Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

De l’assurance cyber comme biais managérial

06 juin 2023 - 10:22,
Tribune - Cédric Cartau
En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?

Bête parce que, présenté tel quel, on ne voit pas. Ben quoi, assurer, c’est assurer, non ? J’assure ma bagnole contre le vol, mon billet d’avion contre une fièvre de cheval qui m’empêche de partir, ma maison contre la foudre, etc. En fait, il faut préciser : cela veut dire quoi selon les interlocuteurs. Ou, dit autrement, comment chaque catégorie ou classe d’interlocuteurs perçoit l’assurance cyber, au sens de ce qu’elle apporte à l’organisation (on parle indistinctement d’entreprises publiques ou privées). Assurer le parc de véhicules de service, au moins, c’est clair : d’une part, c’est obligatoire (au moins l’assurance au tiers), d’autre part, on n’a pas à débourser le prix d’une nouvelle Clio si la précédente s’est mangé un platane.

Sauf que pour le risque cyber, c’est différent. D’une part, les couvertures assurantielles sont récentes (et avec des garanties en constante chute), d’autre part, celles qui subsistent ne couvrent pas tout, ni en termes de perte d’exploitation, ni en termes de paiement de rançon (quand la garantie existe), sans même parler des franchises. Je vous fais la version courte : pas mal d’acteurs de l’assurance (qui ont pris des bouillons ou essayent d’éviter d’en prendre) font migrer leur offre vers du préventif, une équipe de pompiers cyber le jour où vous vous faites poutrer, voire des audits et des outils plus ou moins gratuits. On est donc généralement sur un service minimum quant à la prise en charge financière par l’assureur – et, de vous à moi, si j’étais assureur, je ferais tout pareil. Alors dans ce contexte, que veut dire être assuré contre le risque cyber ? Et surtout pour qui, au sens des parties intéressées (PI), terme ISO qui décrit les acteurs en relation avec un périmètre certifié (ici, l’assuré) ?

Pour les partenaires, cela signifie certainement que la boîte (vous) est (êtes) tip top en matière de protection cyber : la preuve, un assureur a bien voulu vous couvrir. Selon eux, si vous étiez dangereux s’agissant de risque incendie, aucun assureur ne vous couvrirait, idem pour le risque cyber.

Pour les usagers (externes) et les agents (internes), cela ne veut rien dire. Qui a le niveau pour comprendre la cyber et ses implications dans le grand public ?

Pour le DAF, cela signifie que l’on a transféré un risque de perte d’exploitation, rien d’autre. Curieusement, à ce stade, il est étonnant de voir combien les montants assurés (1 million d’euros, 5 millions d’euros, etc.) paraissent « gigantesques » pour le commun des mortels, mais ridicules pour le DAF. Pensez bien à lui communiquer les montants et les franchises : accessoirement, pour un CHU de grosse taille, une couverture de 5 millions d’euros (tout de même), c’est à peine une à deux journées de perte d’activité… Ça pique.

Pour la DSI, cela veut juste dire qu’on a un audit (ou une déclaration obligatoire) chaque année qui oblige à disposer d’un plan d’amélioration. Si on est ISO, ça aide, sinon aucune action préventive de remédiation n’a encore été menée… ni même budgétée. Comme aurait dit Coluche, on a gagné le grand concours !

Pour la DG, cela signifie que le risque juridique est couvert. Devant les montants de couverture annoncés, aucune DG ne songera raisonnablement à compter dessus en cas de gros cash crypto.

Pour l’assureur, c’est plus piquant. Certains assureurs historiques de tel ou tel secteur ou de telle ou telle entreprise ont mis cette couverture à leur catalogue, non pas pour couvrir ledit risque, mais juste pour éviter qu’un nouvel entrant ne chipe le client avec cette première garantie et ne mette le pied dans la porte en emportant les autres contrats… mais au premier gros crash on stoppe les frais. À ce sujet, il serait intéressant de voir les obligations de signalement des incidents SI à l’assureur : vertueuses ou génératrices de malus comme pour la voiture ?

Pour les pouvoirs publics enfin, quand on sait qu’une partie des établissements de santé ne sont pas assurables (je garde mes estimations pour moi), être titulaire d’un contrat vous fait entrer de facto au Rotary – ou vous évite la case « Purgatoire », c’est selon.

Étudier l’assurance cyber d’un établissement public ou privé, en dehors de l’étude classique coûts/garanties, c’est d’abord et avant tout partager une vision commune avec tous les acteurs.

À lire aussi : Un rapport de la direction générale du Trésor sur l’assurance du risque cyber

Veni, vidi, assuranci.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

09 mai 2025 - 15:31,

Communiqué

- ANAP

L’Anap publie un guide et un outil numérique d’aide à la décision pour permettre aux établissements de maîtriser la TVA, optimiser leurs flux et trouver facilement les dispositions applicables à leur situation.

Illustration Élargissement de la feuille de route pour la performance des achats et de la logistique

Élargissement de la feuille de route pour la performance des achats et de la logistique

06 mai 2025 - 08:10,

Actualité

- Damien Dubois, DSIH

Le 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

Illustration [SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

[SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !

05 mai 2025 - 19:12,

Communiqué

- Axigate Link

"Économie de la santé & transformation numérique : les enjeux et les leviers pour améliorer la qualité du système de santé" Le mercredi 21 mai à 15h00, la Division Axigate Link du Groupe EQUASENS, aura l'honneur d'accueillir Nicolas BOUZOU, économiste et essayiste reconnu, pour une conférence exclus...

Illustration [SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

[SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !

05 mai 2025 - 18:50,

Communiqué

- Axigate Link

À l’occasion de SantExpo, du 20 au 22 mai 2025, retrouvez les équipes de la Division Axigate Link du Groupe EQUASENS à SANTEXPO sur le Stand K48 pour échanger autour de vos enjeux métier, découvrir les innovations logicielles, et assister à une série de conférences exclusives animées avec nos client...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.