Les cyber risques, menace N°1 des établissements de santé
DSIH, le magazine dédié aux SI des hôpitaux et des cliniques consacre un interview à RESCO Courtage.
L’occasion de faire le point sur les garanties d’un contrat de cyber assurance.
De quoi les établissements de santé doivent-ils se protéger ?
La crainte majeure est la paralysie d’un système d’information, à cause d’un rançongiciel notamment, appelé ransomware en anglais. Une partie des données sont cryptées par des hackers qui réclament le paiement d’une rançon pour le décryptage, comme ce fut le cas en 2017 avec le virus Petya. Son prédécesseur WannaCry a également occasionné de sérieux dommages sur bon nombre d’ordinateurs Windows.
Le vol des données dans les dossiers médicaux ou leur effacement constituent deux autres cyber risques importants, avec des conséquences sur l’organisation des soins mais aussi juridiques.
N’y-a-il pas un risque ?
En brandissant les menaces en tout genre, de finalement conduire les établissements à s’en détourner ?
Le marketing de la peur à ses limites. Il peut mener des établissements de santé à ignorer des menaces et ne pas se protéger efficacement. Néanmoins, il faut leur faire prendre conscience des risques réels courus par leurs systèmes d’information. Parallèlement, il convient de valoriser les mesures de cybersécurité comme de cyberassurance mises en œuvre par les établissements de santé. Elles participent en cas d’attaque à ce qu’on appelle la cyber-résilience.
Que couvre un contrat de cyberassurance ?
C’est un contrat d’assurance classique couvrant la perte d’exploitation adaptée au cyber risque et la responsabilité civile en cas de vol de données ou de propagation d’une attaque à un fournisseur ou un autre établissement, par exemple.
C’est aussi un contrat d’assistance comprenant l’appui d’experts pour piloter une situation de crise comme l’apparition d’un ransomware. Des experts juridiques vont également guider l’établissement de santé sur la conduite à tenir en cas de vol de données (déclaration à la CNIL, notifications, etc.). Enfin, des experts en communication de crise vont aider un établissement à bien communiquer sur ce qui lui arrive afin de préserver son image.
Des options peuvent être proposées, comme l’aide à la négociation d’une rançon, jusqu’à son éventuel paiement. Tous les assureurs ne prennent pas ce dernier en charge. Les amendes administratives prévues par la Loi informatique et libertés (LIL) en cas de manquement au RGPD et pouvant aller de 4% du chiffre d’affaires jusqu’à 20 millions sont également couvertes. Tout comme le sont les amendes liées à la norme PCI DSS (la norme de sécurité des données applicables à l’industrie des cartes de paiement).
Quels sont les indicateurs IT sur lesquels s’appuient les assureurs ?
L’approche des assureurs est pour le moment empirique, basée sur leur expérience et leur connaissance des risques. Il n’y a encore rien de normé. Mais, plusieurs éléments leur permettent de bien évaluer les cyber risques. Le niveau de protection fonctionnelle du parc informatique, des réseaux ou encore des accès à distance mis en place par un établissement ; le niveau de protection organisationnelle (présence d’un RSSI, existence d’un plan de reprise d’activité, gestion des mots de passe, etc.). Les assureurs sont également très sensibles à la formation et la sensibilisation au risque des utilisateurs du système d’information. Ils considèrent en effet que 80 % du risque se situe entre le siège et l’écran. La cybersécurité ne doit pas être vue comme une contrainte mais comme un atout. Cela passe par de la pédagogie.
Propos recueillis par Pierre Derrouch
Pour plus d’informations sur les garanties Cyberassurance proposée par RESCO Courtage, visitez notre site.
https://www.linkedin.com/feed/update/urn:li:activity:6503539694767263744