La cyberassurance, quel intérêt ? - La Semaine Vétérinaire n° 1934 du 01/03/2022

La Semaine Vétérinaire n° 1934 du 01/03/2022

Protection

ENTREPRISE

Auteur(s) : Par Fabrice Jaffré¹

Contrairement à l’assurance responsabilité civile professionnelle, l’assurance des risques cyber, la cyberassurance, n’est pas obligatoire. Alors que les attaques informatiques se multiplient, y compris contre les TPE, est-ce le moment d’en souscrire une ? Que couvre-t-elle ? À quels tarifs ? Éléments de réponse.

Les risques cyber se définissent par les risques d’atteintes du système d’information et des données informatiques de la clinique (concernant l’exploitation ou à caractère personnel). Ces atteintes se distinguent par leur origine, à savoir la malveillance externe, par exemple une attaque par rançongiciel ou par hameçonnage, la malveillance interne, comme le vol de données, et la négligence, dans le cas de la perte d’un ordinateur portable ou d’une erreur de manipulation effaçant des données.

Le préjudice pour la clinique peut aller d’un simple ralentissement temporaire de l’activité à l’arrêt durable associé à une triple sanction potentielle : le paiement d’une rançon en cas d’attaque par rançongiciel, une des principales menaces informatiques, le paiement de dommages et intérêts, si le préjudice touche un client qui peut alors porter réclamation, et une sanction administrative de la CNIL (Commission nationale de l’informatique et des libertés) en cas de manquement au RGPD (règlement général sur la protection des données).

La cyberassurance va garantir ces conséquences, en intervenant sur quatre volets :

- L’accompagnement de la clinique dans la gestion de crise. L’assureur cyber, qui doit être sollicité dès la découverte du sinistre, va mandater ses experts techniques. Ces derniers vont pouvoir intervenir rapidement afin de trouver la porte d’entrée de l’attaquant (préalable à tout redémarrage) ou de récupérer des données (en cas de mauvaise manipulation). Ils vont également initier le chantier de la restauration du système. De leur côté, les experts juridiques prendront en charge l’assistance à la déclaration en cas de violation de données. Enfin, des spécialistes en communication pourront également être sollicités, notamment si la réputation de la clinique est atteinte. Les frais liés à l’intervention des différents experts sont pris en charge par l’assurance.

- La couverture des dommages subis par la clinique, à commencer par les pertes d’exploitation, et parfois la perte de la valeur vénale de l’établissement. Sont inclus les dépenses nécessaires au redémarrage de l’activité, comme la restauration du système et le remplacement de logiciels infectés.

- La couverture des dommages causés aux tiers, suite par exemple à la divulgation de données du fichier clients. Cela concerne les frais de défense juridique, le montant des dommages et intérêts réclamés par un client et l’accompagnement en cas d’enquête administrative.

- La prévention des risques, qui consiste par exemple à effectuer, après signature du contrat, un audit de sécurité (aboutissant à un rapport avec une liste de préconisations) ou encore à réaliser des actions de sensibilisation auprès de toute l’équipe.

En cas de manquement au RGPD (par exemple en cas de violation de données ou de carence dans les mesures de sécurité), la CNIL peut prononcer des sanctions administratives qui peuvent se monter à 4 % du chiffre d’affaires annuel. L’indemnisation de ces sanctions n’est actuellement pas formellement interdite (à la différence des amendes pénales), mais de plus en plus d’assureurs l’excluent. C’est donc un mauvais calcul de considérer la cyberassurance comme un moyen de s’affranchir de la mise en conformité RGPD de la clinique. En revanche, les frais liés à l’enquête administrative, dont ceux d’avocat, sont généralement assurés.

Concernant les rançons exigées par les pirates pour déchiffrer les données, la tendance est là aussi à l’exclusion contractuelle de leur prise en charge, d’autant que seulement 51 % des entreprises ayant payé récupèrent l’intégralité de leurs données (étude d’avril 2021 de Cybereason). Un rapport parlementaire d’octobre 2021 préconise même l’interdiction pour les assureurs de garantir, de couvrir ou d’indemniser la rançon. Reste que c’est parfois la seule possibilité de survie de la clinique si les sauvegardes sont défectueuses. Dans ce cas, les frais liés à la négociation du montant de la rançon par des experts sont généralement couverts.

L’assurance RCP couvre les dommages que l’activité de la clinique peut causer à ses clients (ou à des tiers) du fait d’incidents ou de fautes professionnelles. Cela concerne les actes de soins, de prévention ou de diagnostic, mais pas les pertes de données à caractère personnel. En général, les assurances multirisques n’assurent pas les dommages immatériels. Le piratage et la fraude informatique font d’ailleurs souvent partie des exclusions dans les contrats d’assurance classiques. En tout cas, le vétérinaire ne bénéficiera pas d’accompagnement pendant la crise.

On observe depuis quelques années un durcissement des conditions d’éligibilité à une cyberassurance. Les critères sont variables selon les assureurs, mais il est souvent obligatoire d’installer un antivirus (avec mise à jour automatique) sur chaque poste, de réaliser des sauvegardes (au moins hebdomadaires) des données avec une version hors site, et parfois de rédiger une procédure de continuité d’activité².

Le choix va tout d’abord tenir compte de la capacité de l’assureur à couvrir l’ensemble des volets étudiés, en commençant par une assistance joignable 24 h sur 24. Les attaques informatiques par rançongiciel surviennent en effet souvent la nuit (49 %) ou le week-end (27 %), selon les résultats d’une enquête menée par FireEye en 2019. Veillez à vous faire préciser les exclusions de garanties, le montant de la franchise et les plafonds de garantie (liés au chiffre d’affaires de la clinique). La notoriété de l’assureur et son ancienneté dans les cyber-risques sont également des critères importants, comme la densité et la qualité du réseau d’experts sur lequel il s’appuie. En raison de la complexité de la cyberassurance, la solution préconisée est de solliciter un courtier spécialisé dans les risques cyber.

La vague du rançongiciel a professionnalisé l’offre mais également conduit à une hausse sensible des primes depuis deux ans, tout en augmentant les pré-requis. Le secteur de la santé est devenu une cible. Il sera donc important de rappeler à l’assureur qu’une clinique vétérinaire ne possède pas (ne devrait pas posséder…) de données de santé sur les clients. Une assurance gérant les quatre volets se situe généralement, pour une clinique vétérinaire, dans une fourchette de 300 € à 700 € par an. Un bon calcul économique… assurément.

Double extorsion

Les premiers rançongiciels se contentaient de chiffrer les données et d’exiger une somme d’argent en échange de la clé de déchiffrement. Depuis 2019, les rançongiciels 2.0 réalisent en plus une exfiltration des données. Ainsi, les pirates ont un moyen de pression supplémentaire en menaçant de divulguer les données ou d’appeler directement des clients ou des journalistes), et donc d’exposer la victime à une sanction de la CNIL et à des plaintes de clients. Certains augmentent même la rentabilité de leur attaque en vendant les données au plus offrant sur le dark web, quand bien même la rançon a été payée…

1. Notre confrère Fabrice Jaffré (Kena conseil) est titulaire du Certificat de spécialisation de délégué à la protection des données du Conservatoire national des arts et métiers de Paris et du certificat Expert en cybersécurité, et réalise des formations en mise en conformité RGPD et en cybersécurité.

2. Voir La Semaine Vétérinaire n° 1928.