Les collectivités doivent impérativement s’assurer contre le risque cyber

Les collectivités peuvent-elles s’assurer contre le risque cyber ?

Non seulement elles le peuvent, mais il faut impérativement qu’elles s’assurent, car elles détiennent beaucoup de données, dont des données personnelles. C’est aussi le cas des hôpitaux et des services de santé, qui sont en risque, avec des données de santé. Les intermédiaires avec lesquels nous travaillons sont en relation avec les collectivités locales et les informent sur ce type d’assurances, dont le principe est de couvrir tout ce qui est immatériel. Trois volets sont couverts.

Pour une petite collectivité, la prime peut aller de 500 à 1 000 euros par an.

Le premier relève des services : quand une attaque est détectée, un prestataire intervient le plus rapidement possible pour remédier au problème, rechercher les preuves pour porter plainte le cas échéant et faire que l’organisme puisse reprendre son activité le plus vite possible. Deuxième volet : l’indemnisation des dommages causés par l’attaque (frais liés à la reconstitution des données perdues ou corrompues…) et celle de la perte d’exploitation qu’entraîne l’impossibilité d’accéder à l’informatique. Enfin, la responsabilité civile est également assurée. Par exemple, en cas de réclamation d’un tiers, particulier ou personne morale, dont les données auraient été détruites.

La demande de rançon est-elle couverte ?

Non, notre autorité de contrôle, l’ACPR (Autorité de contrôle prudentiel et de résolution), nous l’interdit. Cela inciterait les pirates à continuer, sans compter les risques liés à la lutte contre le terrorisme, dont nous pourrions être rendus complices. Ce que nous prenons en charge, ce sont les frais liés à ce type de demande de rançon : l’immunisation du système informatique et la remédiation. En plus, on s’est aperçu que, dans la plupart des cas, quand on paye la rançon, on ne retrouve pas ses données ! Alors, autant ne pas payer…

Quelles sont les obligations de l’organisme assuré ?

Il doit, a minima, sauvegarder ses données au moins une fois par semaine. Sinon, l’assureur ne peut pas faire de reconstitution de données, et cela dénote que le client n’est pas très intéressé par l’informatique… On demande également que l’antivirus soit à jour, de même que des firewall qui empêchent l’entrée non voulue dans le système d’information. Pour les plus grosses entités, comme les régions, nous allons davantage dans le détail : on peut leur demander, par exemple, un audit de sécurité. Et nous proposons, à tous les collaborateurs de l’assuré, un e-learning de sensibilisation à la sécurité : ne pas utiliser une clef USB qu’on a trouvée, ne pas coller son mot de passe sur l’ordinateur… Ce sont des comportements que l’on rencontre toujours.

Quel est le coût d’une assurance cyber ?

Tout dépend de l’importance de la collectivité (une commune de 2 000 habitants ou une région ne paieront pas la même chose), de la somme qu’elle veut assurer, du nombre de postes informatiques et du risque à couvrir. Celui-ci est moins important dans les collectivités que dans les hôpitaux. Et on prend en compte ce qui est mis en place pour la sécurité. Mais le coût ne représente pas des sommes extravagantes. Pour une petite collectivité, la prime peut aller de 500 à 1 000 euros par an et pour une très grosse de 7 000 à 10 000 euros. Dans le budget assurance d’une région, cela se voit à peine.