...

"Après de longues discussions entre assureurs, nous avons décidé de créer des polices qui regroupent tous les risques de cybercriminalité de façon transversale (à la fois les biens et les responsabilités envers autrui et le personnel). Le point commun est que ce risque ne se manifeste que dans le contexte de l'emploi d'un système IT", explique Wim Opdebeeck, Business Unit Manager, expert chez Vanbreda Risk & Benefits. Aujourd'hui, une couverture typique contre la cybercriminalité s'articule en trois volets, résumables en questions essentielles.- Que faut-il faire lorsqu'on a été victime d'une cyberattaque (event management)? L'assureur prévoit l'assistance d'un expert capable, par exemple, de reconnaître un virus informatique et de l'arrêter ou, plus simplement, de redémarrer un système qui ne fonctionne plus. Un numéro d'appel est indiqué dans la police pour contacter directement un expert. Ce professionnel se tient au courant des virus les plus récents et a, peut-être, déjà eu l'occasion de devoir y faire face et de les bloquer. - Comment éviter de perdre en productivité (et donc en argent) (business interruption)? Les frais engagés pour pouvoir poursuivre l'activité (le partage des dossiers médicaux, le catering...) malgré la "panne" du système informatique sont couverts. L'assurance couvre également le coût des experts engagés pour que les données soient à nouveau disponibles, complètes et intègres.- Quelles sont mes responsabilités vis-à-vis des tiers (liability)? Les assurances couvrent les dégâts causés à d'autres entreprises ou à des patients par, par exemple, la divulgation de données sensibles. Cette couverture s'intègre dans le cadre du règlement (européen) général sur la protection des données (RGPD) qui sera appliqué en Belgique le 25 mai 2018. Dans le cas d'un piratage, le gestionnaire de la banque de données attaquée, en l'occurrence l'hôpital, devra prévenir les autorités de ce qui s'est passé et mener une enquête détaillée sur le "databridge", expliquant les mesures préventives et correctrices prises par l'institution. Dans certains cas, elle va devoir avertir chaque personne dont les données ont été consultées illégalement de façon individuelle. Par ailleurs, la récupération de l'e-réputation de l'hôpital est également prise en charge par l'assurance. Concrètement, des actions telles que l'organisation d'une conférence de presse ou d'une réunion pour les patients concernés par le piratage peuvent être mises en place. Les hôpitaux doivent évidemment prendre une série de mesures de prévention et de sécurité informatique pour pouvoir contracter une assurance en cybercriminalité. "Les exigences des assurances en la matière sont très professionnelles, explique Wim Opdebeeck. C'est comparable à une assurance incendie. Lorsqu'une société veut assurer son bâtiment, elle doit prévoir des portes coupe-feu, un système de détection de fumée, des extincteurs, du gardiennage.... Il faut donc répondre à une série de critères techniques avant qu'un assureur accepte de mettre sa capacité financière à la disposition de l'entreprise moyennant le versement d'une prime fixe annuelle. Il en va de même dans le secteur des assurances de cybercriminalité. Les institutions doivent répondre à des questionnaires et déléguer des responsables qui participeront à des réunions techniques avant d'obtenir une offre. Cette préparation permet aussi de conscientiser le client à la vulnérabilité de ses installations."Quid des rançons ? A combien s'élèvent-elles ? "Les informations sont très peu disponibles à ce sujet. Il y a eu en Belgique des demandes de rançons importantes dans l'ensemble des secteurs de l'économie. Dans ce type de cas, une négociation est menée entre l'institution et les pirates par un expert, pas par l'assureur ou le courtier. On ne connaît pas le résultat de ces négociations. Les hôpitaux qui ont payé une rançon ne parlent jamais de ce qu'ils ont payé." Combien coûte une couverture en cybercriminalité : entre 10.000 et 40.000 euros. "Pour un hôpital de taille moyenne, le coût s'élève à 30.000-35.000 euros. Ce qui permet d'assurer une somme garantie à hauteur de 20 millions d'euros. Nous avons même un programme qui permet à un réseau hospitalier de s'assurer à hauteur de 40 millions d'euros. Plus nombreuses sont les entreprises qui concluent ce type d'assurance, plus épais est le matelas qui peut les couvrir. Ces montants vont donc encore beaucoup évoluer". Les médecins qui travaillent à l'hôpital sont assurés. "Nous ne focalisons pas sur les médecins individuels, qui travaillent exclusivement à domicile, mais nous couvrons les médecins hospitaliers y compris lorsqu'ils travaillent, chez eux, en utilisant le système informatique de l'hôpital, précise Wim Opdebeeck. Nous proposons aussi aux médecins de s'assurer pour l'ensemble de leurs activités informatiques en payant un complément pour se prémunir contre la perte des données ou de leur intégrité."Lors du dernier congrès du GBS consacré à eHealth, le courtier Concordia a présenté un programme d'assurance "cyberisks" modulable, développé spécialement par le GBS pour les médecins spécialistes (nous y reviendrons dans une autre édition).