Des mises à jour de sécurité régulières, la formation des collaborateurs et un choix judicieux de partenaire informatique font partie d’une stratégie de prévention solide. Ce sont également des critères importants pour souscrire une cyberassurance sur le marché belge actuel.
Le marché de la cyberassurance a subi de nouvelles pressions en 2022 et Vanbreda Risk & Benefits ne s’attend à aucun changement immédiat en 2023. Tom Van Britsom, cyberexpert, explique : « La pression à la baisse sur les primes de tous les types d’assurance au cours de la dernière décennie, combinée aux cyberincidents de ces dernières années, a rendu la situation intenable pour les cyberassureurs. Les primes sont reparties à la hausse en 2022 : nous avons enregistré des augmentations allant jusqu’à 300 %. »
L’impact des cyberincidents est important. Surtout avec les nombreuses fuites de données impliquant des données à caractère personnel sensibles et les attaques de ransomware qui entraînent des demandes de rançon et une interruption des activités. Christophe Liekens, cyberexpert, poursuit : « Cela a provoqué une diminution de l’appétit de certains assureurs pour couvrir les cyberrisques en 2022 et les assureurs ont dû collaborer plus souvent pour continuer d’offrir la même capacité à une entreprise. »
Pour que le marché de la cyberassurance reste sain dans les années à venir, les critères de souscription des entreprises sont devenus plus stricts l’année dernière. Il est donc devenu plus difficile de souscrire une nouvelle cyberassurance. Christophe Liekens explique : « L’année dernière, de nombreuses entreprises ont également dû faire face à des primes plus élevées, des franchises plus importantes, moins de garanties et des capitaux assurés plus faibles, entre autres. Certaines entreprises ont même dû se préparer à payer elles-mêmes un certain montant des dommages en cas d’attaque par ransomware, en plus de la franchise. »
Les cyberassureurs attendaient également des entreprises qu’elles fassent davantage d’efforts en matière de prévention, comme le renforcement des procédures internes, la mise à jour régulière des systèmes informatiques et de leur protection, ainsi que la formation des collaborateurs. Comme l’année dernière, notre étude montre qu’une action humaine est à l’origine de la plupart des cyberincidents.
Tom Van Britsom poursuit : « Nous constatons que des erreurs sont encore trop souvent commises à tous les niveaux d’une entreprise, par exemple en cliquant sur un lien malveillant dans un e-mail. Voire pire : un accès direct aux systèmes de l’entreprise est parfois accordé via un login personnel. Une seule de ces actions individuelles peut entraîner l’arrêt de l’activité de l’entreprise et, à partir de là, les coûts s’accumulent très rapidement. Heureusement, nous constatons également les résultats positifs obtenus par les entreprises qui forment leurs collaborateurs à la reconnaissance des e-mails de phishing. »
Outre l’accent mis sur ses propres processus, il est important de prêter attention à la qualité des partenariats avec des prestataires externes. Christophe Liekens explique : « De nombreuses entreprises se concentrent aujourd’hui sur leur propre cybersécurité, ce qui est d’ailleurs une exigence de tous les cyberassureurs, mais les assureurs s’intéressent aussi de plus en plus, par exemple, aux partenaires informatiques avec lesquels l’entreprise travaille. Il est plus qu’approprié de soumettre votre partenaire à un examen préalable approfondi. Votre propre sécurité est peut-être de la meilleure qualité, mais elle est remise en question si celle de votre gestionnaire de données ne l’est pas. »
La proportion d’entreprises disposant d’une cyberassurance dans notre portefeuille est en hausse depuis plusieurs années. Le volume total des primes en cyberassurance a atteint 13,2 millions d’euros en 2022, soit une hausse de 30 % par rapport à 2021. L’assurance prévoit le remboursement des dommages subis, mais donne également accès à un réseau de professionnels qui aident l’entreprise à atténuer les dommages et à reprendre ses activités rapidement après un incident. Les responsabilités d’un prestataire informatique professionnel comprennent entre autres la détection et la résolution de l’incident informatique. La fourniture d’une assistance juridique est également incluse, tout comme l’accompagnement d’une agence de relations publiques lors de la communication (de crise) avec la presse.
Tom Van Britsom poursuit : « Cet ensemble de services proposés par des experts expérimentés offre une valeur ajoutée énorme et concrète à une entreprise confrontée à un cyberincident. Cela explique aussi l’intérêt croissant pour la cyberassurance. En 2022, nous avons également constaté que, pour de nombreuses organisations, cette assurance fait désormais partie de leur formule d’assurance standard. »
Téléchargez notre infographie avec les chiffres de 2022 ici.
