Philippe Bonte : couvrir les risques cyber des PME

Une tempête, c’est stupide, ça n’apprend rien. Contrairement à un cybercriminel, qui apprend après chaque attaque

Le Groupe Foyer est le premier assureur du Grand-Duché de Luxembourg. Il est également le premier à proposer une assurance cyber destinée aux PME : l’assurance cyber pro. Philippe Bonte, CFO, nous explique pourquoi.

« Je suis de cette génération qui a connu les premiers ordinateurs, et les premières connexions internet. À côté de cela, le métier d’assureur est un métier dans lequel on aime s’appuyer sur des statistiques suffisamment représentatives, qui s’étendent sur de longues durées… Par exemple, nous avons des statistiques de plusieurs dizaines d’années sur les accidents automobiles, sur les tempêtes… Or, le risque cyber est un risque émergeant qui a la double particularité d’être nouveau et d’évoluer très rapidement ». Et Philippe Bonte de faire une comparaison très éloquente : « Une tempête, c’est stupide, ça n’apprend rien, contrairement à un cybercriminel, qui apprend après chaque attaque ».

L’informatique n’est pourtant pas une nouveauté, mais la digitalisation des PME est assez récente. « Dans ce contexte, nous nous sommes rendu compte qu’il existait des offres de cyber-assurances destinées aux grands risques et aux grandes entreprises qui avaient au minimum un service informatique, mais que les PME étaient laissées pour compte. Donc nous avons décidé, en concertation avec le Ministère de l’Economie et SECURITYMADEIN.LU de lancer une formule de cyber assurance dédiée aux PME. »

Comment cela fonctionne-t-il ?

« Nous avons des exigences assez classiques envers nos assurés. Nous leur envoyons un questionnaire simple, afin de récolter des informations de base sur leur activité et de savoir, notamment, s’ils ont un anti-virus, s’il est à jour, s’il y a un firewall, s’ils font des backups… Cela ne supprime pas tous les risques, mais nous permet de faire en sorte que les gens soient sensibilisés, préparés, et in fine, couverts. Ensuite, nous faisons une analyse de la valeur du risque. Par exemple, dans le cas d’un coiffeur qui a un système de prise de rendez-vous en ligne, nous pouvons chiffrer le dommage qu’il subirait si ce système tombe en panne. L’impact sur le chiffre d’affaire serait réel, mais tout de même limité. Par contre, pour un médecin qui subirait le vol de données de ses patients, l’impact sera beaucoup plus élevé. Tout simplement parce que le prix des données médicales sur le darkweb est très élevé. C’est en fonction de ces éléments que nos primes sont calculées. »

« Nous voulons également sensibiliser, et nous encourageons les clients à faire un diagnostic avec l’outil de diagnostic en ligne « Fit4Cybersecurity ». Quel que soit le résultat de leur test, ils reçoivent une réduction sur leur prime. Il n’y a pas de sanction, mais une récompense pour ceux qui font la démarche. »

Le positionnement de Foyer est clair : une offre simple et accessible à tous. Car le plus grand frein à la cyber assurance, c’est la complexité de l’offre, estime M. Bonte. « Nous voulons avoir un produit facile d’accès afin de collecter du feed-back le plus rapidement possible. Nous venons de lancer ce produit et nous avons formé des agents avec le label ‘cyber-ready’. Ce ne sont pas des experts en cybersécurité, mais ils ont reçu les connaissances de base afin de pouvoir prospecter et faire une première analyse sur le terrain lorsqu’ils vont voir les clients. Nous avons également mis en place une hotline 24/7 avec des partenaires », précise M. Bonte. Car Foyer ne se limite pas à la couverture du risque. Il offre également une assistance en cas d’incident. Comme sur la route, le système informatique d’une entreprise a parfois besoin d’une dépanneuse.

Couverture large mais pas illimitée

Attention toutefois : « il ne s’agit pas d’un contrat de maintenance informatique », prévient Philippe Bonte. « Mais s’il y a un vol de données, les procédures sont très strictes, il faut réagir dans les délais prescrits, si l’on veut éviter les sanctions… Les gens ne le savent pas en général, mais les conséquences peuvent être fâcheuses. Nous apportons un accompagnement afin d’aider les gens à poser les bons actes lorsque le sinistre survient, afin de limiter les dégâts et, si possible, de commencer rétablir la situation. »

« Si des données sont perdues, on peut faire intervenir quelqu’un qui va « bricoler » sur le disque dur.
Par ailleurs, nous intervenons également sur les pertes d’exploitation, les dégâts ou plaintes de tiers, la perte de réputation… ».

La couverture n’est cependant pas illimitée. En Europe, contrairement à ce qui se pratique aux Etats-Unis, les amendes ne peuvent pas être couvertes par un contrat d’assurance. C’est interdit par la loi. L’assurance ne peut pas non plus prendre en charge d’éventuelles rançons à payer pour décrypter des données. « Si on le faisait, on se rendrait complice de blanchiment d’argent et de financement du crime », prévient M. Bonte. Et l’assureur de nous mettre en garde également contre le danger de payer de petites rançons de quelques dizaines d’euros (qu’on serait tenté de payer pour éviter les ennuis) : cela nous place immédiatement sur la liste des « pigeons dociles ». Idem pour les tentatives de sextorsion qui ne sont en général que du bluff. « Notre rôle est également d’aider les gens à garder la tête froide face à ce genre de ‘petite’ cybercriminalité », souligne M. Bonte. Les erreurs humaines sont également couvertes par l’assurance. « Si cela n’arrivait jamais, on n’aurait pas besoin d’assurance », ajoute-t-il.

Collaboration

Ce nouveau produit d’assurance a été lancé à l’occasion de la Cybersecurity Week, à la Chambre de Commerce. Le ministère de l’Économie et SECURITYMADEIN.LU ont joué le rôle de catalyseurs dans son lancement. La collaboration entre les acteurs publics de la cybersécurité et le 1er assureur du pays devrait se poursuivre dans l’intérêt des entreprises. Les premiers retours d’expérience des agents Foyer seront suivis attentivement par les experts de SECURITYMADEIN.LU.