Cyber-assurances contre cyber-risques

  • ± 1000
    attaques d'entreprises en 2021 selon la police fédérale

Depuis cinq ans environ, des assurances couvrant les dommages résultant de cyberattaques se sont multipliées sur le marché belge. Elles restent peu connues des PME.

Jean-Christophe de Wasseige

Trois principales cybermenaces pèsent sur les entreprises : "malware", "ransomware" et fraude à la facture.

La cybercriminalité fait désormais partie du paysage. La généralisation du télétravail et la digitalisation des activités ont favorisé sa recrudescence. Les PME, les titulaires de profession libérale et les e-commerçants ne sont pas épargnés. Dans quelle mesure ? Difficile à dire. Selon la police fédérale, environ un millier d'attaques d'entreprises ont été comptabilisées en 2021. "Mais cette statistique est en dessous de la réalité, signale aussitôt Olivier Bogaert, commissaire à la Federal Computer Crime Unit (FCCU). Beaucoup de sociétés frappées ne déposent pas plainte, de peur d'être pointées du doigt et de perdre en réputation."

En tout cas, concernant les entreprises, deux grands délits se distinguent : les "malwares" et les "ransomwares". Les premiers sont des logiciels malveillants qui se fichent dans les systèmes et en perturbent le fonctionnement (exemple : les chevaux de Troie). Les seconds sont des variantes des premiers : ils cryptent ou interdisent l'accès aux fichiers informatiques vitaux. Les organisations visées sont alors sommées de verser une rançon pour retrouver l'usage de leurs réseaux et de leurs données. À ces deux types d'attaques, les assureurs ajoutent un troisième : le vol d'identité, dont une des formes est la "fraude au CEO" ou "fraude à la facture". Les hackers se font passer pour le dirigeant de l'entreprise, identifient les personnes du service comptable, puis leur demandent d'honorer une facture fictive.

Tout cela peut provoquer de gros dégâts : pertes financières, fuite de données, paralysie de l'informatique, mise à l'arrêt de la production, voire – le pire – paiement d'une rançon. D'où l'apparition des cyber-assurances.

Aperçu du marché

Aux USA, les cyber-assurances datent de dix à quinze ans. En Belgique, elles sont apparues depuis cinq ans pour la majorité d'entre elles. Quel est leur nombre ? Assuralia ne donne pas de chiffre. La fédération des assureurs précise seulement qu'il y a plusieurs types de polices.

D'abord, il y a les cyber-assurances pour les particuliers. Elles sont encore très minoritaires. Des exemples ? Proximus et Axa Partners proposent une formule pour 59 euros par an. KBC/CBC en a une à 36 euros pour un compte ou à 72 euros pour un ménage. Au menu : essentiellement une couverture des fraudes bancaires, des arnaques et des usurpations d'identité. Les exceptions et les limitations sont toutefois nombreuses.

Ensuite, il y a les cyber-assurances pour les professionnels. Là, deux cas de figure se rencontrent. "Dans le premier cas, la couverture consiste en une extension de l'assurance responsabilité civile professionnelle ou de l'assurance protection juridique pour prendre en compte ces risques spécifiques, explique Nevert Degirmenci, la responsable communication d'Assuralia. Ces formules ont le mérite de pouvoir être signées rapidement, car la situation de l'assuré est connue."

Le second cas rassemble les cyber-assurances proprement dites, plus complètes. Un rapide tour des sites web des assureurs permet d'en recenser une petite dizaine. Elles s'appellent "Assurance cyber fraude" chez CBC (voir encadré), "CyberEdge" chez AIG, "Cyber risques" chez Axa, "Cyber Safe Entreprises" chez Bâloise, "Digi Cover" chez Belfius, "Cyber assurance" chez HDI Global ainsi que chez Van Breda Risk & Benefits, ou encore "Cyber Confort" chez Zurich… Leurs primes varient entre 400 et 1.000 euros par an.

Quelle couverture ?

La plupart des cyber-assurances couvrent les frais de réparation du système informatique après une attaque.

Les cyber-assurances "complètes" varient fortement d'une compagnie à l'autre. Les comparaisons sont malaisées. Les garanties les plus fréquentes sont les suivantes. Un helpdesk en cas d'attaque : certains assureurs mettent à disposition des experts informatiques joignables 24/7. Un remboursement des réparations informatiques : cela peut passer par le rachat de logiciels, la restauration du réseau, le réencodage de données… C'est une des clauses les plus fréquentes.

Une aide juridique : des frais d'avocat sont pris en charge pour répondre aux plaintes lorsque des données personnelles (clients, fournisseurs…) sont dérobées. Un paiement des amendes : tout vol de données doit être notifié à l'Autorité de protection des données (APD), qui peut infliger une amende. Une aide à la réputation : l'assureur prend en charge les frais d'une agence en communication pour restaurer l'image de l'entreprise. Une indemnisation des pertes d'exploitation : quelques assureurs en font une priorité, d'autres la prévoient sous conditions.

Enfin, le paiement d'une rançon. C'est "le" point le plus sensible. Parce que les montants en jeu peuvent vite grimper. Et parce que les autorités conseillent de ne jamais payer. Les assureurs belges, eux, ne semblent pas dogmatiques sur la question. En effet, payer une rançon n'est pas illégal, sauf si l'argent sert au terrorisme (ce qui n'est pas évident à déterminer et induit de l'insécurité juridique). Toutefois, ils restent discrets sur leurs garanties en ce domaine, du moins dans leurs communications grand public. Il faut dire que ces risques sont en forte évolution (lire en fin de dossier). AIG est un des rares à détailler publiquement son offre : "une assistance dans les négociations, une résolution de l'incident et, si c'est inévitable, le paiement de la rançon."

À quelles conditions ?

Certains assureurs imposent un audit de l'infrastructure avant la signature du contrat. But : mieux juger des risques.

Comme les autres polices, les cyber-assurances comportent des plafonds dans les interventions, des montants de franchise (la part du sinistre supportée par l'assuré), des conditions, des options… Plus spécifique est l'exclusion de certains secteurs économiques. C'est le cas pour les sociétés de paris en ligne, les entreprises de transport/logistique ou les médias. À noter que de telles exclusions visent aussi des organisations comme les hôpitaux ou les partis politiques.

Autre caractéristique des polices "cyber" : des questionnaires ou même des audits sont souvent réclamés par les assureurs avant la signature du contrat. Il s'agit pour eux de mesurer le niveau de sécurité informatique du futur assuré. Cela leur permet de "cartographier" les risques et d'établir la prime en fonction. D'autres assureurs agissent autrement et proposent, après la signature du contrat, une analyse (gratuite) de l'informatique du souscripteur.

Dans un cas comme dans l'autre, il y a donc une démarche d'analyse. "Cela s'explique par le fait que les risques de criminalité informatique sont difficiles à appréhender par les assureurs, explique Charles Cuvelliez, professeur en gestion du risque à l'ULB et chief information security officer chez Belfius. Pour les polices classiques, ils utilisent des statistiques sur les sinistres passés. Des modèles actuariels leur permettent alors d'obtenir des évaluations fines. Ici, comme le segment “cyber” est encore récent, ce n'est guère possible. De plus, cette menace informatique est très diversifiée. Elle est à la fois multiple – virus, hameçonnage, rançon-logiciel… – et changeante : les hackers inventent et se professionnalisent sans cesse."

Une formule sous la loupe

Chez CBC, une cyber-assurance a été lancée en mars 2020. Elle s'adresse avant tout aux PME et aux professions libérales (fiduciaires, bureaux d'avocats, cabinets médicaux…). Il n'est pas nécessaire d'être client du bancassureur pour y souscrire. Par contre, il faut avoir un chiffre d'affaires en dessous des 10 millions d'euros, un réseau accessible via une identification à deux facteurs et une sauvegarde sur un serveur externe.

La prime est calculée en fonction de deux critères : le chiffre d'affaires et le montant assuré. Ce dernier démarre à 100.000 euros (avec une franchise de 1.000 euros). En moyenne, les souscripteurs paient 860 euros par an. Au niveau des TPE de moins de 250.000 euros de ventes, la prime peut se limiter à 420 euros. Ces prix n'ont pas augmenté en deux ans.

La couverture comprend quatre points. Un : le remboursement des frais de réparation. Cela concerne le réseau mais aussi les éventuelles amendes liées au RGPD (règlement général sur la protection des données), les pertes d'argent, l'aide juridique et les frais de restauration d'image. Deux : l'assistance 24/7 via un helpdesk. Trois : la prévention. Des experts passent l'informatique au crible et formulent des conseils. Et quatre : l'indemnisation des pertes d'exploitation peut être ajoutée en option.

L'avenir du secteur

En France, plusieurs cas de mises à l'arrêt d'entreprises et de rançons ont déstabilisé le marché des cyber-assurances.

En France, ce marché très jeune de la cyber-assurance a vacillé. En 2020, les assureurs de l'Hexagone ont engrangé pour 126 millions d'euros de primes et indemnisé pour… 217 millions d'euros de dommages, selon l'Amrae, l'association des risk managers. La faute à quatre sinistres majeurs. L'adaptation ne s'est pas fait attendre : les primes ont doublé, les conditions se sont durcies, les offres se sont réduites… En Belgique, officiellement, un tel dérapage ne s'est pas produit. En 2021, le courtier Aon notait tout de même "des conditions plus strictes d'assurance pour les entreprises en raison de la recrudescence des cyberattaques."

Chez nous, une autre évolution retient plutôt l'attention. Si une croissance fut constatée lors du lancement des offres, le nombre de contrats signés actuellement ne semble pas combler les assureurs. "Du côté francophone, on constate clairement une frilosité de la part des entreprises, déclare Dominique Hurard, expert non-life chez CBC. En deux ans, notre groupe KBC/CBC a conclu 1.095 cyber-assurances dans l'ensemble du pays. Seulement 4 à 5 % d'entre elles ont concerné des entreprises wallonnes, alors qu'elles devraient tourner autour des 10 %. C'est assez surprenant. Car une petite démonstration prouve l'intérêt de ces formules. Prenez un entrepreneur qui achète une camionnette 15.000 euros. Il va l'assurer via une Omnium d'environ 900 euros par an. Pour une prime sensiblement équivalente, il pourrait avoir une cyber-assurance qui, chez nous, couvre des dommages pour 100.000 euros…"

Un manque de connaissance de ces produits est probablement en cause. De même qu'une sous-estimation de la cybercriminalité par les entreprises et singulièrement les PME. Même si ce marché est récent et doit trouver ses marques, via notamment une plus grande mutualisation, il devrait persister. Pour les simples raisons que les risques ne vont pas diminuer et qu'il offre un cadre d'action cohérent en obligeant à de la cyber-vigilance. À condition, évidemment, de rester abordable.

Autres dossiers se rapportant au même sujet

  • Bien-être au travail: une nouvelle mission de sensibilisation

    Les caisses d'assurances sociales du pays ont désormais pour mission de sensibiliser les indépendants à l’importance de leur bien-être au travail. Pionniere de la question côté francophone, UCM a décidé de prendre la problématique à bras le corps.

    Lire la suite