Étape 1. Déterminez si une cyberassurance est réellement nécessaire
Réfléchir à une cyberassurance implique avant tout de vous demander si votre entreprise peut tirer profit dune telle couverture. Ou, en dautres termes, votre entreprise est-elle fortement dépendante de ses activités numériques ? Seriez-vous en mesure de continuer si, demain, on débranchait la « prise de courant » de votre infrastructure numérique ? En se posant cette question, de nombreuses entreprises découvrent quelles seraient rapidement à larrêt si cela venait à se produire. Pendant un moment, on peut encore faire de larchivage, passer quelques appels, mais très vite, il devient clair quavec la plateforme numérique, cest lune des artères principales de lactivité qui a été coupée. « Plus quune question de oui ou de non, cette première étape sert avant tout à ouvrir les yeux », souligne Tom Van Britsom. « Voyez cela comme une incitation à réfléchir davantage à la structure de vos services numériques et aux flux dapprovisionnement importants. »Étape 2. Souscrivez lassurance le plus tôt possible
Une entreprise commence souvent à envisager de souscrire une cyberassurance après avoir subi un premier sinistre ou lors dun examen approfondi de son profil de risque. « En analysant la situation dans son ensemble, une entreprise identifie la maintenance et les mises à jour réellement nécessaires », explique Tom Van Britsom. « Toutefois, lors dun tel processus, la question de la cyberassurance est souvent la dernière étape, et cest une erreur. À titre de comparaison : cest comme si vous fermiez la porte de votre maison tous les jours, laissiez les volets baissés, entreteniez votre logis correctement, etc. mais attendiez le dernier moment – lorsquun incendie se produit – pour commencer à penser à lassurance incendie. » Tom Van Britsom souligne limportance pour les entreprises de faire leurs « devoirs numériques », mais ajoute que ces devoirs ne doivent pas les empêcher de souscrire une cyberassurance. Pas même si ceux-ci permettent, au bout du compte, daméliorer le profil de risque et donc de réduire la prime ? « Ce processus peut facilement prendre un an ou plus », estime Tom Van Britsom. « Reporter une décision importante comme la souscription dune assurance jusquà ce que la situation soit idéale nest pas une bonne idée. De toute façon, votre organisation se sera lancée dans un mécanisme damélioration permanente. Et, après un an, elle devra faire face à de nouveaux défis numériques. »Étape 3. Soyez transparent sur la situation à assurer
Si vous constatez la nécessité dune cyberassurance, il est important de décrire immédiatement la situation à assurer de manière très transparente. Donnez une image fidèle de votre entreprise, de ses processus informatiques et de sa dépendance numérique vis-à-vis de ses fournisseurs et de ses clients. « Il faut impérativement en discuter avec le courtier et lassureur », déclare Tom Van Britsom. « Votre secteur dactivité, la physionomie de votre infrastructure informatique, votre site web… ces éléments doivent être clairs lors de la souscription du risque à assurer. Grâce à ces informations, nous pouvons, en tant que consultants en matière de risques, mettre en évidence les points de préoccupation et les risques potentiels. »Étape 4. Comparez les devis (et pas seulement le prix).
Une dizaine de cyberassureurs sont actifs sur le marché belge et chacun a ses propres conditions, son appétit au risque, son expérience et sa politique de souscription. Certains se concentrent sur les grandes entreprises, dautres sur les PME. Certains peuvent cibler des secteurs spécifiques et refuser des assurances dans dautres. Pour bien évaluer loffre, il est important de demander des devis en fonction de votre profil et de les comparer. « Ne vous basez pas uniquement sur le prix, mais prêtez également attention à la qualité et à lexpérience de lassureur et du courtier », conseille Tom Van Britsom. « En tant que courtier et consultant en risques, nous aidons à analyser correctement certains facteurs : depuis combien de temps un assureur est-il actif sur le marché, comment évalue-t-il le risque et comment fonctionne la gestion des sinistres ? Ces facteurs sont également importants lors de lexamen des propositions. « Un exemple concret est le service dassistance téléphonique quun assureur associe à sa police dassurance. Il est important dexaminer son fonctionnement, le niveau de formation des experts et lexpérience (nombre de sinistres) de lassureur. « Cette expérience nest pas seulement utile pour aider une entreprise immédiatement lorsque le sinistre survient, mais elle est également importante pour le règlement financier et lévaluation de la cause exacte du problème », précise Tom Van Britsom.Étape 5. Quelles garanties dois-je souscrire ?
Une cyberassurance se compose de plusieurs garanties et, en pratique, les entreprises les souscrivent souvent toutes. Ne serait-il pas plus logique de supprimer les garanties qui nont aucune incidence sur votre activité et de réduire ainsi la prime ? « Cela semble logique, mais ça ne fonctionne pas comme ça », affirme Tom Van Britsom. « Chaque mesure de protection a une certaine pondération en fonction du risque. Si vous ne disposez pas dune plateforme de paiement en ligne, lassureur naccordera pas beaucoup de poids à la garantie correspondante. Par conséquent, cette garantie ne pèsera pas lourd dans la tarification. En dautres termes, il ny a guère dintérêt à exclure ces garanties. » Tom Van Britsom souligne en revanche lattention accrue que les entreprises accordent à la fraude par ingénierie sociale, comme la fraude aux factures ou aux CEO. De plus en plus de propriétaires dentreprises veulent sassurer pleinement contre ce risque. « Si cette fraude a lieu sans quil y ait dintrusion dans le système, par exemple par le biais de faux e-mails, elle relève de la couverture de la fraude. Nous constatons que les clients souscrivent souvent une police dassurance contre la fraude distincte à cet effet. »Étape 6. Comment déterminer le capital assuré ?
Lune des étapes les plus complexes sur la voie dune cyberassurance idéale pour votre entreprise consiste à déterminer le capital que vous allez inclure dans la couverture dassurance. Ce nest pas une estimation évidente, mais Tom Van Britsom a une règle dor claire. « Demandez-vous combien de capital est nécessaire pour reprendre lactivité si votre entreprise est mise à larrêt par un piratage », conseille-t-il. « Combien de temps faudra-t-il pour remettre en place linfrastructure informatique et reprendre le travail ? Voilà un bon élément de mesure pour estimer la perte de revenus afin de déterminer le total assuré. » En outre, la quantité de données gérées par lentreprise et la question des rançongiciels influencent également cette estimation, même si, bien sûr, on peut difficilement deviner à lavance le montant des rançons demandées.Étape 7. Communiquez en interne
Une fois que la cyberassurance entre en vigueur, il est important que le gestionnaire des risques et le département IT ne soient pas les seuls à en avoir connaissance. Informez vos collaborateurs de lexistence de cette couverture, expliquez-leur à quoi ressemble la procédure à suivre en cas dincident et associez cela à des données concrètes : la ligne dassistance, les motifs pour lesquels la contacter, les données nécessaires à cet effet, etc. « Le CFO qui souscrit lassurance nest souvent pas la personne que les travailleurs doivent contacter en premier en cas de sinistre », explique Tom Van Britsom. « Communiquez la procédure très clairement, afin quil ny ait aucun doute si un incident se produit. Dans lidéal, un tel plan existe déjà et la cyberassurance en est lélément final. Mais lassurance peut aussi être le facteur motivant lélaboration dun bon scénario. »Étape 8. Tenez votre assurance à jour
Un rachat, une forte croissance ou dautres évolutions peuvent radicalement changer la donne en matière dassurance après un certain temps. Si le chiffre daffaires dune entreprise augmente, par exemple, il peut être nécessaire dassurer davantage de capital. En cas douverture dun nouveau site, il est important détendre la communication sur la cyberassurance. « Le courtier a lui aussi un rôle à jouer à cet égard », déclare Tom Van Britsom. « Nous interrogeons continuellement nos clients à ce sujet et négocions avec les assureurs sur cette base. La cyberassurance nécessite un important travail de mise à jour. »Étape 9. Impliquez aussi les fournisseurs
Pour une entreprise qui travaille de manière numérique, il est logique dinclure les clients et les fournisseurs dans le processus de numérisation. La garantie dune bonne santé numérique va en effet de pair avec la mesure dans laquelle vos fournisseurs, en particulier, peuvent assurer la cybersécurité. « Effectivement », commente Tom Van Britsom. « Votre organisation a beau être parfaitement protégée, si votre fournisseur ne lest pas, vous êtes aussi faible que lui. Les entreprises peuvent introduire laspect cybersécurité dans leurs contrats, en demandant par exemple aux fournisseurs de souscrire eux-mêmes une assurance. Il arrive de plus en plus souvent que les contrats exigent la continuité nécessaire, par le biais de plans de sauvegarde et dune cyberassurance. »