Vous êtes le directeur d’un cabinet de radiologie ou d’un laboratoire de biologie médicale. Imaginez qu’un matin vous découvriez que votre cabinet a été la victime de cybercriminels. Votre système d’information a été piraté…. Vous ne pouvez plus accéder aux données de vos patients, à votre comptabilité, à vos emails… Vous venez d’être victime d’une attaque par ransomware (ou attaque par rançongiciel). N’aurait-il pas été souhaitable de souscrire une assurance cyber afin de protéger votre établissement de santé ?
Etre victime d’un ransomware, cela signifie que si vous souhaitez accéder à nouveau aux données de vos patients et surtout éviter qu’elles ne soient diffusées sur le Dark Web, vous devez payer une rançon en échange d’une clé de décryptage de votre système informatique.
Combien cela coûte-t-il ?
Le montant de la rançon est généralement à géométrie variable, les cybercriminels adaptant leurs revendications et le montant de la rançon à la taille et à la profitabilité de l’organisation ciblée.
Comment réagir ?
Essayer de restaurer votre système d’information avec l’aide de vos équipes informatiques ? Payer la rançon ? Vous devez en plus penser à vos obligations légales et juridiques (déclaration à la CNIL dans les 72 heures en cas de violation de vos données personnelles), rétablir votre système informatique, gérer des questions juridiques et informatiques et même temps que vous subissez les conséquences d’un arrêt de votre activité…
Face à la menace croissante d’être piraté, un nombre de plus en plus important d’acteurs du monde de la santé, établissements hospitaliers, centres de radiologie, laboratoires de biologie médicale prennent un contrat de cyber assurance afin de se protéger contre la cybercriminalité.
Cependant force est de constater que pour un nombre important de ces organisations, les contrats de cyber assurance restent un mystère. Comment fonctionnent ces polices d’assurance ? Que couvrent-elles ? Combien coûtent – elles ? Comment avoir la certitude d’être bien assuré ?
Cyber assistance en cas de cyber attaque
L’impact de l’attaque est minimisé grâce à la mise disposition d’experts informatiques en cyber sécurité dont la priorité est de neutraliser le plus rapidement possible la cyber-attaque et ses conséquences.
L’assureur fournit également des experts juridiques, spécialistes du droit IT / données personnelles qui accompagnent l’entreprise victime, sur le volet juridique (déclaration CNIL RGPD /contentieux clients).
Malgré cette assistance informatique, il n’est pas rare que certaines organisations soient contraintes d’arrêter leur activité pendant le temps nécessaire au redémarrage de leur système informatique, notamment si la sauvegarde a été également corrompue. Cette interruption d’activité entraine bien entendu une perte de CA, mais également une perte de patients, perte financière qu’il est difficile de quantifier.
Qu’apporte la cyber assurance ?
La cyber assurance couvre les pertes et les dommages résultant du vol, de l’exposition, de la détention contre rançon ou du partage inapproprié des données des patients. Elle couvre les actes délibérés, tels que le piratage ou les demandes de rançon, ainsi que les accidents, tels que la perte d’un ordinateur portable contenant des informations non cryptées sur un patient ou une erreur de codage qui expose accidentellement les données d’un patient.
La cyberassurance aide à faire face aux conséquences des violations de données, qui peuvent aller de relativement mineures à catastrophiques.
Les garanties fournies peuvent inclure :
- le paiement d’amendes et de pénalités réglementaires ;
- la compensation des pertes de revenus dues à l’arrêt du système informatique / destruction de données ;
- l’embauche d’experts en informatique pour identifier la nature de la violation, restaurer votre système d’information ;
- l’engagement d’un centre d’appel pour traiter les demandes des patients ;
- l’engagement d’une société de relations publiques pour faire face à la publicité indésirable ;
- le recrutement d’avocats pour représenter le cabinet dans toute poursuite judiciaire intentée par des patients (ainsi que pour tout dédommagement accordé) ;
- le paiement de la rançon en échange d’une clé de décryptage
En bref, un contrat d’assurance cyber criminalité couvre presque toutes les pertes ou dépenses qui peuvent être attribuées à la violation de votre système informatique ou à une atteinte aux données personnelles.
Savez-vous que les contrats d’assurance RC traditionnels ne vous protègent pas contre les risques numériques ? Les établissements de santé qui pensent être protégés avec leur contrat d’assurance RC traditionnels devraient demander à leur courtier une lecture attentive des clauses et des exclusions / limitations. Ces polices d’assurance apportent une réelle protection contre les fautes professionnelles, mais sont inefficaces / insuffisantes face à ces nouveaux risques au regard de la nature et des montants des dommages qu’ils engendrent.
L’assurance cyber vu par un spécialiste
La mise en place d’un contrat de cyberassurance dédié, élaboré par un professionnel viendra compléter votre arsenal de contrats. Ce contrat doit être cohérent avec la configuration de votre système d’information et de votre exposition aux risques cyber. La transformation digitale de votre organisation entraine une évolution de votre exposition qu’il convient de sécuriser.
« Un bon contrat de CYBER ASSURANCE doit comprendre 3 volets » explique Marc-Henri BOYDRON, Directeur Général de CYBER COVER, spécialiste de la cyber assurance en France… « Un volet assistance avec des experts susceptibles d’intervenir rapidement, un volet couverture des dommages subis par le titulaire de la police, tels que la perte de revenus, l’interruption d’activité, l’expertise informatique, la restauration des données, les obligations légales liés au RGPD et enfin un solide volet RC Cyber».
La garantie responsabilité civile cyber indemnise le souscripteur des dommages causés à d’autres personnes consécutivement à la violation de données, mais également les frais de justice engagés dans le cadre des poursuites engagées par les patients concernés.
Combien coûte un contrat d’assurance cyber ?
Le coût d’une cyberassurance varie en fonction de l’organisation, de la taille du cabinet, de l’étendue et du montant de la couverture, de son niveau d’exposition. Plus le cabinet est important, plus le risque cyber est grand et plus la prime sera élevée offrant un niveau de garantie plus important.
La bonne nouvelle, c’est que la cyber assurance coûte moins cher qu’un contrat d’assurance RC professionnel, tout en offrant des garanties étendues. Un laboratoire de biologie médicale réalisant une vingtaine de millions de Chiffre d’affaire a besoin d’une couverture d’environ 2 000 000 € d’euros, explique Marc-Henri BOYDRON. Cette couverture, selon le niveau de sécurisation, devrait coûter moins de 5 000 euros par an, estime-t-il.
Certains assureurs procéderont à une analyse de la gouvernance de votre sécurité informatique avant de communiquer leur offre, pourront vous accompagner s’ils sont spécialisés en cyber assurance dans la mise en place de solution de réduction des risques.
Une solution globale
Lorsque l’on recherche une cyberassurance, il faut s’interroger sur l’aide exacte que l’on recevra en cas de violation. Contrairement à un incendie, la gestion d’une violation de données nécessite souvent l’aide d’une équipe d’experts, et pas uniquement une inspection des dommages à rembourser. Selon la nature et l’ampleur de la violation, l’assureur au travers de votre courtier en assurance peut déployer une large équipe composée d’experts informatiques, d’avocats spécialisés en droit de la donnée, en IT, des experts en gestion de crise, des publicitaires, voire des opérateurs de centre d’appel.
Outre la couverture proprement dite, le véritable avantage de la cyberassurance est de pouvoir confier la gestion de la crise à un spécialiste ayant l’expérience des violations de données. Face à une cyber attaque, la plupart des organisations n’ont ni le temps ni les ressources nécessaires pour s’en occuper elles-mêmes.
Lorsqu’un assureur apprend l’existence d’une violation, il évalue la situation et décide des mesures correctives à prendre pour prévenir d’autres dommages et faire face aux conséquences.
Si vous le souhaitez-vous pouvez après accord de la compagnie, faire appel à vos prestataires informatiques ou juridiques, s’ils sont jugés compétents par l’assureur.
Par exemple, un avocat s’occupera de la notification CNIL, tandis que des spécialistes en informatique localiseront et répareront la brèche dans votre système infromatique et qu’une société de relations publiques rédigera la notification à l’intention des patients dont les données ont été affectées.
La décision de payer ou non la rançon dépend de la pratique, mais l’assureur recommande généralement une ligne de conduite et s’occupe de tout paiement, s’il y a lieu.
Comment avoir la certitude d’être bien assuré ?
Face à des risques changeants et protéiformes, il est fortement recommandé de faire appel à des experts capables d’identifier vos risques numériques, de les comprendre, et de vous proposer le contrat de cyber assurance adapté à votre exposition.
L’assurance cyber nécessite une solide connaissance des risques que seuls certains spécialistes peuvent offrir. Les compagnies d’assurance quant à elles offrent de nombreux contrats, en apparence similaires, mais en y regardant de plus près, qui ne seront pas tous adaptés à votre niveau d’exposition. Si vous souhaitez avoir la certitude d’être correctement assuré, faites appel à un courtier spécialisé en assurance cyber, pouvant justifier d’une bonne connaissance de votre activité.