Nouvelles

Cyberassurance : filet de sécurité ou fausse assurance ?

20 octobre 2025

À l'ère numérique, la cybercriminalité fait malheureusement partie de la réalité. Une véritable cyberattaque peut avoir des conséquences considérables pour la société, les particuliers et les entreprises. Ransomware, fuites de données, pannes numériques ou sabotage, paralysie des hôpitaux ou des aéroports. Même si votre propre gestion numérique est en ordre, un cyberincident chez un partenaire peut avoir de graves répercussions sur votre propre infrastructure, avec des dommages financiers et opérationnels considérables sans oublier l’atteinte à votre réputation.

Pour vous prémunir contre ce risque, il existe ce qu'on appelle une cyberassurance. S'agit-il d'un rempart utile contre de tels risques ou une telle police donne-t-elle plutôt un faux sentiment de sécurité ? Dans cet article, nous expliquons ce qu'est une cyberassurance, ce qu'elle implique et quels incidents sont couverts ou non par une cyberassurance.

Qu'est-ce qu'une cyberassurance et que couvre-t-elle ?

Une cyberassurance couvre les dommages causés par des incidents cyber. Pour les entreprises, cette assurance couvre par exemple les frais liés à 

  • la reconstruction des systèmes informatiques,
  • l'assistance juridique et technique,
  • la communication de crise,
  • les amendes administratives (par exemple dans le cadre du RGPD et de la NIS2).

Une cyberassurance couvre les dommages directs et indirects. ‘Elle comprend trois volets : l'assistance téléphonique, les dommages propres et les dommages causés à des tiers’, explique Tom Van Britsom, cyber-expert chez le courtier en assurances et consultant en risques Vanbreda Risk & Benefits. ‘Cette assistance téléphonique peut être comparée à un service de dépannage automobile. Nous fournissons les experts qui effectuent les premières interventions nécessaires après un incident, que ce soit dans le domaine informatique, juridique ou des relations publiques. Nous vous mettons par exemple en contact avec des personnes capables de négocier le montant de la rançon demandée.’

Les ‘dommages propres’ sont souvent le prolongement de cette ligne d'assistance et concernent notamment les experts qui, après les premiers soins, s'efforcent de remettre l'entreprise sur les rails. ‘Cela peut parfois prendre quelques jours, mais cela peut aussi durer jusqu'à six mois, et ces coûts sont souvent les plus élevés. On songe ici par exemple à la reprogrammation et à la réimplémentation de certaines choses. Le temps pendant lequel votre entreprise n'est pas opérationnelle est également pris en compte. Supposons qu'une rançon soit versée lors d'une attaque par ransomware, l'assureur remboursera par exemple les bitcoins mis à disposition par le négociateur professionnel.’

‘Dans le cas d'une assurance, la compensation financière est la plus évidente. Mais cette assistance est extrêmement utile sur le plan juridique’, explique Peter Vergote, Legal Advisor chez DNS Belgium. ‘Supposons qu'à la suite d'un cyberincident, outre les dommages subis, vous receviez également diverses réclamations de la part d'entreprises qui ont subi des préjudices. L'expertise de votre assureur vous aidera à y faire face. Au moment d'un incident, vous souhaitez avant tout vous concentrer sur les questions urgentes, telles que la remise sur les rails de votre entreprise.’

Les assureurs exigent bien sûr que vous preniez vous-même les mesures nécessaires pour prévenir un cyberincident. Les détails peuvent varier, mais ces mesures impliquent généralement cinq exigences :

  • Authentification multifactorielle (MFA)
  • Sauvegardes conservées dans deux emplacements physiquement séparés
  • Détection et réponse aux incidents au niveau des terminaux (EDR) et détection et réponse gérées (MDR)
  • Gestion des vulnérabilités
  • Formation et tests de sensibilisation à la sécurité (notamment formations et tests de phishing )

Si votre entreprise ne dispose pas encore d'une authentification multifactorielle (MFA), il lui sera plus difficile de trouver un assureur. Mais Van Britsom souligne qu'il est toujours possible de s'assurer. ‘Si tout n'est pas encore en ordre, vous pouvez quand même être assuré, mais à un tarif plus élevé ou via une assurance plafonnée à un certain montant.’ Votre prime pourra être revue à la baisse lorsque vous aurez mis vos processus de sécurité en ordre.

‘Une cyberassurance est comme un médicament. Il n'empêchera pas un virus de pénétrer, mais il vous aidera à vous rétablir plus rapidement.’

Peter Vergote
Peter Vergote
Peter Vergote
Legal Advisor DNS Belgium

‘Le coût ou les efforts liés à ces précautions ne sont pas rédhibitoires pour souscrire une cyberassurance’, ajoute Vergote. ‘Elles vous aident à vous prémunir contre les pirates informatiques et vous permettent d'être prêt pour la reprise qui doit avoir lieu après un cyberincident.’ La nuance ici est que cette assurance n'empêche pas le piratage . ‘C'est comme un médicament. Il n'empêchera pas un virus de pénétrer, mais il vous aidera à vous rétablir plus rapidement.’

Malgré toutes les mesures prises, certains éléments ne sont pas couverts par une cyberassurance. Quelques nuances sont cependant à souligner. Il s'agit notamment :

  • De la guerre et du terrorisme
  • De la fraude commise par le personnel
  • De la tromperie du personnel
  • Des systèmes insuffisamment sécurisés
  • De l'atteinte à la réputation ou de la baisse des cours boursiers.

Le terrorisme est un concept large. Cela signifie-t-il qu'une cyberattaque menée par un pays hostile ou un groupe terroriste n'est jamais couverte ? ‘En règle générale, la guerre et le terrorisme sont exclus des assurances. Mais une cyberassurance couvre le cyberterrorisme. Nous avons vu des entreprises infectées par NotPetya (un logiciel malveillant qui crypte les données et qui aurait été utilisé depuis la Russie, ndlr) qui ont pu faire jouer leur police d'assurance. Même si les pirates informatiques opèrent au nom d'un État, cela n'est pas considéré comme une ‘guerre’ par l'assureur.’

Piratage du système vs piratage de votre esprit

Lorsqu'un employé commet une fraude ou cause des dommages via les systèmes de l'entreprise, cela n'est pas couvert. En cas de tromperie, la nuance réside dans la manière dont cela se produit. Si un employé clique accidentellement sur un lien de phishing permettant à un pirate informatique d'accéder aux systèmes, cela est couvert par l'assurance cyber. Il en va de même si ce même employé est convaincu de cliquer sur le lien de phishing ou de saisir ses identifiants de connexion sur une page falsifiée, permettant ainsi au pirate d'accéder aux systèmes et d'en abuser. Dans ce cas, c'est le malfaiteur lui-même qui pirate les systèmes ou effectue des paiements, ce qui constitue une utilisation malveillante et est effectivement couvert par l'assurance cyber.

Si un pirate informatique parvient à convaincre ce même employé d'effectuer un paiement, cet employé est alors victime d'une tromperie et il s'agit d'une fraude. ‘Cela revient en quelque sorte à ‘s'introduire dans votre tête’, et cela n'est pas couvert par l'assurance cyber, mais par l'assurance fraude. De même, lorsqu'un criminel se fait passer pour le PDG par mail, par téléphone ou par le biais d'une conversation vidéo ou audio deepfake et demande d'effectuer un paiement urgent, c'est l'employé qui effectue le paiement et cela relève de l'assurance contre la fraude. Malheureusement, ce type de scénario prête souvent à confusion.’

Dans des pays comme les États-Unis et le Royaume-Uni, les cyberassurances sont connues depuis bien plus longtemps et relativement répandues, même parmi les petites entreprises. En Belgique et en Europe, nous assurons les entreprises contre les cyberrisques depuis 2010. Depuis 2020, le marché connaît une forte croissance.  Van Britsom : ‘Dans notre portefeuille de clients composé d'organisations belges de plus de cinquante employés, une sur deux a souscrit une cyberassurance. Ce chiffre est moins élevé dans les organisations comptant moins d'employés, mais nous constatons un intérêt dans les entreprises de toutes tailles et de tous secteurs. Parfois, des polices sont également souscrites pour l'ensemble du secteur.’

Augmentation du volume des primes des cyberpolices ces 10 dernières années chez  Vanbreda Risk & Benefits

Qui souscrit une cyberassurance ?

18 %    Industrie
18 %    Commerce de gros et de détail
16 %    Professions libérales
12 %    Entreprises d'information et de communication

En outre, certains secteurs ou fédérations souscrivent également une police pour un groupe d'acteurs ou pour tous les acteurs.
 

NIS2 et responsabilité

La nouvelle législation européenne, la directive NIS2, oblige les entreprises à se prémunir contre les cybermenaces pour les services essentiels qu'elles fournissent. Il convient de noter la responsabilité explicite et personnelle des dirigeants et des administrateurs quant au respect de cette directive.

Pour s'acquitter de ses responsabilités, la direction doit :

  • Approuver les mesures de gestion des risques liés à la cybersécurité
  • Superviser la mise en œuvre de la directive
  • Assumer la responsabilité du respect de la directive.

Il est donc important d'agir de manière proactive en matière de cybersécurité et de rester vigilant face aux menaces potentielles. Une cyberassurance offre une protection supplémentaire, mais uniquement si la sécurité de base est assurée.

‘Une cyberassurance, y compris les lignes d'assistance qui l'accompagnent, s'inscrit dans la stratégie NIS2’, explique M. Van Britsom. ‘Là aussi, vous devez avoir préparé un plan d'action. Pour de nombreuses organisations, la cyberassurance fait donc partie intégrante de leur plan de continuité des activités et de leur plan d'intervention en cas de cyberincident.’

Vergote : ‘Vous pouvez planifier tous les préparatifs, vous êtes mieux préparé à un incident. Cela signifie que ne pas souscrire d'assurance cyber, en particulier pour un organisme technique tel que DNS Belgium, serait presque négligent.’

Une assurance qui paie les rançons fait-elle plus de mal que de bien ?

Bien que les ransomware ne soient qu'un des cas où une cyberassurance s'avère utile, c'est l'incident qui revient le plus souvent dans les médias. Les entreprises doivent rapidement choisir entre payer une somme importante, généralement en cryptomonnaies, ou perdre leurs données d'entreprise ou les voir publiées.

‘De nombreuses organisations cèdent à la panique et paient rapidement dans l'espoir de pouvoir reprendre rapidement leurs activités, mais payer n'est pas toujours la meilleure solution ni la plus rapide.'

Tom Van Britsom
Cyberexpert Vanbreda Risk & Benefits

Dans le même temps, certains experts en cybersécurité recommandent de ne jamais payer sans réfléchir, car cela incite les criminels à poursuivre leurs attaques. Une cyberassurance ne contribue-t-elle pas à alimenter les caisses des criminels ?

‘S'il n'y a pas d'autre issue, le négociateur professionnel met à disposition les bitcoins via l'assurance’, explique Van Britsom. ‘Mais si l'on regarde les chiffres, en moyenne, une personne sur deux paie la rançon demandée par les ransomware. Parmi les organisations qui ont une cyberassurance, ce chiffre est d'une sur quatre.’

Le cyber-expert de Vanbreda Risk & Benefits renvoie ici à la ligne d'assistance qui met à disposition des experts pour évaluer la situation. ‘De nombreuses organisations cèdent à la panique et paient rapidement dans l'espoir de pouvoir reprendre rapidement leurs activités, mais payer n'est pas toujours la meilleure solution ni la plus rapide. Au début de cette année, nous avons discuté avec un client dont les données avaient été cryptées. Notre enquête a révélé que la clé avait également été cryptée. Dans ce cas, payer n'aurait rien changé. Nous avons alors décidé de tout reconstruire à partir de zéro, ce qui s'est avéré être la meilleure solution.’

Ce n'est donc pas parce que vous récupérez immédiatement vos données que vous serez de nouveau opérationnel dès le lendemain. ‘Si vous payez et que la restauration prend trois mois, ou si vous ne payez pas et que la reconstruction prend quatre mois, faites le calcul...’ Selon M. Van Britsom, négocier et examiner les pistes possibles avec des experts permet de réduire le nombre moyen de paiements.

Découvrez ici ce que signifie la NIS2 pour les agents d’enregistrement et les revendeurs.

Une cyberassurance pour les particuliers ?

En tant que particulier, vous pouvez également vous assurer contre les dommages causés par les cybercriminels, mais l'offre en Belgique est limitée. Elle fait souvent partie d'une assurance familiale ou d'une protection numérique qui couvre :

  • L'escroquerie en ligne
  • L'usurpation d'identité
  • L'atteinte à la réputation
  • Le piratage

Ces assurances n’étant pas encore aussi répandues que pour les entreprises, elles présentent parfois des lacunes ou ne sont pas entièrement adaptées aux besoins d'un particulier.

Vergote : ‘La question clé pour les particuliers est de savoir jusqu'où va la couverture. Êtes-vous couvert si un cybercriminel parvient à vous tromper et à voler des milliers d'euros sur votre compte ? Et dans quelle mesure cette couverture est-elle annulée si vous avez vous-même fait preuve de négligence, par exemple en réutilisant des mots de passe ?’

Il fait également une distinction importante entre les entreprises et les particuliers : ‘Une entreprise a une certaine réputation, qui peut être ruinée en cas de cyberincident et avoir des conséquences sur son chiffre d'affaires. La situation est différente pour les particuliers ; personne ne vous regardera de haut si vous êtes victime d'un cyberincident. De plus, le risque de causer des dommages à autrui est également faible.’

Que pouvez-vous faire vous-même en tant qu'individu ?

Bien qu'une telle assurance puisse constituer un filet de sécurité utile pour les particuliers, vous devez avant tout veiller vous-même à votre sécurité en ligne. Pour ce faire, vous devez être conscient des risques, utiliser de manière optimale les moyens existants et maintenir vos appareils et applications à jour.

  • Utilisez la vérification bifactorielle ( 2FA , également appelée authentification multifactorielle ou MFA). En plus de votre mot de passe, vous devrez alors saisir un code (par mail, SMS ou via une application d'authentification). Ainsi, un pirate informatique qui devine ou intercepte votre mot de passe ne pourra pas accéder à votre compte.
  • Vous recevez un appel téléphonique ‘de la banque’ ou un message WhatsApp d'un inconnu qui prétend être un ami ou un membre de votre famille ? Il peut s'agir d'une tentative d'escroquerie.
  • Vous recevez une demande d'approbation de la part d'Itsme alors que vous ne vous y attendiez pas ? Refusez-la.
  • Utilisez un mot de passe différent et de préférence renforcé pour chaque compte. Un gestionnaire de mots de passe peut vous aider à enregistrer les différents mots de passe pour chaque site web.
  • Changez régulièrement vos mots de passe. Il est recommandé de le faire chaque année, voire plus souvent, en particulier pour les comptes qui ne disposent pas de l'authentification bifactorielle (2FA).

‘Ça ne m'arrivera pas’

Vous pensez, comme beaucoup d’ailleurs, que ça ne vous arrivera pas ? Vous vous trompez. Une collègue de DNS Belgium a été confrontée de très près à la cybercriminalité dans le cadre d'un précédent emploi. ‘Je travaillais dans une étude notariale. Pendant la pandémie de coronavirus, nous avons soudainement été contraints de travailler à domicile. L'infrastructure n'était pas encore prévue pour cela et n'était pas suffisamment sécurisée’, raconte-t-elle. ‘Un client a reçu un mail qui semblait provenir de moi, lui demandant de verser une avance de 100 000 euros.’ 

En soi, cela n'avait rien d'inhabituel : le notaire demandait toujours une avance de 10 % lors de la signature d'un contrat de vente. Seulement, l'e-mail n'avait pas vraiment été envoyé par notre collègue et il mentionnait un numéro de compte néerlandais. ‘La cliente, une avocate, a transféré le montant sur le compte des cybercriminels. Elle aurait dû se méfier lorsque sa banque l'a contactée pour lui demander si elle était sûre de vouloir transférer une somme aussi importante sur un compte néerlandais.’

‘Heureusement, en tant que notariat, nous étions assurés et la cliente a récupéré son argent’, témoigne notre collègue. ‘Tout a été réglé assez rapidement et le cabinet n'a subi aucun préjudice à sa réputation. Il s'est avéré que nous n'étions pas les seuls dans notre secteur à avoir été visés pendant cette période.’

Depuis cet incident, le réseau est solidement sécurisé. Le notariat appelle chaque client pour confirmer le numéro de compte et lui demande de bien vérifier que l'acompte et le solde sont transférés sur le même numéro. ‘Si je reçois moi-même une demande par mail pour transférer un montant important, j'appelle toujours pour vérifier.’

Le cloud rend notre travail plus simple et plus efficace, mais il apporte aussi son lot de nouveaux défis. Comment garantir la sécurité de vos données et de vos systèmes dans le cloud ? Dans notre prochain article, nous examinerons les points d’attention essentiels et les meilleures pratiques en matière de sécurité cloud.

  • La semaine prochaine, découvrez ici comment protéger au mieux votre infrastructure et vos données dans le cloud.

Avec cet article, nous soutenons les objectifs de développement durable des Nations Unies.