Les établissements de santé et la cyber assurance : Maîtriser les risques et transférer le risque numérique résiduel
La cybersécurité est l'un des principaux risques auxquels les établissements de santé sont actuellement confrontés. Les récents événements ont rendu les organisations beaucoup plus conscientes des risques informatiques qu'elles courent et de la nécessité de renforcer leur sécurité.
Avec la croissance de ces risques, l’assurance cyber connait un développement important, sans atteindre toutefois pleinement son potentiel, notamment dans le milieu médical encore insuffisamment assuré.
Les établissements de santé investissent davantage dans leur sécurité informatique mais semblent avoir encore du mal à déterminer avec précision les conséquences financières d’une attaque ou d’une intrusion au sein de leur organisation, justifiant de ce fait le faible intérêt qu’elles ont à transférer le risque résiduel vers une Compagnie d’assurance.
Une meilleure compréhension des offres cyber assurance, du bénéfice du travail préparatoire préalable à la souscription du risque, participera au développement de la cyber assurance au sein des établissements de santé.
Explications.
1. A PROPOS DE LA CYBER ASSURANCE
L'assurance cyber risques est un élément essentiel très précieux qui vient en complément de cette gestion des risques. Ces assurances ne se limitent pas à la couverture d'assurance, mais comprennent généralement une partie conseil / prévention, une partie gestion de crise en cas d’attaque (intervention d’experts 24 H / 24 H afin de limiter les effets de l’attaque), un volet couverture des dommages subis et causés.
Des courtiers spécialisés en cyber assurance
Compagnies d’assurance et courtiers spécialisés en assurance cyber (www.cyber-cover.fr) ont cependant développé de nouvelles solutions en cyber-assurance qui reflètent les cyber-risques d'une organisation. Celles-ci ne sont pas uniformes et dépendent des caractéristiques de l'organisation, de sa taille, son type, son secteur et son niveau de digitalisation. Ainsi les grands établissements de santé auront tendance à s'appuyer sur une cyber-assurance sur mesure, proposant des garanties adaptées à leurs besoins.
Les petites organisations, quant à elles, peuvent opter pour une offre de cyber assurance packagée qui pourra intégrer de nouvelles prestations (cyber-protection, mise en relation avec des prestataires en sécurité, gestion de crise 24 h / 24 h).
Les organisations de taille moyenne sont quant à elles plus hésitantes sur ce dont elles ont besoin en termes de couverture et de services afin de se protéger contre les risques et en atténuer les effets. Quelle que soit la situation, un élément clé réside dans une bonne compréhension entre l'assuré, l'assureur et le courtier, qui sera la garantie de la bonne appréciation du risque résiduel à couvrir par la cyber assurance.
Les points importants à analyser afin de définir le risque résiduel.
Il est essentiel que les organisations intègrent la cyber assurance dans une démarche de sécurité. Elles doivent se préparer à la cartographie des risques qui sera exigé par le courtier (intermédiaire en assurance) et par la Compagnie d’assurance porteuse du risque.
Les assureurs ont tendance à utiliser leurs propres questionnaires pour la collecte d'informations, partie importante dans le processus, parfois complexe mais essentiel pour les deux parties. L'assureur se fondera sur ces renseignements pour accepter la souscription du risque et pour proposer des services connexes. De son côté l’organisation pourra s’appuyer sur ce questionnaire pour évaluer ses besoins en matière de sécurité et pour identifier les personnes à impliquer en cas d’attaque.
Le courtier intermédiaire jouera un rôle crucial dans ce dialogue, garant que l'acheteur potentiel a une bonne compréhension de ses risques et capable de proposer le bon niveau de couverture.
2. LA PRÉPARATION DE L'INFORMATION SUR LA CYBER-SOUSCRIPTION
Tout établissement souhaitant atténuer ses cyber-risques doit d'abord évaluer aussi précisément que possible son niveau d’exposition et ses vulnérabilités potentielles.
Dans un premier temps, l'organisation doit mener des investigations en interne et dresser un tableau de la situation relatif à son exposition aux risques et la façon dont il les gère. Ce travail peut s'avérer difficile, en particulier pour les organisations qui ne disposent pas d'une fonction dédiée en charge de la gestion des risques. Cet exercice de collecte d'informations doit avoir lieu au début du processus d'évaluation des cyber-risques. L'exercice peut parfois conduire à des améliorations dans la gestion des risques. En effet, en passant en revue une série d'indicateurs, l'organisation peut reconnaître l'inadéquation entre les menaces auxquelles elle est confrontée et son niveau de préparation.
L'exercice est également susceptible d'être utile pour les organisations lorsqu'elles souhaitent souscrire une cyber assurance, bien que les assureurs aient tendance à se fier à leurs propres questionnaires pour recueillir les données, il y a un fil conducteur commun dans l'information collectée, qu'ils trouveront pertinente aux fins de la souscription.
Les renseignements généraux sur l’établissement
Ces informations générales ont pour but de permettre à l'assureur de comprendre l'étendue de l'exposition d’un établissement de santé aux menaces et à mieux évaluer la solution à offrir. L’analyse du type d’établissement, va aider l'assureur à évaluer l'exposition de son organisation aux risques potentiels.
Une organisation travaillant en BTC, ou traitant des données sensibles (données médicales par exemple) peuvent impliquer un impact important au regard du RGPD en cas de violation des données à caractère personnel. La collecte de coordonnées bancaires des clients peut générer un risque accru de perte au regard des tiers.
Dans le cas d’une entreprise travaillant en BTB, la mesure des impacts possibles d’une violation du système d’information au regard des chaînes d'approvisionnement, des processus de production, des actifs (tangibles et intangibles), des possibles mises en cause de la responsabilité civile est nécessaire.
Le chiffre d'affaires annuel ou le budget de fonctionnement est généralement l'indicateur le plus fort d'une exposition potentielle d’une organisation. Le budget de sécurité informatique exprimé en valeur et / ou en pourcentage du budget global ou le budget informatique sont des éléments d’appréciation utiles pour un assureur afin de comprendre le niveau de maturité informatique d’une organisation.
La culture d’entreprise en matière de cybersécurité
La composante humaine est un facteur critique de cybersécurité. Étant donné que la transformation numérique touche tous les éléments d'une organisation, la capacité d’une organisation à sensibiliser et former les équipes opérationnelles, et pas seulement les informaticiens, est un indicateur important du niveau de développement de l'entreprise. L'assureur peut donc vouloir en savoir plus sur la formation des équipes en charge de la sécurité du système d'information et de la gestion des risques. Il prendra soin à analyser la part des services externalisés, et souhaitera comprendre si la sécurité du SI est partagée par un nombre important de personnes et si c’est une préoccupation générale au sein de l'organisation. Chaque élément susceptible de montrer une culture d'entreprise dans laquelle la sécurité informatique est intégrée dans la formation de chaque utilisateur, ou susceptible d’aider à mesurer sa capacité à prévenir les risques sont des indicateurs venant alimenter l'évaluation générale de l’organisation par l'assureur.
3. LA SECURITE DU SYSTEME D’INFORMATION
Cartographie des risques
Les compagnies d’assurance pourront s’attacher à avoir une cartographie de tous les systèmes d’information à l'intérieur et à l'extérieur de l'organisation, ainsi que les données / informations contenues dans ces systèmes. Les assureurs peuvent être intéressés à connaître la nature de ces données et leur utilisation. Parmi les indicateurs importants, mentionnons la capacité d'identifier les informations et les serveurs les plus sensibles. Pour les assureurs, la capacité de l'organisation à identifier les données sensibles et les équipements critiques est un signe positif que l'organisation est engagée dans une démarche de sécurisation de son informatique.
La gestion des habilitations
Les assureurs attachent beaucoup d’importance à la sécurisation des accès aux réseaux, à la gestion des droits d’accès et aux habilitations. Les organisations peuvent ainsi démontrer comment les points d'accès sont contrôlés, en montrant leur rigueur dans la sécurisation d’informations critiques.
Mobilité et politique de sécurité
Il peut être utile de montrer que des mesures ont été prises pour sécuriser physiquement les appareils mobiles. Cela inclut le cryptage des données sensibles et du matériel nomade qui pourraient être perdus ou volés. L'organisation peut également avoir adopté une politique de sécurité de connexion au réseau des appareils mobiles. Cette gestion de la sécurité des appareils nomades peut être un indicateur de la façon dont le risque de fuites de données est géré.
Les réseaux
Le fait d'avoir des réseaux accessibles dans un seul espace est considéré comme un facteur de risque pour l'organisation, à la différence d’espaces partitionnés, indicateur positif pour l'assureur. Un assureur peut demander si et comment les réseaux sont divisés en fonction de la criticité des systèmes pour éviter la propagation d'une attaque à partir d'un système compromis et peu critique, tel qu'un poste de travail, à un système critique, tel qu'un serveur. Il peut également étudier ce qui est accessible de l'extérieur et / ou par Internet (par exemple, si le système de gestion des ressources humaines et de la paie est accessible à partir d'Internet) et s'il y a un cloisonnement entre ces zones.
La notion de sécurisation des réseaux Wi Fi, l’existence de passerelle d'accès sécurisée à Internet, la sécurité des interconnexions réseau dédiées avec les partenaires sont des éléments d’appréciation de la sécurité des réseaux. Enfin, la sécurité physique protégeant l'accès aux salles serveurs et aux zones techniques est également prise en compte, sans oublier les niveaux de redondance mis en place pour assurer la disponibilité de l'information et des systèmes.
L'information sur ces éléments donne à l'assureur une indication de la mesure dans laquelle l'organisation peut réduire le risque et atténuer une panne de ses réseaux.
Administration sécurisée
Les droits d'administration sont un point critique. Une bonne gestion des droits se traduira par :
- Identification de chaque personne accédant au système par son nom et distinction des rôles génériques d'utilisateur/administrateur
- Affectation des droits corrects aux ressources sensibles du système d'information
- Définition et vérification de règles pour le choix et la taille des mots de passe et la protection des mots de passe stockés sur les systèmes
- Modifications des paramètres d'authentification par défaut sur les périphériques et les services et utilisation d'une authentification à deux facteurs si possible
- Interdiction de l'accès à Internet à partir de dispositifs ou de serveurs utilisés par l'administration du système d'information
- Utilisation d'un réseau dédié et séparé pour l'administration du système d'information et limitation des droits d'administration sur les postes de travail à des besoins strictement opérationnels
Les systèmes de contrôle industriels
Les organisations qui dépendent des systèmes de contrôle industriels peuvent faire face à d'importantes pertes d'exploitation en cas d'interruption de l'exploitation si elles sont victimes d’une cyberattaque réussie. En raison de ce potentiel de perte, les assureurs sont susceptibles de demander des informations détaillées sur les opérations et les contrôles.
Le terme « systèmes de contrôle industriel » est un terme général utilisé pour englober divers types de systèmes de contrôle et d'instruments de contrôle des procédés industriels connexes. Dans le cas des structures de santé, il s’agit principalement des systèmes biomédicaux et des solutions industrielles (logistique, robotique de PUI, blanchisserie…).
4. LES FOURNISSEURS INFORMATIQUES
L'externalisation des fonctions liées à l'informatique et à la sécurité informatique ne supprime pas la responsabilité d'une organisation dans la gestion des risques associés. La qualité et la réputation des fournisseurs informatiques sous contrat peut aider les assureurs à mieux comprendre les « risques d'accumulation » en cas d'attaque informatique.
5. LA GESTION DES MISES À JOUR
Les assureurs peuvent interroger les organisations sur leurs politiques de mise à jour des composants de leurs systèmes d'information et d'anticipation de l'évolution des logiciels. La présence de certains logiciels spécifiques qui ne peuvent pas être mis à jour et les contrôles correspondants en place pour atténuer les vulnérabilités sont également des informations pertinentes. Il pourrait être utile d'expliquer si ce processus est centralisé et automatisé ou s'il repose sur le volontariat, la régularité et l'engagement des utilisateurs.
La gestion des mises à jour et de l'obsolescence indique dans quelle mesure l'organisation atténue les menaces qui exploitent les vulnérabilités des logiciels et complète le tableau d'ensemble de la capacité d'une organisation à faire face à ses risques.
6. LA MIS EN PLACE DE PLANS DE GESTION DES CYBER-RISQUES
Considérant le fait qu’il n’y a pas de solution miracle aux cyberattaques, et qu’ils sont la cible de cyber criminels, les établissements de santé doivent avoir une approche systématique pour identifier, vérifier et réviser leurs points faibles. Il est préférable de communiquer avec son courtier afin d’expliquer la ligne directrice suivie en matière de gestion des risques. La préparation et l’anticipation d’une cybercrise, la préparation au rétablissement post cyberattaque sont des éléments qui peuvent être attendus par les assureurs.
Dans le cadre de ce plan, on s'attend à ce que l’établissement :
- Active et configure les journaux de composants les plus importants
- Définisse et applique une stratégie de sauvegarde pour les composants critiques
- Effectue des contrôles réguliers et des audits de sécurité, puis applique les actions correctives associées
- Désigne un point de contact en matière de sécurité des systèmes d'information et s'assure que le personnel sait de qui il s'agit
- Dispose d'une procédure de gestion des incidents de sécurité définie
Les plans de gestion de crise sont également importants parce qu'ils peuvent influer directement sur l'ampleur des pertes, sur la capacité de l'organisation à faire face à la crise, sur sa capacité de reprendre ses activités après une attaque.
7. DONNÉES PERSONNELLES
Les assureurs voudront peut-être évaluer l'étendue de l'exposition à des données personnelles sensibles, afin de comprendre :
- la quantité de données personnelles gérées par l'organisme acheteur d'assurance (dossiers médicaux, dossiers de carte de crédit, autres)
- l'origine de ces documents (UE ? États-Unis ? Ailleurs ?)
- les lieux de stockage et de traitement des données
- qui, au sein de l'organisation, est responsable du traitement de cette question ?
- quelles sont les mesures en place pour se protéger contre les attaques sur ces bases de données (cryptage par exemple) ?
- qu’est ce qui a été mis en place dans le cadre du Règlement Général sur la Protection des Données (RGPD) ?
C’est un point important car la perte de données personnelles peut s'avérer coûteuse pour une organisation si elle doit supporter les frais de notification (environ 7 € / donnée) et indemniser ses clients et les tiers victimes de la violation.
EN CONCLUSION
Aujourd'hui, les établissements de toutes tailles s'efforcent de faire face à leurs cyber-risques et de les intégrer dans leur programme global de gestion des risques. La cybersécurité est une question transversale quelle que soit la taille d'une organisation, question qui est généralement partagée par toutes les directions.
La compilation de l'information préalable à la définition de l’offre cyber assurance peut être exigeante, mais dans de nombreux établissements, elle existe déjà. Faire ce travail préparatoire crée un cercle vertueux car il permet aussi à l'organisation d'identifier comment renforcer sa politique de cyber défense et à mieux définir ses procédures.
La cyber assurance est un outil utile grâce aux vertus des ces discussions entre assureur, intermédiaires et établissements. Elle sert à évaluer dans quelle mesure une organisation est prête à faire face aux risques en général, à la fois pour les prévenir et pour réagir de manière appropriée en cas d'événement. Sur la base de ces informations, l'assureur pourra proposer la couverture la mieux adaptée aux besoins de l'organisation et, également faciliter l'accès à des services pré et post incident.
Enfin, une meilleure compréhension de ce qu'une organisation peut attendre de son assureur permettra également de renforcer sa confiance dans les solutions d'assurance. Les cyber-risques continueront d'augmenter et demeureront une constante dans le paysage du risque. Les établissements de santé doivent s’y préparer, et dans la mesure du possible, chercher à réduire ces menaces par la mise en place de mesures préventives sans oublier l’utilité de la cyber assurance, qui incarne une mesure d'atténuation du risque en transférant le risque résiduel vers un assureur.