Comment les entreprises peuvent-elles se couvrir contre les risques et les conséquences d’actes de piratage informatique, de pertes de données, d’hameçonnages et autres rançonnages?
Les assurances permettent-elles de se donner quelque chance de survie après qu’une infrastructure IT ait été mise en péril ou rendue inopérationnelle, après qu’un dommage profond était été occasionné à la réputation d’une entreprise?
Les piratages informatiques, on le sait, peuvent avoir des conséquences énormes sur la capacité d’une entreprise à poursuivre ses activités, sur sa rentabilité, son image… Et aucune société, quelle que soit sa taille ou son secteur d’activités, n’est à l’abri.
Faut-il encore rappeler les risques encourus? Pertes financières, vol de données commerciales ou personnelles, réputation ébréchée, déception et désistement de clients, arrêt plus ou moins long des activités… ou même, amendes et sanctions des autorités si la société est prise en défaut de “légèreté” par rapport à ses obligations de sécurisation…
Jusqu’à quel point les risques peuvent-ils être couverts par une assurance?
Quelle couverture?
Lors d’une séance récente d’information sur les risques et recours possibles en matière de cybersécurité, Benoît Tellier, directeur de l’agence namuroise de la société de courtage en assurances Alliance-Bokiau, énumérait les risques et conséquences de cyber-attaques qu’une assurance peut couvrir:
– les conseils (juridiques ou informatiques) consécutifs à une attaque ainsi que les mesures d’urgence devant être prise pour y remédier
– les frais de restauration des données
– les actions de protection de la réputation
– les frais de surveillance de l’infrastructure
– les frais de notification d’incidents
– les frais de défense en cas d’enquête administrative…
“Au-delà de ces éléments concrets, un vrai contrat couvrira également la mise à disposition d’un négociateur qui pourra par exemple “discuter” avec le hacker en cas de demande de rançon pour des fichiers ou serveurs bloqués et pris en otage. L’assureur évaluera la demande de rançon. Même s’il est toujours déconseillé de payer un racketeur, l’assureur pourra payer s’il estime que la hauteur de la rançon demandée est moins onéreuse qu’une remise en ordre…
Le contrat portera aussi sur l’apport de conseils juridiques, sur la manière de communiquer, de défendre son image si on a été victime et qu’il y a enquête officielle…
Les amendes administratives sont également assurables. “Et l’assurance vous défendra en responsabilité civile, même en cas de vol de données.”
“Certains assureurs acceptent également de couvrir les attaques de type fraude ou d’arnaque au président”, ajoute encore Benoît Tellier. Petite incise: l’“arnaque au président” porte, en anglais, le nom de BEC – pour business e-mail compromise -, une technique qui, toutefois, prend aujourd’hui d’autres formes que de faux courriels, allant jusqu’à des appels téléphoniques frauduleux facilités par les potentiels des “deep fakes” !
Conditions d’éligibilité
A quel point est-il facile pour une société de contracter une assurance cyber-criminalité? “Cela dépendra du type d’entreprise”, déclare Benoît Tellier. “Pour une simple PME réalisant un chiffre d’affaires inférieur à cinq millions d’euros, la procédure est aussi simple que pour une RC familiale, avec possibilité de faire couvrir la quasi-totalité des risques.
Les choses se compliquent un peu pour des activités plus commerciales. Il y aura analyse de la situation et questionnaire à remplir – un questionnaire rédigé généralement par des sociétés IT, partenaires de la compagnie d’assurance. Suivra un entretien avec un expert spécialisé en assurances. Le contrat sera alors sans doute rédigé à la carte…”
Benoît Tellier (Alliance-Bokiau): “Gare aux assurances qui vous vendent du vide. Certaines ont pourtant pignon sur rue….”
Les compagnies d’assurance qui proposent des couvertures contre les risques de cybersécurité ne se bousculent pas encore forcément au portillon. “Les plus efficaces restent des compagnies américaines”, indique Benoît Tellier. “Et gare aux assurances qui vous vendent en fait du vide. Certaines ont pourtant pignon sur rue. Seulement 4 ou 5 sont réellement sérieuses. Les autres vous proposent un chat dans un sac…”
Autant dès lors prendre ses précautions, s’informer et comparer. Par contre, entre compagnies “sérieuses”, le périmètre de risques couverts est sensiblement similaire et les contrats se valent généralement. “Un contrat britannique ressemblera beaucoup à un contrat belge, avec simplement quelques adaptations locales”.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.