avec un incendie. « Si un bâtiment brûle, l’entreprise ne peut plus mener ses activités », explique-t-il. « L’assurance pertes d’exploitation après incendie couvre la période qui s’étend jusqu’à la reprise des activités. Un cyberincident est comme un incendie numérique. L’entreprise peut faire indemniser cette période d’arrêt via cette police. »

La comparaison tient-elle encore la route si l’entreprise est victime de cyberextorsion, par exemple avec le rançongiciel CryptoLocker ? De nombreuses entreprises veulent faire appel à leur cyberpolice lorsque des cybercriminels exigent une rançon en échange du déverrouillage de leurs fichiers. Tom Van Britsom renvoie à la portée des services de la ligne d’assistance. « Une cyberpolice dédommage aussi les rançons, mais c’est le dernier recours. Les experts de la ligne d’assistance reconnaissent des schémas récurrents dans le contact avec les cybercriminels et peuvent réagir de façon appropriée. »

En parallèle, une cyberpolice rembourse le cybervol et le piratage téléphonique et comporte encore quelques garanties administratives. Les entreprises qui engagent des frais d’enquête administrative par rapport au respect du RGPD peuvent faire appel à leur cyberpolice et même les amendes administratives sont assurables (au contraire des amendes pénales). Enfin, les frais de notification, par exemple pour informer les clients d’un cyberincident, relèvent de la couverture des dommages propres.

Couverture des dommages aux tiers

Malheureusement, l’impact d’un cyberincident ne se limite pas toujours à l’entreprise touchée. Des tiers peuvent aussi encourir des dommages et pour défendre vos intérêts, vous pouvez vous couvrir avec une cyberassurance. « Pensez par exemple à un détaillant qui ne peut plus vendre certains produits en raison d’une interruption du réseau. Ses acheteurs n’ont pas reçu les produits demandés à temps et réclament des dommages et intérêts », illustre Tom Van Britsom. Il peut aussi arriver qu’un cyberincident chez vous se répercute sur d’autres entreprises. La police couvre la propagation d’un virus informatique, de données corrompues ou d’un programme corrompu. Souvent, des tiers constatent en effet que des données ont été bloquées, détruites, modifiées ou corrompues.

Un troisième scénario de dommages aux tiers dans le cadre d’un cyberincident porte sur la divulgation de données (confidentielles) de tiers. « Imaginez que toutes les données de vos clients soient rendues publiques et que les clients se regroupent pour réclamer des dommages et intérêts : dans ce cas, vous pouvez vous tourner vers votre cyberpolice. »

La bonne cyberpolice est un travail sur mesure

Il est important d’effectuer une analyse pour déterminer les garanties nécessaires dans votre cyberassurance. « En tant que courtier en assurances, nous attachons une grande importance à l’élaboration d’une cyberpolice sur mesure pour les entreprises », explique Tom Van Britsom.

En même temps, il est important de vérifier si d’autres polices – comme une assurance fraude – vous offrent déjà des garanties. Comment éviter le chevauchement ou la confusion ? « Nous remarquons que les assureurs excluent petit à petit les cyberrisques de leurs autres polices », relève Tom Van Britsom. « C’est normal, car ils n’y ont pas leur place. Souvent, il convient surtout de bien analyser les incidents comme la fraude à la facture. Si un criminel s’introduit par effraction dans votre système et modifie les factures, cela relève de la cyberpolice. Mais s’il crée une fausse facture et l’envoie au nom de votre entreprise sans pénétrer dans votre système, cela relève de l’assurance fraude. »

Plus qu’une assurance

La souscription d’une cyberpolice va au-delà de la signature du contrat. Dans ce type d’assurance, il est remarquable de constater l’importance des services de prévention. Ainsi, un scan de sécurité peut analyser les vulnérabilités en ligne d’une entreprise avant que des problèmes ne surviennent. Des modules de formation en ligne attirent l’attention des collaborateurs sur les cyberrisques pour l’entreprise. En outre, l’assureur peut organiser des ateliers dédiés à la sécurité pour améliorer la capacité de réaction des entreprises. « En tant que courtier, nous pouvons organiser des ateliers pour nos clients », confirme Tom Van Britsom. « Sur la base de nos expériences des cybersinistres, nous pouvons simuler des sinistres chez le client et examiner la meilleure réaction à mettre en œuvre. »

Tom Van Britsom

Nous sommes là pour vous.

Vous souhaitez recevoir une proposition de cyberassurance sur mesure pour votre entreprise ? Contactez-nous au numéro 03 292 00 13 ou à l’adresse cybersecure@vanbreda.be.

Inscrivez-vous à notre newsletter.