Risques de cybersécurité : tous concernés, certains ne sont pas assurés

Le risque d’incidents de cybersécurité a fortement augmenté, en partie à cause de la dématérialisation croissante des entreprises.

Les cybercriminels investissent de plus en plus cet espace numérique où les opportunités d’escroqueries se multiplient.

Parallèlement, les autorités publiques s’attachent à cette question en mettant en place des législations incitant les acteurs publics et privés à doter d’outils pour lutter contre les cybermenaces. L’Union européenne a initié des actions législatives, notamment la directive NIS2, qui a été transposée dans plusieurs législations nationales. Cette directive met en lumière ces nouveaux risques et impose des mesures préventives.

Tom Van Britsom, expert en assurances cyber et sécurité chez Van Breda – Risk & Benefits, présente les activités de son entreprise, active dans l’assurance des risques cyber depuis 2010. Il a géré plus de 300 cas d’incidents cyber, incluant des piratages et du phishing :

« En 2024, pour 72% des assurés, les dommages sont restés limités (inférieurs à 20.000 €). Pour 12%, les montants étaient compris entre 20.000 € et 100.000 €. Pour 12%, ils étaient entre 100.000 € et 1.000.000 €. Enfin, pour 4%, ils dépassaient 1.000.000 €. Ces chiffres concernent uniquement les cas assurés ; nous ne traitons pas ici des pertes non assurées.« 

Pour l’expert, une assurance cyber repose généralement sur trois piliers.

• Le premier pilier est l’assistance. Celle qui intervient immédiatement lors d’un incident cyber pour rétablir la situation le plus rapidement possible, par exemple en récupérant des données ou en négociant avec les criminels demandant une rançon. […]
• Le deuxième pilier concerne tous les dommages que le client a causés lui-même. Cela inclut la couverture d’une interruption d’activité. Prenons une entreprise de production de fromage ou de chocolat, pendant la période où la production est suspendue. On va calculer les pertes consignées pendant cette période d’inactivité forcée.
• Le troisième pilier concerne les revendications de tiers : il s’agit de la prise en charge des demandes en responsabilité formulées par des clients ou des particuliers suite à l’incident.

La diversité des entreprises susceptibles d’être touchées par la cybercriminalité est telle qu’une approche personnalisée de l’assurance est cruciale. Cependant, notre expert met en avant cinq critères à surveiller pour évaluer le risque et le montant de la prime :

• l’authentification multi-facteurs,
• la stratégie et la fréquence des sauvegardes (backups) ainsi que leur rapidité de restauration,
• la sécurité des terminaux (PC, ordinateurs portables, smartphones),
• la gestion des vulnérabilités et le suivi/scannage IT,
• ainsi que la formation du personnel.

« Nous observons que 90% des incidents proviennent d’erreurs humaines (clic sur un lien de phishing, erreurs de manipulation, etc.)« .

Tous ces éléments feront l’objet d’une évaluation qui donnera à l’assureur une idée claire du risque à couvrir.

En ce qui concerne le prix : « Pour une entreprise réalisant 100 millions de chiffre d’affaires, il est possible de proposer une couverture correcte avec une prime raisonnable (ex. 10.000 €) : avec ce montant, on peut garantir quasiment tous les coûts d’un incident cyber ».

De plus, une réévaluation des procédures de sécurité peut mener, après amélioration, à une réduction des montants des primes.

Penser que les cybercriminels ne s’en prendraient qu’aux grandes entreprises est, selon les spécialistes, une erreur. Chaque entreprise ayant des adresses e-mail pour ses employés constitue une porte d’entrée potentielle pour les criminels.

La question n’est pas de savoir si l’on sera confronté à un risque cyber, mais quand on le sera.

Ertu Musoglu, adjoint au responsable du risque cybernétique et de la sécurité chez HeadMind Partners

D’après Ertu Musoglu, ceux qui travaillent dans les PME et chez les indépendants sont souvent moins informés des bonnes pratiques de cybersécurité.

« Par exemple, les bonnes pratiques incluent le fait d’avoir un mot de passe particulièrement sécurisé. Éviter d’utiliser son nom, prénom ou une date d’anniversaire, et ne pas écrire son mot de passe sur un post-it collé sous l’ordinateur. Vous n’imaginez pas combien de personnes continuent de faire ça« .

Octobre est devenu le mois de la cybersécurité. À cette occasion, le Service Public Fédéral Économie a lancé une campagne de sensibilisation destinée aux entreprises, en particulier aux PME. Il a chargé HeadMind Partners d’organiser des ateliers de formation et des modules gratuits pour permettre aux employés de la fonction publique de découvrir les règles de base de la cybersécurité.

Pour Ertu Musoglu, l’objectif est de sensibiliser mais aussi de réaliser un diagnostic précis : « Ces ateliers encouragent la participation active et enseignent les bases de la cybersécurité. Comment réagir face à un ransomware ? Quelles sont les bonnes pratiques ? Nous proposons également des programmes via notre site web cyber4sme.be pour évaluer la situation en matière de protection IT de l’entreprise.« 

Pour les PME et les autoentrepreneurs, une démarche plus approfondie est envisageable. En ce qui concerne la recherche de solutions après la découverte de potentielles failles : « Nous disposons d’un chatbot sur notre site qui pose une série de questions permettant d’établir un état des lieux du niveau de sécurité de l’entreprise, de la PME ou de l’indépendant. De plus, nous offrons un entretien d’une heure avec un de nos consultants pour aller au-delà de cet état des lieux et éventuellement proposer des solutions et une amélioration de la situation.« 

La cybersécurité concerne donc tout le monde, des plus petites entités aux plus grandes. Avec la numérisation croissante de toutes les interactions sociales, tous les aspects de l’activité humaine ont désormais leur équivalent numérique. Cela est vrai pour les affaires, mais aussi pour la criminalité.