Press Room

Votre organisation a-t-elle besoin d'une assurance cyber ?

Mieke Speeckaert - Legal Director, Property & Liability Manager

Les cyberattaques se multiplient. De quoi parle t’on concrètement ? Les cinq actes suivants peuvent être qualifiés de cyberattaque : accès illégal à des systèmes informatiques, espionnage d’entreprise, interférence de données ou de systèmes, cyber-extorsion et fraude sur internet.

Des cyberattaques se produisent dans le monde entier. Selon une enquête de PwC menée auprès de 7,300 personnes dans 123 pays, 31% des participants ont subi une cyberattaque au cours des deux dernières années. 14% qualifient la fraude informatique comme étant "la plus pernicieuse", avec plus d’un million de dollars de perte. Un pour cent déclare même une perte de plus de 100 millions de dollars.

Ce type de criminalité se produit également en Belgique. Il ressort d’une enquête menée par la KU Leuven que plus de la moitié (67%) des entreprises belges ont été victimes de cybercriminalité au moins une fois au cours de l’année passée.

Le comportement frauduleux le plus commun s’avère être «la perturbation des processus commerciaux». Il a touché 30% des entreprises du monde entier durant la dernière année. Ce type de fraude peut entraîner des pertes financières considérables.

 

concordia

Source PwC
 

En notre qualité de courtier d’assurance indépendant, nous analysons le métier de nos clients, nous les aidons à identifier leurs risques et proposons des solutions sur mesure pour assurer leur organisation contre les cyber menaces potentielles. Au cours des dernières années, nous avons collaboré avec divers clients et leurs départements informatiques pour mettre au point une proposition ad hoc pour assurer leur entreprise contre les cyberattaques.

Voici les étapes à suivre pour vous protéger contre les cyberattaques et analyser si vous avez réellement besoin d'une telle assurance et comment elle peut affecter vos activités.
 

1. Audit informatique

La première chose qu’une entreprise doit faire pour minimiser le risque d’une cyberattaque c’est de procéder à un audit informatique. Cet audit scrute et évalue l’état actuel de l’infrastructure, les lignes de conduites et les activités de l’entreprise. Il donne une indication de la situation actuelle et apporte des réponses à des questions telles que :

  • Notre système est-il accessible aux pirates informatiques ?

  • ​Nos données sont-elles complètement protégées ?

  • Avons-nous déjà été piraté ?

  • Un pirate a-t-il pénétré notre système ?

Après cet audit, une entreprise peut déterminer ses points faibles et ses risques. A défaut d’audit, une entreprise est aveugle et ne peut adopter les bonnes actions pour améliorer le système informatique.
 

2. Prévention et suivi

La deuxième étape consiste à mettre en place des mesures de prévention. L’ordinateur et le smartphone de chaque employé constituent des opportunités pour les pirates informatiques d’entrer dans le système de l’entreprise. C’est pourquoi le département informatique doit s’assurer que les pirates ne peuvent pas franchir le pare-feu.

Une mesure simple que chaque entreprise peut mettre en œuvre consiste à envoyer un courriel, une fois par mois à ses employés pour modifier leur mot de passe. En outre, le mot de passe devrait être aussi indéchiffrable que possible, ce qui signifie que vous devriez avoir recours à une combinaison de majuscules, de chiffres et de signes. La société devrait revoir régulièrement ses mesures de prévention contre la cybercriminalité et être à jour avec les logiciels les plus récents afin de minimiser autant que faire se peut les risques d’intrusion de pirates informatiques dans le système.
 

3. Assurance cyber

Si vous avez effectué un audit informatique et pris toutes les mesures nécessaires pour prévenir les cyberattaques, vous avez déjà parcouru un long chemin. Vous avez maintenant une vision claire des risques et difficultés internes et externes auxquelles vous devez faire face. Cette analyse vous permet de prendre la dernière mesure nécessaire, à savoir choisir la bonne assurance. Au cours de cette étape vous devez garder à l'esprit le type de risques que vous souhaitez couvrir en fonction de l’audit informatique, les assurances dont vous disposez déjà ainsi que les franchises éventuelles qui resteront à votre charge. Tout le monde peut être victime d'une cyberattaque et lorsque cela se produit, les coûts financiers peuvent être élevés.

Avant de vous assister dans le choix de votre assurance, nous analysons votre portefeuille d’assurances existant afin de déterminer les risques déjà couverts par d’autres contrats tels votre assurance en responsabilité civile professionnelle (RCP), l'assurance en responsabilité des mandataires sociaux et cadres supérieurs (D&O), celle de vos biens ( Pertes d’exploitation,…). Cela nous permet de négocier la meilleure solution pour votre entreprise tant en terme de couverture que de primes d’assurance.

Parrallèlement, nous vous assistons sur le plan juridique dans l'examen et la rédaction de clauses contractuelles. Un exemple est le contrat de traitement de données, une assurance qui couvre les revendications d’autres parties. Concordia fournit également des clauses sur mesure permettant de limiter tant le montant que les fondements sur base desquels votre responsabilité civile pourrait être engagée.

L’analyse du portefeuille d'assurance et nos services juridiques, permettent de se faire une idée des risques résiduelles que vous pourriez vouloir assurer.
Concordia recourt à trois principaux types d'assurance Cyber; tous axés sur des domaines différents.

Les risques de responsabilité

Le premier type se concentre sur vos responsabilités. Si vous craigniez d’avoir à faire face à des revendications de tiers suite à une cyberattaque, il s’agit pour vous de l’assurance adéquate. Ce type d'assurance peut, par exemple, intervenir en cas de données perdues ou endommagées et d’atteinte à des informations sensibles. Lorsqu'une entreprise est piratée, les données de son client peuvent devenir publiques et entrainer de multiples poursuites judiciaires. C'est pourquoi une assurance de responsabilité se doit d’être conçue sur mesure. L'assureur fondera son opinion sur de multiples facteurs tels que:

  • L'usage et le volume des données

  • ​Une analyse des documents contractuels dont, par exemple, ceux des fournisseurs

  • Le volume possible d'exposition au risque

A l’issue de cette analyse, l'assureur pourra vous conseiller les montants et les franchises appropriés.

Dommages aux biens

Le deuxième type d’assurance concerne principalement vos propres dommages. Lorsque vous êtes piraté, votre système peut être en indisponible pendant un certain laps de temps, ce qui vous fait perdre des opportunités commerciales. C'est le rôle de la garantie ‘l'interruption d’'activité’ de compenser la baisse de votre chiffre d’affaires. Une consultation des diverses polices disponibles sur le marché de l’assurance nous a permis de constater que certains contrats ne couvraient pas la totalité des pertes d’exploitations (BI). Ces assureurs assurent uniquement les frais d’exploitation et non le bénéfice brut. La grande différence réside dans la ‘déduction de tous les coûts liés à l'entreprise’, par opposition à la seule déduction des coûts variables. Ces coûts variables doivent être calculées annuellement. Un bon courtier garde à l’esprit les spécificités de votre secteur et de votre profil afin de vous recommander la bonne assurance cyber.

Par exemple, Concordia garde à l’esprit le secteur du client afin d’inclure le risque de perte matérielle (un concept controversé de l'assurance Cyber). Chaque entreprise a besoin d'un type d'assurance qui lui est propre à cet égard. Si votre entreprise possède un site de production, vous pouvez être victime d’une perte (temporaire) de marchandises suite à la manipulation du système informatique gérant le stock et les livraisons. La valeur des biens est primordiale dans ce conflit avec les assureurs. C'est pourquoi il est important d'avoir une solution sur mesure.

Récemment, l'un des clients de Concordia, spécialisée dans les services de ressources humaines, de sécurité sociale et de paie des salaires, a subi un sérieux sinistre lié à l’interruptions de ses activités. Leur fournisseur exécutait la maintenance du réseau quand il y eu un blocage de l'ensemble du système du faite d’une cyberattaque. Le logiciel de l'entreprise n’a plus été accessible pendant quatre jours pour tant en interne que pour leurs clients. En raison de ce blocage, il a subi un important préjudice lié à cette interruption d'activité. En tant que client, il était assuré contre les cyberattaques avec une couverture complète. Concordia a pu les assister lors de leurs revendications auprès des assureurs car il bénéficiait de la bonne formule d’assurance, qu’il s’agisse de la portée de la garantie des montants assurés.

Fraude de PDG

Le dernier type d’assurance traite principalement de la fraude dite des PDG, plus connue sous le nom de phishing. Les criminels se font passer pour un membre de l'entreprise et font payer son client sur un compte bancaire frauduleux. La fraude du PDG est répandue, 33% des entreprises ont été confrontées à ce type de fraude au cours des deux dernières années.

Source PwC

Ces criminels sont de plus en plus habiles pour s’emparer de manière indétectable d’une identité, par exemple, de celle d’un fournisseur ou de votre directeur financier. Leur objectif: faire en sorte que votre entreprise paie d'importantes sommes d'argent en menaçant le bon exercice vos tâches quotidiennes.

L'année dernière, une association de courtiers et agents immobiliers à été la proie d’un piratage de courriel. La société avait fait affaire avec un client qui souhaitait vendre une maison. L’acheteur devait payer un acompte et la société a donc envoyé un courrier électronique avec les détails du compte bancaire à utiliser. Les pirates ont intercepté ce courrier et modifié les détails du compte bancaire. En conséquence, le client a déposé l’argent sur un compte frauduleux et le propriétaire de la maison n’a jamais vu la couleur de l’argent. Le client de la société a subi des dommages potentiels et des pertes financières. La société elle-même a du procéder à un audit complet pour déterminer les dommages causés à son système et pour intercepter d’autres courriers électroniques frauduleux. En outre, l'entreprise a du exposer des coûts en urgence pour informer ses clients de ce piratage.

Les cyberattaques augmentent, que ce soit aux États-Unis ou en Europe. Chaque entreprise se doit de prendre les mesures appropriées pour prévenir d'éventuelles cyberattaques. L'audit de l'entreprise, l’adoption de mesures de prévention et la mise en place d'une stratégie de suivi sont des étapes nécessaires pour réduire le risque de piratage. Souscrire une assurance Cyber ne couvre pas seulement les pertes financières, mais constitue également une forme de gestion des risques. La solution idéale est toujours celle qui combine le savoir-faire d'un courtier d'assurance spécialisé et du service informatique.
 

Avez-vous besoin support pour rendre votre organisation étanche à toute cyberattaque? Contactez-nous aujourd'hui. Appuyez-vous sur notre expertise et notre service de qualité pour trouver la solution idéale et sur mesure en collaboration avec votre département informatique.

 

Partagez l'article

Contactez-nous

Notre équipe est toujours prête à vous écouter, à répondre à vos besoins et ambitions. Contactez-nous dés aujourd'hui. Nous sommes ravis de vous aider !