Le célèbre bureau d'études Cybersecurity Ventures estime qu'à partir de 2021, les dégâts causés par la cybercriminalité dans le monde atteindront 6 mil- liards de dollars par an, soit deux fois plus qu'en 2015. Le marché de la cyberassurance a pris conscience de l'enjeu. En 2018, la valeur de ce segment était estimée à 4,3 milliards de dollars ; d'après les dernières prévisions, elle devrait croître de 25% annuellement, pour atteindre 20 milliards de dollars d'ici à 2025. Chez nous également, les compagnies proposent des polices ad hoc. CyberContract s'est positionnée il y a six ans comme une des pionnières sur le marché belge.
...

Le célèbre bureau d'études Cybersecurity Ventures estime qu'à partir de 2021, les dégâts causés par la cybercriminalité dans le monde atteindront 6 mil- liards de dollars par an, soit deux fois plus qu'en 2015. Le marché de la cyberassurance a pris conscience de l'enjeu. En 2018, la valeur de ce segment était estimée à 4,3 milliards de dollars ; d'après les dernières prévisions, elle devrait croître de 25% annuellement, pour atteindre 20 milliards de dollars d'ici à 2025. Chez nous également, les compagnies proposent des polices ad hoc. CyberContract s'est positionnée il y a six ans comme une des pionnières sur le marché belge. "C'est le seul type d'assurance que nous proposons, précise Koen Druyts, fondateur et gérant de CyberContract. Dès 2014, nous avons pressenti la forte demande pour ce genre de police. Les cyberincidents figurent, pour la première fois, en tête des risques d'entreprise dans le monde entier au Baromètre des risques 2020 d'Allianz, quels que soient la taille de la société et son secteur d'activité." Plus de 1.500 PME belges ont aujourd'hui souscrit un CyberContract. Selon les estimations de l'assureur, une police sur 10 devrait être sollicitée dans l'année. Le cyberassureur indemnise certains cas bien précis de piratage cybernétique: mise à l'arrêt d'une ligne de production par un virus informatique, brouillage de documents dû à l'activation par un collaborateur imprudent d'un lien infecté, ou crash du système entraînant la destruction des données. CyberContract s'efforce de limiter les dégâts provoqués par une cyber- attaque et d'apporter dans les plus brefs délais une aide spécialisée à l'entreprise piratée. "Je compare souvent la cyberassurance à l'assurance voiture, reprend Koen Druyts. Quand un client déclare un incident sur la hot-line, nos collaborateurs commencent par évaluer l'importance du sinistre et vérifient le type de dégâts couverts par la police. Au besoin, ils dépêchent immédiatement un spécialiste en cybersecurité sur place." CyberContract se met toujours en rapport avec le fournisseur informatique habituel du client. Rapidité et coopération sont essentielles en pareil cas, insiste Koen Druyts. Les frais d'intervention, généralement supportés par l'assurance, varient de 10.000 à 30.000 euros en moyenne, en fonction de la gravité et de la durée de l'incident. En cas de vol de données, la rançon atteint facilement dix fois ce montant. "Contrairement à celui de l'assurance voiture par exemple, le marché des cyberassurances n'est pas tout à fait mature, expose Thomas Spittaels, consultant principal chez Cranium, société spécialisée en privacy, security & data management sise à Zaventem. Il évolue sans cesse. Il n'y a pas encore de normes bien établies. Qui plus est, les primes, les services et les couvertures varient considérablement. Au départ, ces produits étaient proposés par les grandes compagnies d'assurance supranationales. Aujourd'hui, les acteurs locaux ont développé une offre de niche." Qu'en est-il par exemple des dégâts subis par les clients privés ou professionnels d'une société victime d'un cyberincident? Sont-ils couverts par la police? "Tout dépend de la situation, répond Koen Druyts. Notre cyberassurance couvre notamment la responsabilité en matière de données. Si un client subit des dégâts liés à un incident assuré, il sera indemnisé. Nous commercialisons aussi une sorte de formule omnium qui couvre en outre l'atteinte à la réputation et la récupération des données." Une assistance juridique est également prévue. Le contrat exclut le plus souvent la force majeure, les actes de guerre et les actes criminels. "La formulation est parfois sujette à interprétation, note Thomas Spittaels. Ce qui peut poser problème quand on déclare des dégâts importants. Il est déjà arrivé que l'assureur qualifie des cas de rançongiciel, de logiciel malveillant ou d'ingénierie sociale de terrorisme numérique, voire d'acte criminel." Résultat: en plus de devoir faire face à une crise sécuritaire majeure et à l'immixtion des médias, des organismes de contrôle et des actionnaires, l'entreprise est impliquée dans une procédure juridique contre son assureur, la partie même qui aurait a priori dû l'indemniser. "Ce qui n'arrange personne", déplore Thomas Spittaels .Les entreprises qui souhaitent conclure une cyberassurance doivent toutefois commencer par faire leurs devoirs. "L'analyse du risque sécuritaire est indispensable, martèle Thomas Spittaels. Sans l'évaluation des principaux risques, impossible de déterminer quel type de dégâts doit être couvert au mieux." Du reste, sans profil de risque, l'entreprise est dans l'impossibilité d'estimer les conséquences d'une exclusion particulière, ou d'une couverture plafonnée ou soumise à conditions. "La négociation et la sélection de la cyberassurance la plus appropriée peuvent prendre plusieurs mois, voire une demi-année", précise Thomas Spittaels. Un article de Dimitri Dewever.