Assurance contre la cybercriminalité fortement recommandée
Hameçonnage, rançongiciel, fraude au CEO: les pirates informatiques ne manquent pas d’imagination pour arnaquer entreprises et télétravailleurs. Heureusement, de plus en plus de compagnies proposent de couvrir les dégâts dus aux cyberattaques. En quoi consiste cette assurance? A qui s’adresse-t-elle? Comment limiter les risques cybernétiques?
Le célèbre bureau d’études Cybersecurity Ventures estime qu’à partir de 2021, les dégâts causés par la cybercriminalité dans le monde atteindront 6 mil- liards de dollars par an, soit deux fois plus qu’en 2015. Le marché de la cyberassurance a pris conscience de l’enjeu. En 2018, la valeur de ce segment était estimée à 4,3 milliards de dollars ; d’après les dernières prévisions, elle devrait croître de 25% annuellement, pour atteindre 20 milliards de dollars d’ici à 2025. Chez nous également, les compagnies proposent des polices ad hoc. CyberContract s’est positionnée il y a six ans comme une des pionnières sur le marché belge.
“C’est le seul type d’assurance que nous proposons, précise Koen Druyts, fondateur et gérant de CyberContract. Dès 2014, nous avons pressenti la forte demande pour ce genre de police. Les cyberincidents figurent, pour la première fois, en tête des risques d’entreprise dans le monde entier au Baromètre des risques 2020 d’Allianz, quels que soient la taille de la société et son secteur d’activité.” Plus de 1.500 PME belges ont aujourd’hui souscrit un CyberContract. Selon les estimations de l’assureur, une police sur 10 devrait être sollicitée dans l’année.
Aide spécialisée
Le cyberassureur indemnise certains cas bien précis de piratage cybernétique: mise à l’arrêt d’une ligne de production par un virus informatique, brouillage de documents dû à l’activation par un collaborateur imprudent d’un lien infecté, ou crash du système entraînant la destruction des données. CyberContract s’efforce de limiter les dégâts provoqués par une cyber- attaque et d’apporter dans les plus brefs délais une aide spécialisée à l’entreprise piratée.
6 milliards de dollars : le montant annuel des dégâts occasionnés par la cybercriminalité à partir de 2021, selon les estimations de Cybersecurity Ventures.
“Je compare souvent la cyberassurance à l’assurance voiture, reprend Koen Druyts. Quand un client déclare un incident sur la hot-line, nos collaborateurs commencent par évaluer l’importance du sinistre et vérifient le type de dégâts couverts par la police. Au besoin, ils dépêchent immédiatement un spécialiste en cybersecurité sur place.”
CyberContract se met toujours en rapport avec le fournisseur informatique habituel du client. Rapidité et coopération sont essentielles en pareil cas, insiste Koen Druyts. Les frais d’intervention, généralement supportés par l’assurance, varient de 10.000 à 30.000 euros en moyenne, en fonction de la gravité et de la durée de l’incident. En cas de vol de données, la rançon atteint facilement dix fois ce montant.
Marché immature
“Contrairement à celui de l’assurance voiture par exemple, le marché des cyberassurances n’est pas tout à fait mature, expose Thomas Spittaels, consultant principal chez Cranium, société spécialisée en privacy, security & data management sise à Zaventem. Il évolue sans cesse. Il n’y a pas encore de normes bien établies. Qui plus est, les primes, les services et les couvertures varient considérablement. Au départ, ces produits étaient proposés par les grandes compagnies d’assurance supranationales. Aujourd’hui, les acteurs locaux ont développé une offre de niche.”
Qu’en est-il par exemple des dégâts subis par les clients privés ou professionnels d’une société victime d’un cyberincident? Sont-ils couverts par la police? “Tout dépend de la situation, répond Koen Druyts. Notre cyberassurance couvre notamment la responsabilité en matière de données. Si un client subit des dégâts liés à un incident assuré, il sera indemnisé. Nous commercialisons aussi une sorte de formule omnium qui couvre en outre l’atteinte à la réputation et la récupération des données.” Une assistance juridique est également prévue.
Faire ses devoirs
Le contrat exclut le plus souvent la force majeure, les actes de guerre et les actes criminels. “La formulation est parfois sujette à interprétation, note Thomas Spittaels. Ce qui peut poser problème quand on déclare des dégâts importants. Il est déjà arrivé que l’assureur qualifie des cas de rançongiciel, de logiciel malveillant ou d’ingénierie sociale de terrorisme numérique, voire d’acte criminel.” Résultat: en plus de devoir faire face à une crise sécuritaire majeure et à l’immixtion des médias, des organismes de contrôle et des actionnaires, l’entreprise est impliquée dans une procédure juridique contre son assureur, la partie même qui aurait a priori dû l’indemniser. “Ce qui n’arrange personne”, déplore Thomas Spittaels .
Une cyberassurance est un airbag qui se déclenche quand la prévention s’avère insuffisante.
Les entreprises qui souhaitent conclure une cyberassurance doivent toutefois commencer par faire leurs devoirs. “L’analyse du risque sécuritaire est indispensable, martèle Thomas Spittaels. Sans l’évaluation des principaux risques, impossible de déterminer quel type de dégâts doit être couvert au mieux.” Du reste, sans profil de risque, l’entreprise est dans l’impossibilité d’estimer les conséquences d’une exclusion particulière, ou d’une couverture plafonnée ou soumise à conditions. “La négociation et la sélection de la cyberassurance la plus appropriée peuvent prendre plusieurs mois, voire une demi-année”, précise Thomas Spittaels.
Six conseils pour une cybersécurité optimale
- Actualisez régulièrement le logiciel et les programmes de sécurisation. Scannez périodiquement vos ordinateurs avec un logiciel spécialisé comme Malwarebytes ou Spybot Search & Destroy, afin de détecter et de détruire à temps tout logiciel malveillant.
- Installez des mots de passe uniques et sécurisés pour vos ordinateurs, serveurs, appareils mobiles et applications. Changez-les régulièrement. N’oubliez pas de modifier également le code d’accès au routeur et au modem pour les télétravailleurs, en choisissant de préférence quelque chose de plus complexe que le très classique 1234.
- Ne cliquez jamais sur des annexes ou des liens inconnus. Brossez sans cliquer le lien avec la souris et vérifiez que l’adresse web – souvent visible en bas du programme de courriel – correspond bien au libellé de l’hyperlien. Un lien html cliquable du genre htttp://qs897. it/client952, soi-disant communiqué par le site economie.fgov.be, est plus que suspect.
- Réglez le système d’exploitation de manière à rendre les extensions de fichier visibles, question d’identifier les fichiers .exe suspects (Cryptolocker par exemple) avant de cliquer dessus. Demandedeprix87.pdf.exe n’est pas un fichier texte!
- Désactivez toutes les macros avec mention dans votre kit Office pour éviter l’exécution automatique, dans Word ou Excel, des scripts intelligemment conçus par les pirates.
- Prenez des back-up journaliers, hebdomadaires ou mensuels de vos données et dissociez les disques durs du réseau ou d’Internet, afin de toujours disposer d’un filet de sécurité en cas de gros pépin.
Un article de Dimitri Dewever.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici