Une cyberétude de Vanbreda révèle une augmentation de près de deux tiers du nombre d’entreprises touchées en 2024 par rapport à l’année précédente
Bien que trois quarts des sinistres n’aient pas excédé 20 000 euros, 4 % des entreprises ont dû faire face à des dommages de plus d’un million d’euros. Pourtant, bon nombre d’entreprises de notre pays continuent de sous-estimer les risques. Les nouvelles directives européennes* visant à renforcer la résistance des entreprises aux cyberattaques devraient faire évoluer les choses en 2025.
Cyber resized
À l’heure actuelle, une entreprise court bien plus de risques d’être victime d’une cyberattaque que d’une intrusion physique ou d’un incendie. La cybercriminalité se classe ainsi parmi les principaux risques systémiques pour les assureurs, aux côtés du changement climatique et des conflits géopolitiques. Les entreprises belges en prennent de plus en plus conscience : l’an dernier, tous les deux jours ouvrables, une nouvelle entreprise s’assurait contre les cyberdommages.
Le phishing, le hacking et le risque « single supplier »
Le phishing et le hacking restent les deux principaux risques. Neuf cybersinistres sur dix sont causés par une erreur humaine. C’est ce qui ressort d’une analyse réalisée par Vanbreda Risk & Benefits. Au cours des dix dernières années, le premier courtier en assurances de Belgique, dont le portefeuille est représentatif du marché, a traité plus de 300 dossiers de cybersinistres. Un nombre qui ne fait qu’augmenter au fil des ans. 2024 fait figure d’exception, avec une énorme augmentation (+64 % par rapport à 2023) du nombre de sinistres, ce qui correspond à un incident par semaine en moyenne.
D’ailleurs, les incidents qui surviennent chez les fournisseurs peuvent aussi impacter sérieusement le fonctionnement d’une entreprise. Ainsi, l’an dernier, une mise à jour logicielle erronée du géant de la cybersécurité CrowdStrike a provoqué l’une des plus grandes pannes informatiques de ces dernières années, ce qui illustre l’importance de rester vigilant face au risque de « single supplier », c’est-à-dire la vulnérabilité des entreprises qui dépendent trop d’un unique fournisseur.
« Pour les cybercriminels du monde entier, les méthodes telles que le phishing et le hacking restent les plus aisées pour atteindre leur but. 16 % des entreprises touchées ont dû faire face à des dommages de plus de 100 000 euros et pour 4 % d’entre elles, ceux-ci se sont même comptés en millions en raison de l’arrêt des activités de l’entreprise. 75 % des sinistres se sont toutefois limités à 20 000 euros, au cours de l’année écoulée, notamment grâce aux interventions rapides de la Cyber Response Team, comprises dans la cyberpolice. Après une attaque, nous mettons directement les entreprises en contact avec nos partenaires pour gérer les aspects légaux, de communication et informatiques en vue de limiter les dommages. Par ailleurs, nous misons sur la prévention en organisant des ateliers, en aidant les entreprises à mettre au point leurs plans de continuité et d’incident, et en réalisant des tests de phishing. Ainsi, l’année dernière, nous avons envoyé pas moins de 130 000 mails de test de phishing pour entraîner les collaborateurs et réduire les cyberrisques. », Tom Van Britsom, cyberexpert chez Vanbreda Risk & Benefits.
Tous les deux jours ouvrables, une nouvelle entreprise souscrit une cyberpolice
L’an dernier, le courtier en assurances a conclu une nouvelle cyberpolice tous les deux jours ouvrables (+16,5 %), son portefeuille total s’élevant à 17,1 millions d’euros de primes assurées en Cyber. Cela correspond à une augmentation de quelque 10 % par rapport à 2023. Bien que le nombre de polices augmente fortement, les primes ne présentent pas une hausse proportionnelle. Selon Vanbreda, la cause est à chercher dans un premier assouplissement du marché : un équilibre s’installe entre la prime perçue annuellement par les assureurs et les dommages qu’ils indemnisent dans le cadre des incidents.
« Les cyberattaques étant plus fréquentes, les entreprises demandent spontanément à souscrire des cyberpolices, généralement après avoir subi un sinistre, y avoir échappé de justesse, ou avoir assisté à un sinistre au sein d’une entreprise connue ou dans leur région. De nombreuses entreprises n’ont néanmoins toujours pas conscience des risques potentiels à l’heure actuelle. On constate d’importantes différences entre les secteurs. Certains secteurs dans l’environnement B2B, tels que le transport ou la production, se sentent moins visés par les cybercriminels ou pensent pouvoir faire face seuls à la perte financière qui découlerait d’un sinistre. Pourtant, il y a déjà eu suffisamment de cas, dans le monde entier, d’entreprises de transport victimes d’une cyberattaque qui ne pouvaient plus livrer de denrées alimentaires aux supermarchés ou ont constaté, par exemple, que la température de leurs cellules frigorifiques avait été manipulée. Or, ce dernier cas entraîne bien souvent l’arrêt de l’entreprise, causant donc des dommages. », Tom Van Britsom, cyberexpert chez Vanbreda Risk & Benefits.
Nouvelles directives européennes relatives à la cybersécurité
Avec l’introduction de la directive NIS2, à l’automne dernier, et du règlement DORA, depuis janvier 2025, l’Union européenne contraint les entreprises à redoubler d’efforts en matière de cybersécurité. Les entreprises qui ne se conforment pas à ces exigences s’exposent à des sanctions.
Selon Vanbreda Risk & Benefits, ces obligations européennes constituent une évolution positive.
“Nous pensons que les cyberattaques vont continuer de se multiplier, car nous n’avons certainement pas encore atteint le pic en matière de cybersécurité. Par ailleurs, les cybercriminels se montreront toujours plus inventifs, surtout avec les nouvelles technologies, telles que l’intelligence artificielle. Les premiers incidents basés sur de fausses vidéos et de fausses voix destinées à tromper les collaborateurs ont été rapportés sur la scène internationale.”
