Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

L’assurance cyber ne dispense pas d’élever son niveau en matière de sécurité, bien au contraire !

13 avril 2021 - 11:02,
Tribune - Charles Blanc-Rolin
Si vous pensez faire des économies sur votre budget sécurité en souscrivant une police d’assurance cyber, et en vous disant « m’en fout ! j’suis assuré », je crois que vous faites fausse route.

Dans un récent épisode [1] de l’excellent podcast No Limit Sécu, Marc-Eric Bellot, responsable du domaine cyber chez Allianz Assurance a tenté de clarifier ce qu’était une assurance cyber et les risques qu’elle pouvait couvrir, et à ma grande surprise, elle n’en couvre pas tant que ça.

Si j’avais bien en tête qu’une assurance cyber ne servait pas à grand-chose si aucun effort sur le sujet de la sécurisation du SI n’avait été faite (il y quand même un questionnaire à l’entrée), je ne pensais pas qu’elle couvrait « aussi peu » de risques dans les faits.

Prenons un exemple dans notre noble secteur de la santé :

Mon SIH brille de mille feux, tous mes systèmes sont supportés et à jour des derniers correctifs de sécurité, mes réseaux sont parfaitement segmentés, mon annuaire Active Directory est au top de sa forme, je lance un Ping Castle tous les mois, pas un cheveu qui dépasse, score de 0 dans toutes les catégories, mes dispositifs médicaux sont dans des réseaux étanches, j’ai des pares-feu qualifiés par l’ANSSI, mes utilisateurs sont sensibilisés régulièrement, ils réussissent les tests de phishing à tous les coups, j’ai un SIEM super bien configuré, une équipe de choc dans mon SOC et le meilleur EDR du marché. J’ai obtenu une certification ISO 27001 sur mes SI essentiels que j’ai récemment déclarés à l’ANSSI, même les pentesters formateurs de chez HS2 n’ont pas réussi à renter. Ma Direction me donne carte blanche, j’ai du budget… Pour résumer, c’est le pied !

Oui mais voilà… malgré cela, les petits gars de chez Wizard Spider m’ont déployé du Ryuk à tour de bras et mes données sont chiffrées… Mon PCA est dans un datacenter qui vient de brûler suite à un piratage du système de gestion de ses onduleurs et de sa climatisation.

Par chance, j’ai conservé ma sauvegarde sur bandes malgré les moqueries du genre : « tu vies encore au siècle précédent avec tes bandes magnétiques », je ne suis donc pas totalement à poil, mais il va me falloir du temps (et de l’argent) pour remonter tout ça…

Conséquences : 

- 3000 agents au chômage technique.
- Obligé de faire appel à des prestataires pour nous aider à tout remonter rapidement, d’acheter du matériel, et ça va coûter cher
- Les urgences sont redirigées vers un autre établissement de mon GHT à 80 kilomètres, les ambulances font demi tour sur le parking, deux patients décèdent sur la route et trois auront des séquelles irréversibles du fait de leur prise en charge trop tardive. Les familles portent plaintes contre l’établissement.
- Je finis par avoir un contrôle de la CNIL, je n’étais malheureusement pas en conformité avec le RGPD et je prends une amende salée.

Qu’est-ce qui pourrait bien être couvert par une assurance cyber dans tout ce capharnaüm ?

Si j’ai bien tout compris :

- Les dommages corporels aux patients : NON (même si tout ça découle d’une attaque cyber)
- Le remplacement de matériel : NON
- Les salaires de mes agents qui jouent aux Sims sur leurs smartphones en attendant de pouvoir redémarrer leurs ordinateurs : NON
- L’amende de la CNIL : NON
- Les 350 000 enveloppes et timbres destinés à prévenir les patients d’une violation de leurs données : NON
- Le paiement de la rançon pour récupérer mes données plus vite : étonnamment, peut-être chez certains assureurs… pas chez Allianz en tout cas (en même temps, dans certains cas ça coûte moins cher et ce n’est pas interdit par la loi en France, même si c’est très fortement déconseillé)
- L’assistance des prestataires pour m’aider à repartir et investiguer (à condition d’avoir des sauvegardes) : OUI

Après investigations, il s’avère que la compromission ait été faite depuis la machine d’un éditeur du domaine de l’imagerie médicale qui s’est connecté depuis son VPN Ipsec (le bastion était au budget de cette année :p). Lui aussi a une assurance cyber, mais là encore elle ne pourra pas lui servir si je me retourne contre lui pour les dommages qui ont été causés chez moi. C’est sa responsabilité civile professionnelle qui va fonctionner.

Pour résumer, l’assurance cyber n’est que la cerise sur le gâteau si l’on a déjà bien fait son boulot et ne couvre que les dommages apportés aux données elles-même, ni plus, ni moins.


[1] https://www.nolimitsecu.fr/assurance-cyber/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

06 oct. 2025 - 10:50,

Communiqué

- EHESP

Dans un contexte d’accélération de la transformation numérique du système de santé, l’École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite à destination des équipes dirigeantes d’établissements sanitaires, sociaux et médico-sociaux.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.