Frédéric Rousseau

responsable de marché cyber chez Hiscox Assurances

Evolution récente et inquiétante, le secteur de la santé par les données qu’il détient intéresse vivement les cyber-pirates. Pas question de compter sur l’éthique de ceux qui, au plus fort de la crise sanitaire, ont mené des attaques virulentes à son encontre. Quels sont les risques et les moyens de s’en prémunir ?
Le point avec Frédéric Rousseau, responsable de marché cyber chez Hiscox assurances.

Quelles sont les types de cyber-attaques majeurs auxquelles peuvent être confrontés les professionnels et établissements de santé ?

« Il existe deux types d’attaques majeures. Un sinistre court et intense de type Ransomware qui  bloque l’exploitation du système d’informations, génère des frais importants et dont l’impact indirect peut parfois être dramatique pour les établissements de santé, comme ce fut le cas récemment dans une clinique de Düsseldorf, où une cyber-attaque a empêché la tenue d’une intervention dans les temps, entrainant le décès d’une patiente.

Quand les données des patients sont subtilisées puis exploitées par les cyber-pirates ou les receleurs des informations vendues, il s’agit d'un sinistre long pour lequel il ne faut pas minimiser les conséquences pour l’organisation qui n’aurait pas su sécuriser ses données. Les réclamations sont à la hauteur des préjudices potentiels subis par les patients qui peuvent être victimes d’une usurpation d’identité ou d’une divulgation publique de pathologie pouvant desservir leur vie sociale ou professionnelle. Au-delà de procédures longues et coûteuses pour indemniser les tiers, l’autorité administrative compétente, la CNIL, peut diligenter une enquête et aller jusqu’à sanctionner à terme. Certaines attaques combinent ces deux aspects, avec cryptage de données et extraction de données, le tout accompagné d'une demande de rançon.

Au-delà de faire jouer la responsabilité de l’organisation, personne morale, ces attaques peuvent être révélatrices d’un tout autre sinistre trop souvent oublié : la mise en jeu de la responsabilité personnelle du ou des dirigeants.

Ainsi, si malgré les enjeux et obligations, il s’avère qu’ils n’avaient pas fait le nécessaire pour protéger les systèmes et données stockées, cela pourrait constituer une faute de gestion. »

 

Les organisations peuvent-elles se prémunir de tels enjeux financiers, opérationnels, juridiques et réputationnels, en souscrivant un contrat d’assurance ?

« Afin de répondre à cette problématique, les assureurs ont développé pour les organisations des produits qui incluent notamment la garantie des pertes d’exploitations, des conséquences d’attaques par ransomware, le volet assurance dommages au tiers et surtout une assistance solide donnant accès à des experts en cyber-sécurité pour identifier les failles et reconstituer les données, des experts en communication de crise et bien entendu des experts juridiques.

Les dirigeants peuvent également bénéficier de contrats spécifiques. Toutefois et compte tenu des enjeux, avant de proposer ces garanties, les compagnies opèrent une nécessaire sélection du risque. L’organisation souhaitant s’assurer doit démontrer qu’elle a su, au regard des enjeux, mettre en place les « premières défenses » en disposant des moyens techniques et des politiques appropriés.

L’assurance ne sert en effet qu’à transférer la partie du risque, certes conséquente, que l’organisation elle-même ne pourrait assumer avec ses propres moyens en cas de crise. Un contrat d’assurance ne peut pas résoudre les déficiences avérées. Si les données et leurs accès ne sont pas sécurisés, dans les cas extrêmes il n’y a plus d’aléa, et sans aléa : il ne peut y avoir d’assurance. Par ailleurs, faute de sauvegardes de qualité, le travail des experts sera nécessairement plus compliqué, long et onéreux ! »

 

Les directeurs hospitaliers sont-ils, selon vous, suffisamment conscients des risques cyber et sensibilisés aux bonnes pratiques informatiques ?

 

« Les professionnels de la cyber-sécurité et les assureurs spécialistes constatent avec préoccupation, un déficit, non de compétences des DSI, qui méritent à n’en pas douter plus d’écoute de la part des dirigeants, mais de moyens et de formations des utilisateurs. A ce jour, trop d’établissements, pour ne pas dire une majorité, sont dépourvus des moyens de base avec des systèmes parfois obsolètes, des solutions de sauvegarde non pertinentes vis-à-vis des attaques par ransomware et parfois éloignées des standards de la certification HDS, des accès à distance des praticiens non sécurisés, des transferts de données non cryptées, etc…

N’étant pas préparés à faire face à une cyber-attaque et ne répondant pas aux règles édictées par le RGPD, certains établissements ne peuvent être assurés faute d’être assurables, tandis qu’à travers des appels d’offres mal calibrés ou conscients de la qualité du risque qu’ils constituent certains sont insuffisamment garantis.

Si les établissements ayant pu développer une politique complète de management de leur risque cyber sont encore trop rares, ils existent tout comme les solutions.

Le secteur de la cyber-sécurité dispose d’outils techniques pertinents et d’audits spécialisés pouvant aider à cartographier les risques et définir une stratégie efficace devant s’exprimer in fine dans un plan de continuité d’activité intégrant les cyber-évènements. La formation des personnels et praticiens – essentielle - sur l’hygiène en cyber-sécurité peut aussi s’effectuer par des sessions d’e-learning[1]. Toutefois, une bonne défense vis-à-vis des cyber-attaques, si elle n’est pas suivie et mise à jour régulièrement, pourrait s’avérer obsolète en quelques années si ce n’est quelques mois. Nous constatons d’ailleurs sur ce point une meilleure agilité des structures privées. Le temps de la prise de conscience est passé. Aujourd’hui, celui de l’action s’impose et les dirigeants d’établissements peuvent être accompagnés. »

 

[1] Hiscox a développé pour des structures de moins de 10 millions d’euros de chiffre d’affaires ou de budget de fonctionnement, un outil dédié pour ses assurés : a CyberClear Academy

 

 

 

 

 

 

Bio express

Diplômé d’un DESS en droit des assurances à l’Institut des Assurances d’Aix-Marseille ainsi que d’une Maîtrise en droit des affaires avec une spécialisation en assurance et droit des nouvelles technologies, Frédéric Rousseau débute sa carrière en 2005, comme Gestionnaire en retraite complémentaire des régimes Agirc-Arrco au sein du Groupe Audiens.

En 2008, il rejoint la Société Mutuelle d’Assurance du Bâtiment et des Travaux Publics (SMABTP) en tant que conseiller en Assurances Maîtrise d’ouvrage. Un poste de souscription qu’il occupera jusqu’en 2011, année où il rallie Albingia avant d’intégrer Hiscox Assurances, deux ans plus tard, comme Souscripteur – Développeur pour l’ensemble des produits d’assurances professionnelles. Après 6 ans d’expérience, il vient renforcer les équipes techniques en tant que Responsable de Marché Cyber.

Conception : Doshas Consulting
Responsable de la publication : Didier Ambroise
Rédaction : Cécile Jouanel
Création graphique et réalisation : Agence Biskot.Bergamote
Crédit : Frédéric Rousseau et Shutterstock

Relayez cet article sur vos réseaux sociaux.

arrow-up2