• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Assurance > Cyberassurance : les établissements de santé appelés à améliorer leur gestion des risques

Cyberassurance : les établissements de santé appelés à améliorer leur gestion des risques

Plusieurs affaires récentes de piratage contre des établissements de santé ont défrayé la chronique. Le renforcement des mesures de prévention et de protection apparaît comme un prérequis indispensable avant toute couverture assurantielle. Hôpitaux et assureurs ont confié à mind Health et mind Fintech les impacts, difficultés et enjeux propres à ce risque émergent.

Par Coralie Baumard et Antoine Duroyon. Publié le 14 décembre 2022 à 17h52 - Mis à jour le 22 décembre 2022 à 10h31
Serveur
  • Ressources

La cyberattaque est un risque que les hôpitaux ne peuvent plus ignorer. L’attaque de l’hôpital André-Mignot du centre hospitalier de Versailles, le 3 décembre 2022, en est la dernière preuve.  À la fin novembre 2022, le CERT Santé, la structure qui gère les menaces de cybersécurité pour les établissements de santé et les établissements et services médico-sociaux, a recensé 500 incidents dont 50 % d’origine malveillante. Les rançongiciels constituent la menace la plus fréquente.

Dans la nuit du 8 au 9 octobre, l’hôpital parisien Pierre Rouquès dédié à la santé de la femme se fait pirater. Tous les documents et les logiciels hébergés à l’hôpital sont cryptés, les sauvegardes sont effacées, l’accès aux mails est coupé. Grâce à l’accompagnement du CERT Santé, l’hôpital peut reconstruire peu à peu son réseau. “Le logiciel en mode Saas que nous avons déployé en salle de naissance nous a permis d’accueillir nos patientes sereinement, nous avons récupéré notre logiciel de facturation fin novembre et nos boîtes mails sont en train de remonter, nous nous rapprochons doucement d’un fonctionnement normal”, indique Brice Martin, directeur de l’hôpital Pierre Rouquès. Mais le rétablissement des liens avec l’extérieur peut s’inscrire dans un temps plus long. Le centre hospitalier de Mâcon attaqué le 27 mai 2022 n’a ouvert à nouveau ses liaisons externes qu’à la mi-novembre après avoir obtenu l’autorisation de l’Anssi. 

Des impacts difficiles à estimer à long terme 

Si une cyberattaque représente un défi organisationnel, elle a également un coût non négligeable. “Nous l’avons évalué à environ 450 000 euros auxquels il faut ajouter 90 000 euros pour l’acquisition de postes informatiques supplémentaires. Mais, il est compliqué de tout chiffrer et d’identifier les impacts“, juge Jean-Christophe Tamboloni, directeur du système d’information du centre hospitalier de Mâcon. À ce jour, l’établissement supporte seul ces dépenses. L’impact financier à long terme d’une cyberattaque reste difficile à apprécier. “Sur le court terme, nous sommes pour l’instant entre 450 000 et 500 000 euros pour le renouvellement du matériel,  la prestation liée aux récupérations des données sur les sauvegardes, les remontées de logiciels, le temps de ressaisir les données papier en informatique. Mais il faut que nous apprécions plus finement la potentielle perte d’activité, nous n’avons pas eu d’activité sur la PMA [procréation médicalement assistée, Ndlr] pendant une semaine, mais ce qui m’intéresse en termes de pertes d’exploitation, c’est l’impact sur les inscriptions à la maternité dans les six mois à venir. Des données de patientes ont été exfiltrées et mises en ligne sur le dark web et certaines ont souhaité suspendre leurs inscriptions”, analyse Brice Martin. 

Ces cyberattaques ont relancé le questionnement de ces établissements sur la souscription à une cyberassurance. “Outre le renouvellement de matériel, dans notre cas, la cyberattaque a eu des répercussions importantes sur le volume d’heures supplémentaires des agents, c’est ce qui nous a coûté le plus cher. Dans ce type de crise, on est dans un mode d’urgence, on a vraiment besoin de bras parce qu’il y a énormément d’actions à effectuer sur le système informatique et même au niveau métier. Aucune décision n’a été prise sur la cyberassurance, nous sommes en discussion avec le service économique ”, souligne Jean-Christophe Tamboloni. 

Une question à arbitrer 

À l’hôpital Pierre Rouquès, la question devrait être tranchée prochainement. “Nous avons été attaqué, rien ne dit que dans six mois, un an ou deux ans, nous ne le serons pas à nouveau. Il faut que l’on soit prudent, la pérennité de la structure est la priorité. Sham (Relyens) nous a fait une offre. Nous allons analyser l’offre de différents opérateurs, mais je pense que ce sera soldé au budget pour le premier trimestre 2023”, considère Brice Martin. 

L’exclusion du risque cyber des garanties classiques proposées aux hôpitaux amènent également certains acteurs à se positionner sur la question. “Les garanties ont été fortement réduites depuis un ou deux ans. L’urgence est d’avoir une couverture juridique pour protéger le directeur d’établissement, une garantie de pertes d’exploitation et surtout une assistance d’experts en cas de cyberattaque pour les structures avec des DSI réduites”, estime Cédric Cartau, responsable sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes. Le groupement hospitalier de territoire de Loire-Atlantique, dont il fait partie, étudie en ce moment une offre d’accompagnement cyber faite par la coopérative d’acheteurs hospitaliers UniHA et Sham (Relyens).

Une exposition multiple au risque cyber 

  • La santé et la banque sont les secteurs où les coûts médians des incidents cyber sont les plus élevés (300 000 euros) ; 
  • Seuls 27 % des opérateurs de services essentiels (OES) du secteur de la santé disposent d’un programme de défense contre les ransomwares ; 
  • 64 % des OES du secteur de la santé utilisent déjà des dispositifs médicaux connectés dans leurs opérations ; 
  • 40 % des entreprises interrogées n’ont pas de programme de sensibilisation à la sécurité pour le personnel non informatique. 

Source : NIS Investments 2022, Enisa, novembre 2022

 Le coût de la cyberassurance est un point sensible pour de nombreux établissements d’autant que certains comme le centre hospitalier de Mâcon estiment que leurs équipes sont “sous-dimensionnées pour aborder l’ensemble des problématiques de sécurité”. Les établissements font donc face à un dilemme: prendre une assurance à l’instant T pour se sécuriser quitte à payer une prime annuelle élevée ou tenter de réduire son exposition au risque ?  “Vaut-il mieux assurer un système informatique (SI) ou vaut-il mieux d’abord recruter des personnes pour le mettre d’équerre et assurer ensuite un SI qui est dans un bien meilleur état ? C’est l’éternel débat”, résume Cédric Cartau. 

Favoriser une politique de gestion des risques

Les assureurs présents sur le marché du risque cyber s’accordent sur un point : les acteurs de la santé doivent regarder au-delà de l’approche indemnitaire pour développer une véritable politique de gestion des risques. Pour les accompagner, courtiers et porteurs de risque veulent jouer un rôle central. “Cela passe par plusieurs leviers : accompagner les établissements de santé, qu’ils soient publics ou privés, avec des solutions de pilotage du risque technologique, de prévention et de protection, puis proposer des solutions d’assurance pour couvrir le risque résiduel”, détaille Arnaud Ringwald, responsable souscripteur senior cyber chez Sham (Relyens).

Pour renforcer son positionnement sur le pilotage du risque, le groupe mutualiste développe notamment avec la start-up Citalid une plateforme destinée aux établissements de santé. “Opérationnelle dans les prochains mois, cette plateforme aura pour objectif de quantifier le risque numérique des établissements en croisant des données globales et en posant des questions sur la maturité technique et organisationnelle”, précise Arnaud Ringwald. 

L’ambition est de pouvoir proposer un accompagnement sur la durée : en amont de la souscription (évaluation, préconisations pour faciliter l’éligibilité à l’assurance…), à la souscription (diagnostic initial, protocoles de gestion des crises) puis de manière régulière (révision du diagnostic) et enfin en cas d’incident avéré. Chez Relyens, le travail de prévention et de protection passe notamment par le dépôt d’une sonde fournie par CyberMDX afin de contrôler les dispositifs médicaux des établissements de santé, un axe de vulnérabilité jugé important. Des ressources externes peuvent être aussi mobilisées via des partenaires comme ADvens, Orange Cyberdefense, Intrinsec ou Inquest (Stelliant).

UniHA cible les centres hospitaliers publics avec une offre cyber 

Depuis janvier 2022, UniHA propose à ses groupements hospitaliers de territoire adhérents ou à leur établissement support une offre globale cyber comportant des volets prévention, accompagnement et assurance. Elle a été développée au terme d’un dialogue compétitif. Le marché a été attribué pour une durée de quatre ans à Sham (Relyens) en groupement avec aDvens. L’offre débute par un audit du groupement hospitalier de territoire afin d’obtenir sa catégorie de risque. En fonction de cette dernière, il pourra ou non souscrire une assurance intégrant des garanties responsabilité, dommages et assistance. Un accompagnement est prévu pour réduire l’exposition aux risques des établissements non assurables afin de leur permettre de s’assurer par la suite. Un suivi est prévu chaque année. 

“Le challenge est que ces établissements ne connaissent pas l’outil assurantiel, ne savent pas le souscrire et passent à côté d’une solution de risk management dont ils auraient bien besoin. C’est notre rôle à l’AMRAE de sensibiliser sur l’intérêt de mettre en place une bonne politique de gestion du risque cyber, dont l’assurance fait partie”, résume Philippe Cotelle, administrateur de l’AMRAE et risk manager chez Airbus Defence and Space. Accompagnement et assistance s’imposent comme des éléments fondamentaux de l’offre, en particulier pour des acteurs privés qui ne bénéficieraient pas en premier lieu du soutien des pouvoirs publics, et notamment de l’ANSSI.

Changement complet de paradigme

Pour comprendre le poids donné à la gestion globale des risques, il faut revenir sur la trajectoire du marché de l’assurance cyber. “En 2019 et 2020, les capacités ont été réduites très fortement. Des assureurs sont complètement sortis du marché à cause d’une explosion du nombre de sinistres. Il y a eu un nettoyage des garanties silencieuses puis le marché s’est spécialisé avec des garanties spécifiques”, rappelle Frédéric Chaplain, directeur IARD chez le courtier Verlingue. Résultat : un changement complet de paradigme et un resserrement drastique des conditions d’éligibilité à l’assurance. Parmi les cinq ou six prérequis qui reviennent fréquemment figurent notamment l’authentification multifacteur, la politique de sauvegarde, la gestion de l’obsolescence, la prise en compte du facteur humain, etc.

“L’assurance cyber n’est pas une réponse in fine aux problématiques des établissements de santé. Ils doivent d’abord prendre connaissance de leur exposition, mener des actions de prévention et de pilotage. Il faut un niveau de maturité minimale avant de penser à l’assurance, confirme Arnaud Ringwald. En analysant de manière brute les premières données, nous rejetons 2 demandes d’assurance sur 3. Grâce à un travail entre le client, le souscripteur et le risk manager, on peut atteindre assez rapidement un taux d’acceptation de 50 %”.

Malgré ces difficultés – des capacités réduites et une extrême sélectivité – “le cyber est une assurance qui fonctionne très bien, car le bouquet de services associés démontre toute sa valeur”, pointe Frédéric Chaplain. Autre écueil : “des assureurs vont proposer des garanties très en retrait sur les rançongiciels, alors que c’est la première cause de sinistres d’intensité”, souligne Alexandre Tolot, directeur des lignes financières et risques spéciaux chez Verlingue. Dans certains cas, les assureurs peuvent réduire jusqu’à 50 % la quotité non garantie, c’est-à-dire le pourcentage non assuré dans le cadre de la police.

La question du remboursement du paiement de la rançon est traitée au cas par cas. Chez Relyens, il a toutefois été acté en 2021 de retirer cette garantie du produit. “Nous avons pris cette décision pour des raisons éthiques – on ne sait pas qui on finance en payant la rançon – mais aussi techniques. Un établissement de santé manipule des données de santé et il est problématique de restaurer des données et des logiciels à partir d’une clé de décryptage fournie par un assaillant”, considère Arnaud Ringwald. L’Assemblée nationale a adopté le 7 décembre le projet de loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) dont l’article 4 traite de ce sujet. Le texte conditionne le remboursement par l’assurance des pertes et dommages consécutifs à une cyberattaque, dont le paiement d’une rançon, au dépôt d’une plainte par la victime dans les soixante-douze heures. 

Coralie Baumard et Antoine Duroyon
  • cyberassurance

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025