Publicité en cours de chargement...

Publicité en cours de chargement...

De l’assurance cyber comme biais managérial

06 juin 2023 - 10:22,
Tribune - Cédric Cartau
En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?

Bête parce que, présenté tel quel, on ne voit pas. Ben quoi, assurer, c’est assurer, non ? J’assure ma bagnole contre le vol, mon billet d’avion contre une fièvre de cheval qui m’empêche de partir, ma maison contre la foudre, etc. En fait, il faut préciser : cela veut dire quoi selon les interlocuteurs. Ou, dit autrement, comment chaque catégorie ou classe d’interlocuteurs perçoit l’assurance cyber, au sens de ce qu’elle apporte à l’organisation (on parle indistinctement d’entreprises publiques ou privées). Assurer le parc de véhicules de service, au moins, c’est clair : d’une part, c’est obligatoire (au moins l’assurance au tiers), d’autre part, on n’a pas à débourser le prix d’une nouvelle Clio si la précédente s’est mangé un platane.

Sauf que pour le risque cyber, c’est différent. D’une part, les couvertures assurantielles sont récentes (et avec des garanties en constante chute), d’autre part, celles qui subsistent ne couvrent pas tout, ni en termes de perte d’exploitation, ni en termes de paiement de rançon (quand la garantie existe), sans même parler des franchises. Je vous fais la version courte : pas mal d’acteurs de l’assurance (qui ont pris des bouillons ou essayent d’éviter d’en prendre) font migrer leur offre vers du préventif, une équipe de pompiers cyber le jour où vous vous faites poutrer, voire des audits et des outils plus ou moins gratuits. On est donc généralement sur un service minimum quant à la prise en charge financière par l’assureur – et, de vous à moi, si j’étais assureur, je ferais tout pareil. Alors dans ce contexte, que veut dire être assuré contre le risque cyber ? Et surtout pour qui, au sens des parties intéressées (PI), terme ISO qui décrit les acteurs en relation avec un périmètre certifié (ici, l’assuré) ?

Pour les partenaires, cela signifie certainement que la boîte (vous) est (êtes) tip top en matière de protection cyber : la preuve, un assureur a bien voulu vous couvrir. Selon eux, si vous étiez dangereux s’agissant de risque incendie, aucun assureur ne vous couvrirait, idem pour le risque cyber.

Pour les usagers (externes) et les agents (internes), cela ne veut rien dire. Qui a le niveau pour comprendre la cyber et ses implications dans le grand public ?

Pour le DAF, cela signifie que l’on a transféré un risque de perte d’exploitation, rien d’autre. Curieusement, à ce stade, il est étonnant de voir combien les montants assurés (1 million d’euros, 5 millions d’euros, etc.) paraissent « gigantesques » pour le commun des mortels, mais ridicules pour le DAF. Pensez bien à lui communiquer les montants et les franchises : accessoirement, pour un CHU de grosse taille, une couverture de 5 millions d’euros (tout de même), c’est à peine une à deux journées de perte d’activité… Ça pique.

Pour la DSI, cela veut juste dire qu’on a un audit (ou une déclaration obligatoire) chaque année qui oblige à disposer d’un plan d’amélioration. Si on est ISO, ça aide, sinon aucune action préventive de remédiation n’a encore été menée… ni même budgétée. Comme aurait dit Coluche, on a gagné le grand concours !

Pour la DG, cela signifie que le risque juridique est couvert. Devant les montants de couverture annoncés, aucune DG ne songera raisonnablement à compter dessus en cas de gros cash crypto.

Pour l’assureur, c’est plus piquant. Certains assureurs historiques de tel ou tel secteur ou de telle ou telle entreprise ont mis cette couverture à leur catalogue, non pas pour couvrir ledit risque, mais juste pour éviter qu’un nouvel entrant ne chipe le client avec cette première garantie et ne mette le pied dans la porte en emportant les autres contrats… mais au premier gros crash on stoppe les frais. À ce sujet, il serait intéressant de voir les obligations de signalement des incidents SI à l’assureur : vertueuses ou génératrices de malus comme pour la voiture ?

Pour les pouvoirs publics enfin, quand on sait qu’une partie des établissements de santé ne sont pas assurables (je garde mes estimations pour moi), être titulaire d’un contrat vous fait entrer de facto au Rotary – ou vous évite la case « Purgatoire », c’est selon.

Étudier l’assurance cyber d’un établissement public ou privé, en dehors de l’étude classique coûts/garanties, c’est d’abord et avant tout partager une vision commune avec tous les acteurs.

À lire aussi : Un rapport de la direction générale du Trésor sur l’assurance du risque cyber

Veni, vidi, assuranci.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Illustration « Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

23 juin 2025 - 21:23,

Actualité

- DSIH, Mehdi Lebranchu

Le 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.