Inflation des primes d’assurances contre les cyberattaques
Les cyberattaques sont nombreuses. Une dizaine de compagnies belges proposent des produits d’assurances, dont les prix augmentent d’année en année. Dans 90% des cas, l’erreur humaine fait entrer le pirate dans le système.
/s3.amazonaws.com/arc-authors/ipmgroup/59daaddc-c31d-4d8b-963c-31a80f334519.png)
Publié le 14-03-2023 à 05h00
:focal(544.5x314:554.5x304)/cloudfront-eu-central-1.images.arcpublishing.com/ipmgroup/YNMVD3MK3VCX7ATTZOFJWEYQ2A.jpg)
La cyberattaque du CHU Saint-Pierre de Bruxelles, le week-end dernier, a rappelé une fois de plus que personne n’est à l’abri des pirates informatiques. Le monde de l’assurance s’est adapté à cette menace en développant des produits spécifique.
C’est le cas chez Vanbreda. Et la proportion d’entreprises disposant d’une cyberassurance dans le portefeuille de Vanbreda Risk & Benefits est en hausse depuis plusieurs années. Le volume total des primes en cyberassurance a atteint 13,2 millions d’euros en 2022, soit une hausse de 30% par rapport à 2021.
Les attaques sont en augmentation, selon le courtier d’assurances, favorisée par la digitalisation.
En quoi consiste une cyberassurance ?
"L’assurance prévoit le remboursement des dommages subis, mais donne également accès à un réseau de professionnels qui aident l’entreprise à atténuer les dommages et à reprendre ses activités rapidement après un incident. Les responsabilités d’un prestataire informatique professionnel comprennent entre autres la détection et la résolution de l’incident informatique. La fourniture d’une assistance juridique est également incluse, tout comme l’accompagnement d’une agence de relations publiques lors de la communication de crise avec la presse", explique Tom Van Britsom, manager business development & innovation.
Le cyberspécialiste poursuit: "Nous constatons que des erreurs sont encore trop souvent commises à tous les niveaux d’une entreprise, par exemple en cliquant sur un lien malveillant dans un e-mail. Voire pire: un accès direct aux systèmes de l’entreprise est parfois accordé via un login personnel. Une seule de ces actions individuelles peut entraîner l’arrêt de l’activité de l’entreprise et, à partir de là, les coûts s’accumulent très rapidement."
Comment diminuer le risque de cyberattaque ?
La prévention est devenue un élément essentiel du système d’assurance. "Nous constatons également les résultats positifs obtenus par les entreprises qui forment leurs collaborateurs à la reconnaissance des e-mails de phishing."
Et comme on ne peut pas éviter tous les problèmes, des systèmes de gestion de crise sont mis en place, en amont, avec des jeux de rôle, pour simuler le type de comportement à adopter et gagner un temps précieux quand un intrus s’est introduit dans le système informatique de la société. "Les assureurs s’intéressent aussi de plus en plus aux partenaires informatiques avec lesquels l’entreprise travaille. Il est plus qu’approprié de soumettre votre partenaire à un examen préalable approfondi. Votre propre sécurité est peut-être de la meilleure qualité, mais elle est remise en question si celle de votre gestionnaire de données ne l’est pas."
Que couvre l’assurance ?
Les dégâts d’une cyberattaque varient selon le secteur de l’entreprise. "Les conséquences sont différentes dans une entreprise I.T. ou une entreprise de presse, où l’on peut décider de poursuivre l’activité sur un autre réseau, avec d’autres serveurs… que sur des sites de production. Les lignes de productions peuvent être complètement arrêtées par l’attaque pendant parfois plusieurs jours, remarque Tom Van Britsom, avec des conséquences financières énormes."
L’autre type de secteur pour lequel les cyberattaques ont des conséquences très importantes, ce sont celles qui manient des données sensibles, comme les banques, assurances… et les hôpitaux. Et les polices sont adaptées au type de société couverte par l’assurance.
Les primes augmentent (voir ci-contre). Elles sont à la hauteur des dégâts: "Pour couvrir des dégâts entre 25 et 50 millions, l’entreprise devra débourser 10 000 € annuels d’assurance" dit-on chez Vanbreda. "Cela varie en fonction du capital couvert, la franchise, le type d’entreprise – un bureau d’avocats paie un autre prix qu’une entreprise produisant des chaises ou une entreprise de jeux de hasard."
Et les demandes de rançon, c’est couvert ?
La rançon fait partie des frais à prendre en charge en cas de cyberattaque.
Selon Tom Van Britsom, dans 90% des cas, le pirate informatique s’introduit dans le système à cause d’une erreur humaine: "Quelqu’un qui clique sur un lien, un système crypté est mis en place dans le serveur de l’entreprise, et le pirate demande une rançon pour récupérer les données. La rançon, c’est le dernier recours. Avec notre soutien, l’entreprise prend le choix en connaissance de cause: doit-elle payer ou pas ? Quelles sont les données détenues par le hacker ? Est-ce que cela me nuit vraiment ? Est-ce que je peux fonctionner autrement ? Grâce au soutien que nous apportons, les entreprises paient beaucoup moins souvent les rançons que celles que nous n’assurons pas."
Les collectivités, aussi assurées contre les pirates informatiques
Détenue par l’État fédéral, la Région wallonne, la Région flamande et la SRLEthiasCo, Ethias a un profil un peu différent. Et pourtant, elle aussi assure contre la cybercriminalité, mais uniquement son "core business": les collectivités publiques locales (CPAS, villes, communes, des intercommunales, écoles…). Valérie Kriescher, Head of B2B Product & Marketing nous en parle.
Est-ce que l’assurance pour cybercriminalité a évolué ?
Nous avons dû nous réaligner sur les tendances du marché, au niveau des tarifs, mais pas seulement. On est plus stricts dans les critères d’acceptation: il faut que le client ait un degré de cybersécurité minimum pour bénéficier de l’assurance. Nous établissons par le biais d’un questionnaire d’évaluation de risque, car on ne peut pas proposer une assurance cyber à quelqu’un qui n’a pas le minum minimorum.
Qui sont les hackers ?
Pas besoin d’être un crac de l’informatique pour mener une attaque selon Valérie Kriescher. Il y a des outils qui s’achètent sur le dark web. Avec cela, pas besoin d’être un pirate en Chine ou en Russie. Cela peut être un adolescent dans sa cave… c’est simple à faire. D’où l’intérêt pour les entreprises et les collectivités de mettre les bons outils en place.
Est-ce que vous devez recourir à des réassureurs, pour vous couvrir, en cas d’intervention ?
Comme toute compagnie d’assurances, nous avons des traités qui nous protègent en cas de risque majeur. Nous avons lancé la cyberassurance en 2018, c’est un marché encore jeune pour nous, donc pour éviter de nous exposer trop, nous avons une couverture de réassurance spécifique. Et les guidelines des réassureurs vont avoir un impact sur notre souscription et sur notre façon d’évaluer le risque.
Comment chiffrez-vous le dommage ?
La garantie perte-exploitation n’est pas le cœur de notre assurance cyber. L’essentiel, ce sont les data: on couvre les frais de reconstitution des données vitales à l’entreprise, plus les dommages éventuellement causés aux tiers et les frais d’assistance, de conseils juridique… Ce sont des services d’assistance et de soutien.
Payez-vous les frais de rançon ?
On est toujours un peu mal à l’aise par rapport la couverture de ces frais parce que cela finance des activités criminelles. L’objet de l’assurance cyber est de prendre en charge le dommage subi par l’assuré, à savoir en priorité tout ce qui touche à la reconstitution des données. Le client peut décider de payer la rançon.
Mais on déconseille de le faire car on risque de payer mais ne pas recevoir la clé pour récupérer les données. Et ensuite, les hackers peuvent laisser dans le système des éléments qui leur permettent une future attaque. On a des clients qui ont changé tout leur parc d’ordinateurs et tous leurs téléphones portables pour être sûrs de ne pas laisser une porte d’entrée aux hackers. Parfois, il vaut mieux repartir d’une page blanche.