Le secteur de la santé, victime de 11 % des attaques informatiques, se positionne hélas sur le podium des secteurs cibles des cyberattaques.
Le gouvernement a annoncé, depuis 2019, un renforcement des mesures en faveur de la cybersécurité. Ainsi pour 2021, 350 millions d’euros ont été prévus pour financer la cybersécurité des établissements de santé dont 25 millions d’euros sont alloués par l’ANSSI (Agence Nationale de la Sécurité des Systèmes Informatiques) pour réaliser les audits. Pour les fédérations hospitalières l’objectif demeure, consacrer 10 % du Ségur de la santé à l’accompagnement dans la durée de la cybersécurité. L’exigence d’un certain niveau de sécurité au sein de chacune des structures s’impose. « Les établissements de santé manipulent et stockent énormément de données médicales, personnelles et financières extrêmement sensibles et valorisables sur le dark web », confirme Emmanuel Joly, directeur général chez Yvelin (filiale de Collecteam et courtier d’assurance spécialisé dans les risques des établissements de santé).
En moyenne, 1,6 % du budget d’exploitation des établissements de santé est consacré aux systèmes d’information selon le bureau des SI de la DGOS du ministère de la Santé. Pourtant en 2021, « chaque semaine un établissement de santé est attaqué. Ces attaques prennent différentes formes : envoi d’un programme malveillant via une pièce jointe, attaque visant à rendre un site web indisponible, hameçonnage, ransomware.
L’établissement est alors obligé d’engager des frais de gestion de crise, d’avoir recours à des techniciens informatiques, des assistants juridiques, de payer des frais de notification et de surveillance des données auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés), et enfin, de mettre en place une action de communication adéquate. À cela peut s’ajouter une demande de rançon. Les établissements de
santé sont devenus des cibles de choix pour les hackers car la notion de cybersécurité n’est pas toujours ancrée dans les pratiques. »
« En 2021, le préjudice financier moyen des cyber incidents est six fois plus élevé qu’en 2018. Malgré tous les moyens de prévention et de protection mis en place, la question n’est plus de déterminer « si » la cyber attaque peut arriver, mais « quand » elle arrivera, » confie Emmanuel Joly.
Dans ce contexte, la souscription et le renouvellement des contrats est compliqué, « les assureurs deviennent sélectifs et nous observons un doublement, voire un triplement des primes d’assurance cyber. Un questionnaire d’entrée est désormais obligatoire pour mieux connaître le niveau de sécurité de l’établissement. Des questions clés permettent de savoir si le risque est ou non assurable en l’état. S’il est assurable, l’assureur délivre une
offre de cotation et de couverture. S’il ne l’est pas, Yvelin propose aux adhérents CAHPP de réaliser un audit en partenariat avec une société spécialisée. Le but étant de mettre en place des mesures rectificatives afin de rendre le risque assurable. »
Partenaire de CAHPP, Yvelin propose aux adhérents une offre d’assurance dédiée, basée sur trois grands volets : la gestion de crise qui passe par de l’assistance d’experts informatiques joignables 24/24 et 7/7 et la mise en place des actions nécessaires pour limiter « la casse » ; la réparation des dommages subis par l’établissement, reconstitution des données, décontamination du système informatique et éventuelles pertes
d’exploitation ; et enfin la prise en charge des cyber responsabilités du fait de l’atteinte aux données à caractère personnel, des incidents de sécurité et des atteintes à l’e-réputation (publicités mensongères, violation des droits de propriété intellectuelle ou des droits à l’image…).
Selon Élodie Soyer, chargée d’études chez Yvelin, « les conséquences financières, juridiques et médiatiques d’une cyber attaque sont une réelle menace pour la pérennité et le bon fonctionnement des établissements de santé. Le contrat d’assurance permet une réponse rapide et un transfert des risques vers les assureurs ».
Renseignements : www.yvelin.fr