Premiers secours en cas de piratage informatique

"Une entreprise qui ne souscrit pas d’assurance contre le piratage prend un risque très important", explique Sonja Smits, chef de produit de Fédérale Assurance. "L’impact potentiel de cette omission est devenu énorme. C’est pourquoi notre police F-Cyber Comfort offre à la fois une assistance et une indemnisation en cas de perte."

L'histoire d'Asco à Zaventem a ouvert bien des yeux cet été. Un piratage de son système informatique a provoqué le ralentissement du constructeur de pièces d'avion et même l'arrêt de sa production pendant des semaines. Les dommages qui en résultent se chiffrent en millions. Mais pensez aussi aux données de 10 000 clients d'Albert Heijn qui ont été accidentellement partagées avec des tiers. Et chez un autre acteur belges de télécommunication, les données de 15 000 clients d'Orange ont été divulguées.

Asco, Albert Heijn et Orange ne sont pas des cas isolés. "Une entreprise sur cinq qui souscrit une cyberpolice fait appel à son assurance", déclare Raf Duyver, Manager Financial Line Benelux au sein de l’assureur qui propose avec Fédérale Assurance (en tant que distributeur) la cyberpolice F-Cyber Comfort.

"Les informaticiens disent vite à leurs supérieurs que tout est en ordre, mais l’expérience montre qu’il est préférable de ne pas leur laisser l’entière responsabilité de la sécurité des systèmes informatiques", ajoute Marc de Jong Luneau, directeur commercial de l’entreprise de sécurité informatique Northwave. Les entreprises qui paient au moins 2 500 euros par an pour leur assurance Cyber et qui sont ouvertes à cela reçoivent inclus dans leur prime des visites régulières d’un bureau comme Northwave. Celui-ci analyse l’état de leur sécurité et leur donne des conseils sur les améliorations possibles. Il leur explique également ce qu’ils doivent faire en cas de catastrophe.

Quels sont les sinistres les plus fréquents ?

Marc de Jong Luneau : Nous avons avant tout des cas d’escrocs tentant de détourner des fonds vers leurs comptes via une communication par e-mail ou en manipulant des données sur des factures. Ces dommages sont relativement faciles à définir. Ensuite, nous avons enregistré des cas où le système informatique d'une entreprise est piraté par voie numérique. Dans ce cas, un logiciel malveillant est d’abord utilisé à des fins d’observation durant trois à quatre semaines ; puis, au moment adéquat pendant un week-end, des fichiers cruciaux sont cryptés en vue d’obtenir une rançon. Résultat, le lundi, le système ne fonctionne plus, ce qui peut entraîner l’arrêt de la production. L’organisation n’est pas non plus toujours en mesure de récupérer les données nécessaires pour redémarrer. Les dégâts peuvent dans ce cas être très importants.

Une rançon est-elle alors prise en considération ?

Marc de Jong Luneau : Parfois, il ne reste plus qu'à payer. Dans le cas contraire, l’entreprise peut devoir travailler pendant des semaines pour pouvoir à nouveau fonctionner normalement. Les sommes réclamées peuvent aller jusqu’à des nombres à six zéros.

En cas de sinistre, la police F-Cyber Comfort offre-t-elle une indemnité financière ou une assistance ?

Sonja Smits : Les deux. L’assistance est un pilier de la police. Les entreprises victimes d’une cyber-attaque, d’un piratage ou d’un autre incident numérique veulent recevoir au plus vite l’assistance d'une personne experte. C’est pourquoi l'assurance leur offre la possibilité de contacter une centrale d’alarme 24 heures sur 24 et 7 jours sur 7. Celle-ci désigne d'emblée un gestionnaire de dossier qui assurera l'assistance adéquate. Il peut s’agir de l’aide de spécialistes IT, mais aussi de juristes et d’experts en relations publiques, qui les aident à limiter les dommages à leur image. C’est très important lorsque des données de clients ont été piratées. En outre, l’entreprise reçoit une indemnité financière pour les dommages consécutifs. Par exemple, si une entreprise doit ralentir sa production ou s’arrêter en raison d’un incident de réseau.

Y a-t-il également une intervention pour les dommages aux tiers ? Par exemple, en cas de fuite de données de clients ou si un virus est diffusé via l’entreprise vers une autre entreprise ?

Sonja Smits : La responsabilité des entreprises est également assurée, tant pour les incidents de réseau que pour les questions relatives à la vie privée.

Raf Duyver : En cas de phishing, nous devons à nouveau faire une distinction. Si un particulier effectue un virement sur la base d'un faux e-mail, l'entreprise dont l'identité a été usurpée n'en est en principe pas responsable et l'assurance n'intervient pas. Néanmoins, un juge peut décider qu'une entreprise avait connaissance du problème mais n'a pas suffisamment agi pour en informer ses clients, ce qui lui rend quand même responsable. Cela est couvert.

Qu’en est-il de la fraude au CEO ? Un employé d'une banque de détail de taille moyenne en Belgique a reçu il y a quelques années un mail lui demandant de virer discrètement une somme. Cet e-mail émanait apparemment de son patron.

Raf Duyver : Cela peut être assuré en option.

L’assurance couvre-t-elle également les conséquences de la copie de fichiers importants par ses propres collaborateurs ? 

Sonja Smits : La diffusion malhonnête de données, tant numériques que sur papier, est également assurée. La condition est toutefois qu’elle soit basée sur une intrusion dans le système informatique.

Des primes en fonction du chiffre d’affaires 

Les primes pour la police F-Cyber Comfort sont liées au chiffre d’affaires d’une entreprise et au montant assuré choisi : jusqu’à 500 000 euros, jusqu’à 1 million d’euros ou jusqu’à 2,5 millions d’euros. 
Jusqu'à un chiffre d'affaires de 25 millions d'euros, une prime forfaitaire est d'application selon la tranche dans laquelle tombe l'entreprise. La police la moins chère coûte 750 €, la plus chère 6650 €.
Pour les entreprises et secteurs de plus grande taille et actifs au niveau international qui sont exclus du régime forfaitaire, nous utilisons une approche particulière.