Publicité en cours de chargement...
L’assurance cyber ne dispense pas d’élever son niveau en matière de sécurité, bien au contraire !
Dans un récent épisode [1] de l’excellent podcast No Limit Sécu, Marc-Eric Bellot, responsable du domaine cyber chez Allianz Assurance a tenté de clarifier ce qu’était une assurance cyber et les risques qu’elle pouvait couvrir, et à ma grande surprise, elle n’en couvre pas tant que ça.
Si j’avais bien en tête qu’une assurance cyber ne servait pas à grand-chose si aucun effort sur le sujet de la sécurisation du SI n’avait été faite (il y quand même un questionnaire à l’entrée), je ne pensais pas qu’elle couvrait « aussi peu » de risques dans les faits.
Prenons un exemple dans notre noble secteur de la santé :
Mon SIH brille de mille feux, tous mes systèmes sont supportés et à jour des derniers correctifs de sécurité, mes réseaux sont parfaitement segmentés, mon annuaire Active Directory est au top de sa forme, je lance un Ping Castle tous les mois, pas un cheveu qui dépasse, score de 0 dans toutes les catégories, mes dispositifs médicaux sont dans des réseaux étanches, j’ai des pares-feu qualifiés par l’ANSSI, mes utilisateurs sont sensibilisés régulièrement, ils réussissent les tests de phishing à tous les coups, j’ai un SIEM super bien configuré, une équipe de choc dans mon SOC et le meilleur EDR du marché. J’ai obtenu une certification ISO 27001 sur mes SI essentiels que j’ai récemment déclarés à l’ANSSI, même les pentesters formateurs de chez HS2 n’ont pas réussi à renter. Ma Direction me donne carte blanche, j’ai du budget… Pour résumer, c’est le pied !
Oui mais voilà… malgré cela, les petits gars de chez Wizard Spider m’ont déployé du Ryuk à tour de bras et mes données sont chiffrées… Mon PCA est dans un datacenter qui vient de brûler suite à un piratage du système de gestion de ses onduleurs et de sa climatisation.
Par chance, j’ai conservé ma sauvegarde sur bandes malgré les moqueries du genre : « tu vies encore au siècle précédent avec tes bandes magnétiques », je ne suis donc pas totalement à poil, mais il va me falloir du temps (et de l’argent) pour remonter tout ça…
Conséquences :
- 3000 agents au chômage technique.
- Obligé de faire appel à des prestataires pour nous aider à tout remonter rapidement, d’acheter du matériel, et ça va coûter cher
- Les urgences sont redirigées vers un autre établissement de mon GHT à 80 kilomètres, les ambulances font demi tour sur le parking, deux patients décèdent sur la route et trois auront des séquelles irréversibles du fait de leur prise en charge trop tardive. Les familles portent plaintes contre l’établissement.
- Je finis par avoir un contrôle de la CNIL, je n’étais malheureusement pas en conformité avec le RGPD et je prends une amende salée.
Qu’est-ce qui pourrait bien être couvert par une assurance cyber dans tout ce capharnaüm ?
Si j’ai bien tout compris :
- Les dommages corporels aux patients : NON (même si tout ça découle d’une attaque cyber)
- Le remplacement de matériel : NON
- Les salaires de mes agents qui jouent aux Sims sur leurs smartphones en attendant de pouvoir redémarrer leurs ordinateurs : NON
- L’amende de la CNIL : NON
- Les 350 000 enveloppes et timbres destinés à prévenir les patients d’une violation de leurs données : NON
- Le paiement de la rançon pour récupérer mes données plus vite : étonnamment, peut-être chez certains assureurs… pas chez Allianz en tout cas (en même temps, dans certains cas ça coûte moins cher et ce n’est pas interdit par la loi en France, même si c’est très fortement déconseillé)
- L’assistance des prestataires pour m’aider à repartir et investiguer (à condition d’avoir des sauvegardes) : OUI
Après investigations, il s’avère que la compromission ait été faite depuis la machine d’un éditeur du domaine de l’imagerie médicale qui s’est connecté depuis son VPN Ipsec (le bastion était au budget de cette année :p). Lui aussi a une assurance cyber, mais là encore elle ne pourra pas lui servir si je me retourne contre lui pour les dommages qui ont été causés chez moi. C’est sa responsabilité civile professionnelle qui va fonctionner.
Pour résumer, l’assurance cyber n’est que la cerise sur le gâteau si l’on a déjà bien fait son boulot et ne couvre que les dommages apportés aux données elles-même, ni plus, ni moins.
Avez-vous apprécié ce contenu ?
A lire également.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...