En direct du Congrès de l’Apssis – Retour d’un assureur sur les cyber-risques

D’une part, la base des clients de l’assureur ne concerne qu’un sous-ensemble de la totalité des clients dans le monde de la santé : les statistiques sont donc restreintes en termes de périmètre. D’autre part, par définition, seule une partie des incidents SI parvient jusqu’aux oreilles d’un assureur : celles pour lequel le client sait qu’il est assuré, celles qui sont effectivement assurées, celles que le client n’a pas peur de divulguer, etc.

Nonobstant ces précautions oratoires, selon les assureurs, les cyber-risques augmentent, en particulier ceux qui concernent les incidents de type malware, les dénis de service, les vols de données donnant lieu à demande de rançon, etc.

Il n’empêche, la conférence interroge sur deux points. D’une part, l’ensemble des professionnels de sécurité SI craignent bien plus la perte en disponibilité ou en intégrité des données médicales, éléments presque totalement absents des statistiques présentées en séance. D’autre part, il est piquant de voir, une fois de plus, que l’on nous alerte sur des questions de divulgation de données médicales sur le Dark Web, mais que les rares cas connus en France (Labio début 2015, entre autres) n’ont presque jamais donné lieu à des poursuites.