Le 20 avril dernier, Marie-Berthe TANO (MADP Assurances) intervenait dans l'émission BIO-M organisée par le syndicat des biologistes (SDB) sur la thématique des risques cyber. Au travers d'un tour d'horizon sur la croissance de ce risque pour les laboratoires, mais aussi pour l'ensemble des professionnels de santé, et des moyens de prévention à disposition de ces derniers pour se prémunir de ce risque, retrouvez ci-dessous les points clés de cette intervention.
Une double peine
Ère du temps oblige, les cyberattaques sont devenues monnaie courante. « Elles sont de plus en plus fréquentes dans tous les domaines d’activité même si le secteur de la santé est dans le viseur depuis quelques mois », confirme Thibault Carré, Directeur cybersécurité au sein d’Inquest, cabinet de conseil dans la gestion des risques. Et d’expliquer : « Un pirate informatique recherche une opportunité technique pour attaquer une entreprise et ne vise pas nécessairement une entreprise en tant que telle. Le domaine médical, par les données qui y sont traitées, peut être très sensible. L’impact est encore plus important durant cette crise de la Covid-19. »
Or, lorsque des données sensibles se sont retrouvées accessibles en ligne, « c’est la double peine pour le laboratoire, explique Marie-Berthe Tano, juriste contentieux au sein de la MADP. D’une part, parce qu’il est victime de l’attaque avec tout ce que cela génère comme préjudice. D’autre part, il peut être mis en cause et considéré comme responsable par des tiers qui ont vu leurs données mises en ligne. »
Une obligation de moyens et de résultat pour les laboratoires
Par-delà le fait d’être protégé en amont comme il se doit, des obligations légales pèsent sur les LBM en matière de protection des données. Elles sont édictées dans le cadre du Règlement général sur la protection des données (RGPD) et revêtent un caractère strictement impératif. Cela signifie que les LBM sont soumis à une obligation de résultat quant à leur respect. Ils doivent pouvoir justifier qu’ils ont diligenté, pour cela, les moyens requis. A savoir :
Les sanctions encourues Elles sont de trois ordres. En l’occurrence :
Les bons réflexes
« Il y a de nombreux bons réflexes à avoir, sourit Thibault Carré. Il est impératif d’avoir en tête le sujet de la cybersécurité à chaque fois que l’on touche à un système d’information, à un ordinateur, à un serveur. Ce qui est important, c’est la prise de conscience que chaque action (un lien sur lequel on clique, un mail qu’on lit etc.) peut avoir un impact important, non pas seulement sur son propre ordinateur mais également sur toute l’entreprise. »
Un état d’esprit général auquel se greffe des bonnes pratiques en matière de mots de passe, de sauvegarde, de gestion de l’obsolescence, de mises à jour etc. Sachant que les failles sont souvent les mêmes, qu’il s’agisse d’une entreprise classique ou qui officie dans le domaine de la santé. Le fait que les personnes travaillent à distance et prennent la main sur les systèmes ou encore des applications parfois obsolètes génèrent énormément de vulnérabilités et autant d’opportunités pour les pirates.
« C’est pourquoi, insiste Thibault Carré, le fait que des assureurs comme la MADP mettent en place des services spécifiques constitue vraiment un premier pas vers une prise de conscience de la nécessité de bien gérer les choses et d’avoir affaire à des gens qui ont les bons réflexes et l’habitude de ce genre de situation. De manière générale, les entreprises n’y sont pas du tout préparées. Humainement, c’est très délicat car il y a un effet panique et elles ne savent vraiment pas quoi faire. »
Retrouvez également le replay de cette émission ci-dessous https://youtu.be/YaazXpFVRy4