La question se pose depuis l’apparition des premières cyber-attaques contre de nombreux acteurs économiques (entreprises de toutes tailles y compris compagnies d’assurance et courtiers, collectivités territoriales ou encore hôpitaux publics et cliniques privés).
Le risque cyber est-il réellement assurable, en particulier pour les établissements de santé ? Sans démarche de sensibilisation, de sécurisation et une volonté affichée de leur part d’intégrer cette menace quotidienne susceptible de paralyser tout l’accès aux soins, il parait peu probable qu’assureurs et réassureurs puissent leur garantir une telle couverture. L’avis de Didier Ambroise, associé fondateur de Doshas Consulting.
Péril avéré par ses conséquences sur la prise en charge des patients, ses répercussions financières et son caractère systémique, le risque cyber touche de plein fouet le secteur de la santé. Pour Didier Ambroise, associé fondateur de Doshas Consulting qui est également co-organisateur du CyberCamp Santé « de manière générale, le niveau de maturité des établissements de santé pour se prémunir d’attaques numériques est encore relativement bas. Or, pour prétendre bénéficier de garanties face à la menace cyber, ils doivent respecter des critères de prévention sans attendre passivement que surviennent une attaque, auquel cas il ne saurait être question d’aléa. A charge pour eux d’intégrer ce risque dans le montage des nouveaux projets et le pilotage stratégique de leur politique sécuritaire, évitant ainsi de devenir inassurables. »
Mesurer son niveau d’assurabilité
Enjeux financiers, opérationnels, juridiques et réputationnels, face à la multiplication des piratages informatiques des systèmes d’information, souscrire à un contrat d’assurance cyber ne peut en effet prétendre être l’unique réponse. Assureurs et réassureurs privilégient donc des clients ayant déjà sécurisé à minima leur périmètre. « Certains, comme Relyens, leur proposent même des modèles d’évaluation du risque pour mesurer leur robustesse en matière de cyber sécurité. L’idée étant d’éviter que l’éventualité d’un piratage ne constitue une manière opportuniste de se doter d’un nouveau système informatique « tout frais payés ». »
Si le risque financier associé à la cybermalveillance est assez difficile à quantifier par manque de recul et de retours d’expériences, il n’est pas le seul objectif des assureurs qui cherchent à apparaître comme des partenaires fiables et pragmatiques, capables d’agir aux côtés des établissements de santé, en amont et en aval du sinistre. Didier Ambroise souligne que leur présence est essentielle dans la prévention et le redémarrage de l’activité et qu’ils proposent des prestataires référencés dans l’aide à la gestion de la crise.
Frédéric Rousseau, en charge du marché cyber chez Hiscox assurances évoquait déjà, en octobre 2020, la possibilité « d’une assistance solide donnant accès à des experts en cyber-sécurité, en communication de crise et juridiques » tout comme il soulignait « la responsabilité personnelle du ou des dirigeants hospitaliers » au-delà de celle de l’organisation.
Reste la position des acteurs concernés quant à l’interdiction des paiements des rançons dans les contrats d’assurances, allant de paire avec une clarification réglementaire de la part des pouvoirs publics. « La Loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), adoptée le 14 décembre dernier, modifie dans son article 4 le code des assurances en subordonnant le remboursement des pertes et dommages causés par une cyberattaque au dépôt d’une plainte par la victime, dans les 72 heures qui suivent la découverte de l’incident. »
Les questions restent encore nombreuses et méritent un débat des acteurs concernés. Certains seront réunis lors du CyberCamp Santé #3 du 2 février prochain à PariSanté Campus où cette thématique fera l’objet d’une keynote introductive et d’un atelier spécifique.