Les hôpitaux belges s’assurent contre la cybercriminalité
Le secteur de la santé est l’un des plus touchés par la criminalité informatique. Les institutions de soins belges se protègent du piratage en prenant les mesures ad hoc et, de plus en plus souvent, en s’assurant contre ce risque. Selon le courtier Vanbreda Risk & Benefits près de 25 hôpitaux belges – soit, par extrapolation, un quart des hôpitaux généraux et universitaires du pays – sont assurés contre la cybercriminalité.
En quelques années, de nombreux directeurs hospitaliers ont pris conscience de la nécessité de s’assurer contre le hacking et la demande de rançon. Plusieurs institutions ont été victimes ces derniers mois de hackers qui exigent des rançons (généralement en bitcoins) pour pouvoir « libérer » des données sensibles qu’ils ont bloquées en s’introduisant illégalement dans les systèmes informatiques.
« Les besoins sont importants parce que les bases de données utilisées dans les institutions de soins, y compris les données médicales des patients, sont vulnérables. La volonté actuelle des hôpitaux de s’équiper d’un dossier patient informatisé (DPI) les rend encore plus vulnérables que par le passé », a confié Wim Opdebeeck, Business Unit Manager chez Vanbreda Risk & Benefits, au Journal du médecin.
Comparée aux pays voisins, la Belgique se situe dans la moyenne au niveau de la couverture assurantielle des risques de cybercriminalité.
« Il y a quelques années, nous devions encore prêcher pour convaincre les hôpitaux de s’assurer contre le piratage informatique, aujourd’hui, les clients viennent nous demander si on peut leur offrir des solutions parce qu’ils sont devenus conscients des dangers », explique Wim Opdebeeck.
Les solutions proposées aux clients belges proviennent plus particulièrement d’assureurs internationaux, généralement avec un ancrage anglo-saxon.
Aujourd’hui, une couverture typique contre la cybercriminalité s’articule en trois volets, résumables en questions essentielles.
– Que faut-il faire lorsqu’on a été victime d’une cyberattaque (event management)? L’assureur prévoit l’assistance d’un expert capable, par exemple, de reconnaître un virus informatique et de l’arrêter ou, plus simplement, de redémarrer un système qui ne fonctionne plus. Un numéro d’appel est indiqué dans la police pour contacter directement un expert. Ce professionnel se tient au courant des virus les plus récents et a, peut-être, déjà eu l’occasion de devoir y faire face et de les bloquer.
– Comment éviter de perdre en productivité (et donc en argent) (business interruption)? Les frais engagés pour pouvoir poursuivre l’activité (le partage des dossiers médicaux, le catering…) malgré la « panne » du système informatique sont couverts. L’assurance couvre également le coût des experts engagés pour que les données soient à nouveau disponibles, complètes et intègres.
– Quelles sont mes responsabilités vis-à-vis des tiers (liability)? Les assurances couvrent les dégâts causés à d’autres entreprises ou à des patients par, par exemple, la divulgation de données sensibles. Cette couverture s’intègre dans le cadre du règlement (européen) général sur la protection des données (RGPD) qui sera appliqué en Belgique le 25 mai 2018. Dans le cas d’un piratage, le gestionnaire de la banque de données attaquée, en l’occurrence l’hôpital, devra prévenir les autorités de ce qui s’est passé et mener une enquête détaillée sur le « databridge », expliquant les mesures préventives et correctrices prises par l’institution. Dans certains cas, elle va devoir avertir chaque personne dont les données ont été consultées illégalement de façon individuelle. Par ailleurs, la récupération de l’e-réputation de l’hôpital est également prise en charge par l’assurance. Concrètement, des actions telles que l’organisation d’une conférence de presse ou d’une réunion pour les patients concernés par le piratage peuvent être mises en place.
Des rançons élevées
A combien s’élèvent-elles les rançons? « Les informations sont très peu disponibles à ce sujet. Il y a eu en Belgique des demandes de rançons importantes dans le secteur de la santé. Dans ce type de cas, une négociation est menée entre l’institution et les pirates par un expert, pas par l’assureur ou le courtier. On ne connaît pas le résultat de ces négociations. Les hôpitaux qui ont payé une rançon ne parlent jamais de ce qu’ils ont payé. » Récemment, un hôpital wallon s’est vu réclamer une rançon de près de 20.000 euros par un hacker.
Une couverture en cybercriminalité coûte entre 10.000 et 40.000 euros. « Pour un hôpital de taille moyenne, le coût s’élève à 30.000-35.000 euros. Ce qui permet d’assurer une somme garantie à hauteur de 20 millions d’euros, explique l’expert de Vanbreda Risk & Benefits Nous avons même un programme qui permet à un réseau hospitalier de s’assurer à hauteur de 40 millions d’euros. Plus nombreuses sont les entreprises qui concluent ce type d’assurance, plus épais est le matelas qui peut les couvrir. Ces montants vont donc encore beaucoup évoluer ».
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici