Picanol a récemment pu relancer sa production après la mise à l'arrêt de ses machines pendant plusieurs jours suite à une cyberattaque. Il s'agissait d'une attaque de type ransomware, ou rançongiciel, qui encrypte les données des ordinateurs et propose de les débloquer via une clé fournie contre rançon.
...

Picanol a récemment pu relancer sa production après la mise à l'arrêt de ses machines pendant plusieurs jours suite à une cyberattaque. Il s'agissait d'une attaque de type ransomware, ou rançongiciel, qui encrypte les données des ordinateurs et propose de les débloquer via une clé fournie contre rançon. " Quand l'entreprise décide de payer la rançon de concert avec son assureur, le paiement est couvert par la police d'assurance contre la cybercriminalité ", expliquent Paul Caekebeke et Jan Catry du courtier ADD. Selon ADD, les entreprises sous-estiment le risque encouru. " Le risque de cyberincident est plus élevé que le risque de voir les bâtiments de l'entreprise détruits par les flammes. Quasi toutes les entreprises souscrivent une assurance incendie mais rares sont celles couvertes par une cyberassurance. " Le courtier d'assurance Vanbreda Risk & Benefits estime, sur la base de son portefeuille, à 10% le nombre d'entreprises belges assurées contre la cybercriminalité. " Tant des petites sociétés individuelles que des entreprises cotées en Bourse. Les premiers à s'intéresser à la cyberassurance lancée en 2013 étaient les banques et les hôpitaux qui traitent des données sensibles. Cette assurance intéresse désormais les entreprises tous secteurs confondus ", constate Tom Van Britsom, cyberexpert chez Vanbreda. En 2019, Vanbreda a conclu une cyberpolice tous les deux jours. Notez que les entreprises cherchent à se prémunir non seulement contre la cybercriminalité mais aussi contre le règlement général européen sur la protection des données (RGPD) entré en vigueur en mai 2018. Les entreprises qui négligent le respect de la vie privée de leurs clients risquent de grosses amendes. En décembre dernier, le site juridique belge www.jubel.be s'est vu infliger une amende de 15.000 euros, la plus forte jamais imposée dans notre pays. " Toutes les assurances que nous proposons prévoient une couverture contre les amendes administratives RGPD. Certaines entreprises souscrivent une cyberassurance pour cette seule et unique raison ", reconnaît Tom Van Britsom. Et de constater qu'une entreprise sur trois ayant conclu pareille assurance a déjà fait appel à sa police au moins une fois. " De très nombreux assureurs ont fait leur apparition sur le cybermarché, font remarquer Paul Caekebeke et Jan Catry. Autrefois, seules quelques compagnies américaines comme AIG et Chubb proposaient des assurances contre la cybercriminalité. Les assureurs européens sont aujourd'hui légion, à commencer par Allianz, Zurich et MS Amlin. " En novembre 2019, Baloise a lancé la couverture Cyber Safe qui s'adresse aussi bien aux familles qu'aux entreprises. Baloise facture aux familles une prime forfaitaire mensuelle de 13 euros, de 9 euros aux personnes isolées. La cyberassurance familiale revient à 156 euros par an. Dans la plupart des cas, l'indemnisation d'un sinistre est plafonnée à 7.500 euros maximum par an. Pour déterminer la prime d'une entreprise, le critère principal pris en compte par Baloise est le chiffre d'affaires. Le nombre de données traitées, dont les données personnelles, est un autre critère. Chaque assureur impose ses propres critères. Les entreprises sont tenues de remplir un questionnaire. " L'homme est le maillon le plus faible de la chaîne, constate Tom Van Britsom. C'est pourquoi le nombre de collaborateurs intervient aussi dans le calcul de la prime. Comme pour l'assurance auto, l'assureur considère la sinistralité passée. L'importance de l'entreprise et la région où elle opère entrent également en compte. Les entreprises actives en Belgique uniquement ou dans l'Union européenne sont moins exposées que celles ayant des filiales en Chine, dans les pays de l'Est ou aux Etats-Unis. Le niveau de sécurisation est tout aussi important. Moins l'entreprise est sécurisée, plus l'assurance risque de coûter cher. " A en croire Paul Caekebeke et Jan Catry, la cyberassurance est de plus en plus abordable. " La concurrence accrue a poussé les primes à la baisse. La structure de prime démarre à 500-600 euros par an. Moyennant une prime de quelques milliers d'euros par an, même une PME avec un chiffre d'affaires jusqu'à 75 millions d'euros peut se faire assurer. " " Dans 45% des sinistres déclarés l'an dernier, le cyberincident a eu pour effet de stopper la production. Pas nécessairement des semaines entières, comme ce fut le cas chez Asco, mais pendant quelques heures parfois ", confie Tom Van Britsom. " Une production à l'arrêt s'avère très coûteuse pour l'entreprise. La relance des systèmes et/ou la récupération des données implique généralement des frais supplémentaires. Tous ces frais sont couverts par l'assurance ", assurent Paul Caekebeke et Jan Catry. Remarque importante : les entreprises doivent décider au préalable de l'importance de la couverture du sinistre souhaitée. La règle est simple : plus la prime est élevée, plus le capital assuré ou le montant versé en cas de sinistre sera élevé. Le capital assuré peut varier de quelques milliers à quelques millions d'euros. Si l'entreprise est insuffisamment assurée, le sinistre ne sera pas remboursé intégralement. Comme le fait remarquer Tom Van Britsom, la couverture du sinistre est souvent proportionnelle à la prime acquittée. " Dans notre portefeuille d'assurance, la plupart des versements effectués par les assureurs se situaient entre 20.000 et 100.000 euros mais certains dépassaient les 100.000 euros. " Les grandes compagnies d'assurance américaines reversent parfois plusieurs millions de dollars. Outre le montant du capital assuré, le choix de l'assureur a lui aussi son importance. " Chaque assureur fixe ses limites et ses exceptions. Il n'est pas toujours facile de s'y retrouver ", soulignent Paul Caekebeke et Jan Catry. Et d'expliquer que les avantages à prendre en compte ne se limitent pas uniquement au remboursement du sinistre. " Quand des hackers mettent une entreprise à l'arrêt, l'assureur met parfois des spécialistes IT extérieurs à la disposition du département IT de l'entreprise. " Certaines compagnies proposent aussi des formations du personnel et d'autres services gratuits si la prime excède un certain niveau. Seules les entreprises ayant pris des mesures de sécurité suffisantes sont assurables. " Le contrat d'assurance est l'élément essentiel, ajoutent Paul Caekebeke et Jan Catry. Une compagnie peut refuser d'assurer une entreprise si elle juge les mesures de sécurité insuffisantes. Pour assurer leur sécurité, les entreprises doivent prévoir un budget, un fournisseur de services IT et une formation ad hoc du personnel. Le non-respect des procédures par les employés, comme l'usage abusif des mots de passe ou la non-exécution d' updates, peut entraîner des problèmes. Ainsi, notre entreprise envoie régulièrement des faux mails de hameçonnage ( phishing) pour tester le personnel et leur faire comprendre qu'ils ne peuvent pas cliquer sur tout et n'importe quoi. " Toutes les assurances n'acceptent pas toutes les entreprises. Par exemple, Baloise exclut les entreprises exerçant certaines activités économiques comme les hôpitaux, les banques et les opérateurs télécoms. " Nous ne couvrons pas non plus les sinistres résultant de l'absence de mesures de prévention élémentaires, dus à la guerre, au terrorisme, à la pollution environnementale ou à une infrastructure défaillante ", précisent Bert Vander Elst et Paul Stinkens de Baloise. Sont considérées comme des mesures de prévention élémentaires: le login avec mot de passe, l'antivirus et le firewall, l' update automatique du logiciel et le back-up, dans le cloud ou non. Pour ce qui est des familles, Baloise n'impose aucune condition en termes de sécurité informatique. " Dans ce domaine, il n'y a aucune raison de refuser une famille ", expliquent Bert Vander Elst et Paul Stinkens. L'assurance propose un filet de sécurité en cas de contamination par des programmes malveillants, d'escroquerie en ligne, de hameçonnage ou de vol des données. Baloise offre un service de prévention gratuit qui contrôle en permanence 12 données essentielles, telles que les adresses e-mail, les numéros de carte bancaire et de téléphone afin de limiter les risques d'abus sur la toile. La famille peut également faire appel à la hotline de Baloise pour demander assistance après un cyberincident, comme la suppression d'un logiciel malveillant de l'ordinateur. Le client a en outre droit à une assistance juridique jusqu'à 25.000 euros, dans le cas notamment d'achat d'articles de contrefaçon, de non-respect des droits d'auteur ou des droits à l'image, de cyberharcèlement et d'atteinte à la réputation. " Ce type d'assurance commencera par s'imposer dans le monde des entreprises avant d'intéresser les particuliers, suggère Tom Van Britsom. Une assurance pour les particuliers peut s'avérer utile mais la police doit mettre en exergue d'autres points que l'assurance destinée aux entreprises. Le particulier est plus sensible au phénomène de cyberharcèlement qu'une entreprise par exemple. " Les attaques de type ransomware ont fait les choux gras des médias l'an dernier. L'année a mal commencé pour Ranson, victime d'une cyberattaque. Le spécialiste en boulangerie a payé la rançon parce qu'il ne pouvait pas se permettre d'arrêter sa production. Asco a été dans l'incapacité de fabriquer des composants d'avion pendant trois semaines au mois de juin, du fait de la prise en otage de ses systèmes. Ceci étant, Vanbreda a enregistré nettement moins de cyberincidents rançongiciel en 2019 qu'en 2018. " Cette forme de cybercriminalité représente 18% des sinistres déclarés en 2019, contre 60% en 2018, confie Tom Van Britsom. La conscientisation des entreprises et les formations de personnel rendent ce type de cyberattaques moins efficaces. A l'instar de n'importe quel autre cambrioleur, les pirates numériques repèrent les maisons où ils peuvent s'introduire discrètement par une porte dérobée ", dit-il. En 2019, les clients de Vanbreda ont surtout été confrontés à des cybervols, c'est-à-dire des extorsions de fonds par des hackers. " Nous savons que le nombre d'attaques de type ransomware explose dans le monde entier ", souligne Katrien Eggers, porte-parole de Computer Emergency Response Team (CERT), le service public fédéral chargé de repérer, observer, analyser et informer à propos des problèmes de sécurité sur Internet. La Belgique ne dispose pas de chiffres fiables sur l'importance du problème étant donné que les entreprises ne sont pas tenues de déclarer les incidents ou de déposer plainte à la police. On en sait encore moins à propos des cyberattaques dont sont victimes les particuliers. C'est fort regrettable car les citoyens pourraient s'entraider en renseignant les faux mails de hameçonnage à suspect@safeonweb.be. " En octobre, nous avons reçu pas moins de 8.000 mails journaliers, ce qui nous a permis de bloquer plusieurs dizaines de sites de phishing par jour, poursuit Katrien Eggers. Le hameçonnage ou l'envoi de faux mails qui dirigent le destinataire vers un site pour le piéger, la fraude, le ransomware et les virus informatiques sont les incidents les plus fréquents. "