À peine une entreprise belge sur dix serait assurée contre le risque de cyberattaque, alors que ces attaques se multiplient aux quatre coins du monde. Le sujet était au centre de la séquence "le marché matinal", ce lundi sur La Première.

De plus en plus d’entreprises victimes de l’une ou l’autre forme de cyberattaque s’adressent à leur assureur alors qu’elles ne sont pas assurées.

"Heureusement, elles avaient fait des choses au niveau de la prévention, donc ce sont des attaques qui ont pu être enrayées, rapporte Benoît Tellier de la société de courtage Wilink. Il y avait des back-up et l’impact a finalement été assez contenu. On a aussi eu de la chance, c’est qu’il n’y a jamais eu beaucoup de vols de données à caractère personnel. À ce moment-là, on peut avoir des réclamations des tiers et on a quand même beaucoup de frais pour tout ce qui est de la partie notification, puisque la loi nous impose de prévenir les personnes à qui on a volé les données."

100.000 euros de dépenses pour prévenir les clients ?

Si un fichier contenant des données à caractère personnel est volé — nom des clients, numéro de compte en banque, numéro de smartphone, etc. — la société victime d’un cyber-vol de données doit en effet informer chaque client par lettre recommandée.

Benoît Tellier complète : "Imaginons 20.000 personnes à qui on a volé des données, ça veut dire 20.000 fois cinq euros de frais de recommandé. Et là, on n’a pas encore parlé d’arrêt de l’activité, donc on a prévenu des gens. Après, est-ce que derrière, l’entreprise a les personnes pour envoyer toutes ces notifications, sachant qu’on vous a volé votre base de données et que vous êtes donc aussi un peu à l’arrêt ? Et après ça, ces personnes vont réagir. On va vous contacter. Est-ce que vous avez la capacité d’absorption des appels téléphoniques intempestifs ? Les gens vont se réveiller."

Autrement dit : explosion des frais, même pour une PME, un restaurant par exemple, etc. Et si en plus, votre entreprise est paralysée, si vos systèmes de paiement, par exemple, sont paralysés et pas assurés, c’est évidemment la galère totale.

Les entreprises belges ont de plus en plus conscience des risques qu’elles encourent en cas de cyberattaque. C’est ce qu’observe David Vanderoost, le directeur général d’Approach Belgium, une société spécialisée dans la cybersécurité et la protection des données.

"Depuis une dizaine d’années, on voit vraiment une accélération tous les ans du nombre de sollicitations. Au démarrage de la société, il fallait beaucoup plus être proactif et aller vers les clients, alors qu’aujourd’hui, on ne fait que répondre à des appels, des appels à l’aide, mais aussi des entreprises qui souhaitent se préparer bien à l’avance. Donc, bien souvent, on commence par faire un diagnostic de la situation. Et de plus en plus, on voit des sociétés qui viennent demander où elles en sont au niveau sécurité, à quoi elles doivent faire attention, s’il faut qu’elles forment leurs collaborateurs, si elles sont préparées au niveau technologique, si elles ont des failles, etc."

"Aujourd’hui, tout le monde se préoccupe de ça"

Quand la société Approach a été créée il y a 20 ans, elle répondait surtout aux sollicitations du secteur financier ou d’institutions publiques. Mais aujourd’hui, dit David Vanderoost, elle est contactée par des entreprises de tous les secteurs.

"Aujourd’hui, tout le monde se préoccupe de ça, de la petite start-up avec deux jeunes dans leur garage qui veulent convaincre des clients et qui sont donc obligés de montrer qu’ils prennent la sécurité et la protection de la vie privée très au sérieux, jusqu’à la plus grande multinationale, bien entendu. Et donc on accompagne des clients dans tous les secteurs, jusqu’à l’aérospatiale, l’aéronautique, le développement de software dans le monde financier, parce qu’on a une grosse activité en Belgique là-dessus, et tout ce qui est évidemment le médical et le biotech, qui est un secteur, surtout ici en Wallonie, qui a des énormes besoins en sécurité."

Le grand paradoxe, c’est que l’immense majorité des entreprises n’a pas d’assurance contre les cyber-risques : certaines parce qu’elles ne se sentent pas concernées, mais elles sont de moins en moins nombreuses, d’autres parce qu’elles se sentent blindées techniquement, et d’autres qui n’y pensent tout simplement pas.