Article écrit par Benoît Montens, Conseiller antifraude – productivité chez Assuralia, et publié le 3 octobre 2019 dans le Assurinfo N° 32.

La réunion de la Cyber Security Coalition du 19 septembre à la Maison de l’Assurance, déjà évoquée dans le précédent numéro d’Assurinfo, a été l’occasion de rappeler chiffres à l’appui que la Belgique est sans doute proportionnellement le pays le plus touché par les attaques cyber-criminelles visant tant les citoyens que les entreprises. Elle donne les conclusions suivantes.

Pour les entreprises, la prise de conscience nécessaire doit s’accompagner d’une analyse globale du risque devant conduire à des mesures de prévention et à la révision des procédures mises en place pour encore davantage protéger les informations détenues par celle-ci. Il importe aussi pour ces entreprises de pouvoir installer les mesures nécessaires et conservatoires pour gérer l’éventuelle perte d’accessibilité ou la disparition des données détenues. C’est typiquement le « crisis-management plan », qui doit impérativement être pensé et rendu opérationnel avant même la survenance de l’évènement.

L’information sous toutes ses formes est en effet, à la fois une des richesses et un des principaux facteurs de vulnérabilité pour l’entreprise.

En outre, la protection de l’information s’inscrit dans un contexte global visant à garantir la protection des données personnelles et dont une des manifestations les plus récentes est l’entrée en vigueur du GDPR (General Data Protection Regulation).

Et la solution d’assurance ?

Elle n’est pas la solution miracle car elle n’intervient que pour couvrir le risque résiduel, c’est-à-dire, celui qui subsiste malgré la mise en place de mesures de prévention et de sécurité raisonnables. En outre, les assureurs se voient comme un complément à ces mesures et ne veulent en aucun cas s’y substituer. Leur appétit de souscription déclinera voire sera nul si une société n’a rien mis en œuvre du tout …

Les entreprises d’assurances en Europe ne disposent actuellement, ni de recul par rapport au phénomène ni d’antécédents suffisants sur lequels baser le calcul de la prime technique.

Des couvertures d’assurances pour couvrir ce type de risque existent toutefois sur le marché belge depuis plusieurs années.

Elles peuvent prendre deux formes :

• la première consiste à étendre les couvertures existantes exposées à un incident cyber (volets Responsabilité, volet perte d’exploitation,…) sous la forme d’un avenant aux contrats existants.
• la seconde consiste à proposer une couverture « stand alone » spécifique qui prévoit une indemnisation pour les conséquences pécuniaires liées à un incident cyber. A noter que par incident cyber sont visés tant les attaques ou actes malveillants, que les événements accidentels, y compris les erreurs humaines.

Laquelle privilégier ?

C’est sans doute du cas par cas en fonction par exemple, d’une prime qui doit rester supportable pour l’entreprise mais aussi de l’appétit des entreprises d’assurances et par ailleurs du niveau de franchise proposé.

La tendance du marché va néanmoins vers une approche sur la base de polices cyber dédiées. En effet, les réassureurs et les régulateurs incitent vivement les entreprises d’assurance à mieux maîtriser l’accumulation de leur exposition au travers des diverses lignes d’assurance qui couvrent parfois le risque cyber de façon silencieuse ou implicite. Concrètement, cela signifie que les assureurs commencent à couvrir le risque cyber par avenant, mais en restant dans les limites de ces polices traditionnelles et avec pour conséquence que certains impacts propres au risque cyber ne sont au final pas couverts.

La plupart des grandes et moyennes entreprises situées en Belgique disposent déjà de solutions d’assurance, contrairement aux petites qui constituent une grande partie du tissu entrepreneurial belge.

---

Partagez ce contenu avec votre réseau :

• Share on Facebook
• 
• Share on LinkedIn
• Send email