Retour sur l’intervention de MADP Assurances dans l’emission BIO-M « Les cyberattaques, un risque réel à traiter d’urgence »

Le 20 avril dernier, Marie-Berthe TANO (MADP Assurances) intervenait dans l'émission BIO-M organisée par le syndicat des biologistes (SDB) sur la thématique des risques cyber. Au travers d'un tour d'horizon sur la croissance de ce risque pour les laboratoires, mais aussi pour l'ensemble des professionnels de santé, et des moyens de prévention à disposition de ces derniers pour se prémunir de ce risque, retrouvez ci-dessous les points clés de cette intervention.

 

Une double peine

 

Ère du temps oblige, les cyberattaques sont devenues monnaie courante. « Elles sont de plus en plus fréquentes dans tous les domaines d’activité même si le secteur de la santé est dans le viseur depuis quelques mois », confirme Thibault Carré, Directeur cybersécurité au sein d’Inquest, cabinet de conseil dans la gestion des risques. Et d’expliquer : « Un pirate informatique recherche une opportunité technique pour attaquer une entreprise et ne vise pas nécessairement une entreprise en tant que telle. Le domaine médical, par les données qui y sont traitées, peut être très sensible. L’impact est encore plus important durant cette crise de la Covid-19. »

 

Or, lorsque des données sensibles se sont retrouvées accessibles en ligne, « c’est la double peine pour le laboratoire, explique Marie-Berthe Tano, juriste contentieux au sein de la MADP. D’une part, parce qu’il est victime de l’attaque avec tout ce que cela génère comme préjudice. D’autre part, il peut être mis en cause et considéré comme responsable par des tiers qui ont vu leurs données mises en ligne. »  

 

Une obligation de moyens et de résultat pour les laboratoires

 

Par-delà le fait d’être protégé en amont comme il se doit, des obligations légales pèsent sur les LBM en matière de protection des données. Elles sont édictées dans le cadre du Règlement général sur la protection des données (RGPD) et revêtent un caractère strictement impératif. Cela signifie que les LBM sont soumis à une obligation de résultat quant à leur respect. Ils doivent pouvoir justifier qu’ils ont diligenté, pour cela, les moyens requis. A savoir :

 

  • adopter les mesures techniques et organisationnelles pour s’assurer de la protection des données. Ce qui commande, notamment, de faire appel à un hébergeur agréé, de chiffrer les données, de mettre en place des sauvegardes de ces dernières, de procéder à leur pseudonisation afin d’éviter qu’elles soient immédiatement et aisément accessibles à des tiers indélicats etc.
  • Dès lors que l’on en a connaissance, notifier, dans les soixante-douze heures, à la Commission nationale de l'informatique et des libertés (Cnil) toute intrusion ou fuite de données personnelles même non sensibles.
  • Documenter la fuite de données et s’assurer que toute personne dont les donnée sensibles sont accessibles en ligne en a été informée dans les plus brefs délais.

 

 

  Les sanctions encourues Elles sont de trois ordres. En l’occurrence :

 

  • des sanctions administratives de la Cnil, lesquelles peuvent s’élever jusqu’à 2 % du chiffre d’affaires du laboratoire ;
  • des sanctions en matière civile quand les personnes victimes saisissent la juridiction civile afin de faire reconnaître le préjudice qu’elles estiment avoir subi et être indemnisées. A noter que des actions de groupe associant l’ensemble des personnes victimes de la même attaque sont possibles ;
  • des sanctions pénales quand bien même sont-elles extrêmement rares.

 

 

  Les bons réflexes

 

« Il y a de nombreux bons réflexes à avoir, sourit Thibault Carré. Il est impératif d’avoir en tête le sujet de la cybersécurité à chaque fois que l’on touche à un système d’information, à un ordinateur, à un serveur. Ce qui est important, c’est la prise de conscience que chaque action (un lien sur lequel on clique, un mail qu’on lit etc.) peut avoir un impact important, non pas seulement sur son propre ordinateur mais également sur toute l’entreprise. »

 

Un état d’esprit général auquel se greffe des bonnes pratiques en matière de mots de passe, de sauvegarde, de gestion de l’obsolescence, de mises à jour etc. Sachant que les failles sont souvent les mêmes, qu’il s’agisse d’une entreprise classique ou qui officie dans le domaine de la santé. Le fait que les personnes travaillent à distance et prennent la main sur les systèmes ou encore des applications parfois obsolètes génèrent énormément de vulnérabilités et autant d’opportunités pour les pirates.

 

« C’est pourquoi, insiste Thibault Carré, le fait que des assureurs comme la MADP mettent en place des services spécifiques constitue vraiment un premier pas vers une prise de conscience de la nécessité de bien gérer les choses et d’avoir affaire à des gens qui ont les bons réflexes et l’habitude de ce genre de situation. De manière générale, les entreprises n’y sont pas du tout préparées. Humainement, c’est très délicat car il y a un effet panique et elles ne savent vraiment pas quoi faire. »  

 

Retrouvez également le replay de cette émission ci-dessous https://youtu.be/YaazXpFVRy4