Dutch version below
La météo cyber-criminelle
La réunion de la Cyber Security Coalition du 19 septembre à la Maison de l’Assurance, déjà évoquée dans le précédent numéro d’Assurinfo, a été l’occasion de rappeler chiffres à l’appui que la Belgique est sans doute proportionnellement le pays le plus touché par les attaques cyber-criminelles visant tant les citoyens que les entreprises. Elle donne les conclusions suivantes.
Pour les entreprises, la prise de conscience nécessaire doit s’accompagner d’une analyse globale du risque devant conduire à des mesures de prévention et à la révision des procédures mises en place pour encore davantage protéger les informations détenues par celle-ci. Il importe aussi pour ces entreprises de pouvoir installer les mesures nécessaires et conservatoires pour gérer l’éventuelle perte d’accessibilité ou la disparition des données détenues. C’est typiquement le « crisis-management plan », qui doit impérativement être pensé et rendu opérationnel avant même la survenance de l’évènement.
L’information sous toutes ses formes est en effet, à la fois une des richesses et un des principaux facteurs de vulnérabilité pour l’entreprise.
En outre, la protection de l’information s’inscrit dans un contexte global visant à garantir la protection des données personnelles et dont une des manifestations les plus récentes est l’entrée en vigueur du GDPR (General Data Protection Regulation).
Et la solution d’assurance ?
Elle n’est pas la solution miracle car elle n’intervient que pour couvrir le risque résiduel, c’est-à-dire, celui qui subsiste malgré la mise en place de mesures de prévention et de sécurité raisonnables. En outre, les assureurs se voient comme un complément à ces mesures et ne veulent en aucun cas s’y substituer. Leur appétit de souscription déclinera voire sera nul si une société n’a rien mis en œuvre du tout …
Les entreprises d’assurances en Europe ne disposent actuellement, ni de recul par rapport au phénomène ni d’antécédents suffisants sur lequels baser le calcul de la prime technique.
Des couvertures d’assurances pour couvrir ce type de risque existent toutefois sur le marché belge depuis plusieurs années.
Elles peuvent prendre deux formes :
- la première consiste à étendre les couvertures existantes exposées à un incident cyber (volets Responsabilité, volet perte d’exploitation,…) sous la forme d’un avenant aux contrats existants.
- la seconde consiste à proposer une couverture « stand alone » spécifique qui prévoit une indemnisation pour les conséquences pécuniaires liées à un incident cyber. A noter que par incident cyber sont visés tant les attaques ou actes malveillants, que les événements accidentels, y compris les erreurs humaines.
Laquelle privilégier ?
C’est sans doute du cas par cas en fonction par exemple, d’une prime qui doit rester supportable pour l’entreprise mais aussi de l’appétit des entreprises d’assurances et par ailleurs du niveau de franchise proposé.
La tendance du marché va néanmoins vers une approche sur la base de polices cyber dédiées. En effet, les réassureurs et les régulateurs incitent vivement les entreprises d’assurance à mieux maîtriser l’accumulation de leur exposition au travers des diverses lignes d’assurance qui couvrent parfois le risque cyber de façon silencieuse ou implicite. Concrètement, cela signifie que les assureurs commencent à couvrir le risque cyber par avenant, mais en restant dans les limites de ces polices traditionnelles et avec pour conséquence que certains impacts propres au risque cyber ne sont au final pas couverts.
La plupart des grandes et moyennes entreprises situées en Belgique disposent déjà de solutions d’assurance, contrairement aux petites qui constituent une grande partie du tissu entrepreneurial belge.
Stand van zaken cybercriminaliteit
De bijeenkomst van de Cyber Security Coalition van 19 september in het Huis van Verzekering die in het vorige Assurinfo al aan bod is gekomen, was de gelegenheid om met cijfers aan te tonen dat België ongetwijfeld een van de meest geviseerde landen is voor cyberaanvallen die zowel bedrijven als particulieren treffen. Uit die vergadering vallen volgende lessen te trekken.
Voor de bedrijven moet deze bewustwording gepaard gaan met een globale risicoanalyse die moet leiden tot preventiemaatregelen en tot de herziening van de procedures die zijn ingevoerd om de informatie die zij bezitten nog beter te beschermen. Het is ook belangrijk dat die bedrijven de nodige en bewarende maatregelen kunnen treffen om het eventuele verlies van toegang tot of het verdwijnen van gegevens te beheren. Dat zijn de grote lijnen van een ‘crisismanagementplan’ dat absoluut moet worden uitgewerkt en operationeel moet worden gemaakt nog voor de gebeurtenis zich voordoet.
Informatie in al haar vormen maakt de onderneming immers niet alleen rijker, maar ook kwetsbaarder.
Bovendien kadert de bescherming van informatie ook in een globale context die de bescherming van persoonsgegevens wil garanderen en waarvan een van de meest recente uitingen de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR) is.
Kan een verzekering hiervoor een oplossing bieden?
Een verzekering is geen wondermiddel, want ze dekt alleen het residuele risico, het risico dat blijft bestaan ondanks de invoering van redelijke preventie- en veiligheidsmaatregelen. Bovendien beschouwen de verzekeraars de verzekering als een aanvulling op die maatregelen en willen ze die in geen geval vervangen. Ze zullen minder of zelfs helemaal niet geneigd zijn tot onderschrijving als een bedrijf helemaal niets heeft ondernomen …
De verzekeringsondernemingen in Europa beschikken momenteel noch over voldoende informatie over het fenomeen, noch over voldoende schadehistoriek om de berekening van de technische premie op te baseren.
Op de Belgische markt bestaan er echter al verschillende jaren verzekeringen die dit soort risico’s dekken.
Ze kunnen twee vormen aannemen:
- De eerste bestaat erin de bestaande dekkingen waarop een cyberincident een invloed heeft (luiken aansprakelijkheid, luik bedrijfsschade …) uit te breiden in de vorm van een bijvoegsel bij de bestaande contracten.
- De tweede bestaat erin een specifieke ‘standalone’-dekking voor te stellen die in een vergoeding voorziet voor geldelijke gevolgen verbonden aan een cyberincident. Een cyberincident kan een aanval of kwaadwillige handeling zijn, maar ook een toevallige gebeurtenis, met inbegrip van menselijke fouten.
Welke van de twee kiezen?
Dat moet ongetwijfeld geval per geval bekeken worden, bijvoorbeeld in functie van een premie die draaglijk moet blijven voor de onderneming, maar ook van het aanbod van de verzekeringsondernemingen en bovendien ook van het voorgestelde franchiseniveau.
De markttendens gaat echter in de richting van een benadering op basis van specifieke cyberpolissen. De herverzekeraars en de toezichthouders sporen de verzekeringsondernemingen sterk aan om de accumulatie van hun risico’s beter te beheersen via de verschillende verzekeringslijnen die het cyberrisico soms stilzwijgend of impliciet dekken. Concreet betekent dit dat de verzekeraars het cyberrisico beginnen te dekken via bijvoegsels bij contracten, maar binnen de grenzen van deze traditionele polissen, met als gevolg dat bepaalde gevolgen eigen aan het cyberrisico uiteindelijk niet gedekt zijn.
Grote en middelgrote ondernemingen in België beschikken doorgaans al over verzekeringsoplossingen. Dat is veel minder het geval bij kleine ondernemingen, die een groot deel van het Belgische ondernemerslandschap vormen.