L’actualité récente a tristement illustré la manière dont les structures de soin pouvaient être la cible des cybercriminels. En 2021, plusieurs centres hospitaliers, à Dax, Villefranche ou encore Arles, ont dû faire face à un rançonnage numérique. Le principe est simple. Un utilisateur imprudent clique sur un lien frauduleux, qui permet aux cybercriminels d’installer un logiciel malveillant. Celui-ci accède aux données internes, qu’il crypte afin de les rendre illisibles. Les agresseurs envoient alors une demande de rançon. La victime doit procéder au paiement pour débloquer l’accès à ses données et bien souvent cette dernière est indemnisée par son assureur. Est ce la fin des assurances de cyberattaques ?
Les hôpitaux ne sont pas les seules victimes des ransomwares, dont l’utilisation a bondi de 225 % entre 2019 et 2020 selon l’ANSSI. Les entreprises et les particuliers sont également touchés par ce fléau. Mais les professionnels de santé constituent des cibles attirantes, tant les données qu’ils abritent sont jugées sensibles.
Que penser des systèmes d’assurance ?
Être victime de cyber rançonneurs peut signifier la mort d’une entreprise. Choisir entre la perte des données et le paiement de la rançon est très difficile. Certaines compagnies d’assurance proposent donc, au sein de leurs contrats couvrant les risques cyber, une option ransomware. Cette clause prévoit la prise en charge du paiement de la rançon. Mais céder ainsi au chantage, est-ce une bonne idée ?
De manière générale, les autorités recommandent toujours de ne pas payer une rançon. Le paiement d’une rançon entraîne des conséquences désastreuses pour la collectivité, puisqu’il encourage la récidive. De plus, les rançons contribuent bien souvent à financer le crime organisé. Or souscrire une assurance, n’est-ce pas assurer au criminel qu’il sera dûment payé ?
Si l’idée de faire front commun contre les rançonneurs virtuels ne suffit pas, les entreprises doivent aussi considérer qu’elles ont beaucoup à perdre à payer une rançon. Le paiement effectué, il dépend en effet de la bonne volonté de l’agresseur que les données soient effectivement restituées. Or, rien ne le garantit. De plus, payer une rançon revient à se signaler comme cible facile. Le risque de récidive est énorme, et 40 % des entreprises ayant payé une rançon subissent un nouveau rançonnage. Enfin, la restitution des données n’empêche pas les mauvaises surprises. Leur traitement par le logiciel pirate peut les avoir définitivement endommagées.
Dès lors, la solution de l’assurance serait-elle un remède pire que le mal ? Certains n’hésitent pas à l’affirmer, comme le spécialiste en cybersécurité Emsisoft, qui appelait il y a quelques mois à interdire purement et simplement le paiement des rançons. Aux États-Unis, toute entreprise payant une rançon s’expose d’ailleurs à des sanctions. Chez nos voisins britanniques, la question se pose également depuis qu’un ancien dirigeant de l’agence de sécurité cyber a évoqué cette solution.
Interdire le paiement des rançons ?
En mai 2021, au cours d’une audition au Sénat, Guillaume Poupard, directeur de l’ANSSI, a dénoncé le « jeu trouble » des assureurs sur la question des ransomware. Selon lui, l’existence de contrats couvrant le risque de cyber rançonnage encourage cette pratique criminelle. Or, depuis 2020, l’assureur Axa proposait dans son contrat Cyber Secure une option « cyber rançonnage ». Elle a été immédiatement suspendue après l’intervention de Guillaume Poupard. La balle était dans le camp du gouvernement. En octobre 2021, la députée Valérie Faure-Muntian a présenté un rapport parlementaire sur la cyber assurance en France. Ce document remet notamment en cause la prise en charge du risque de rançonnage par les assurances, pour les mêmes raisons que celles avancées par le directeur de l’ANSSI. Il envisage également de mettre en place des sanctions visant les victimes qui procéderaient au paiement d’une rançon.
Faut-il vraiment envisager une solution aussi radicale ? Quelle solution resterait-il aux victimes ? Pour certaines entreprises, telles les petites structures de santé, perdre ses données correspond à un arrêt de mort !
Sensibilisation et précaution de sauvegarde
À vrai dire, une fois le ransomware entré en action, il est déjà trop tard. Mieux vaut agir en amont. Pour cela, deux leviers sont à la disposition des professionnels de santé.
Tout d’abord, il faut absolument sensibiliser les salariés à la sécurité informatique. Les bonnes pratiques devraient désormais être connues de tous. Si ce n’est pas le cas, il est urgent d’organiser des formations. De plus, les salariés des structures de santé doivent être conscients de l’aspect éminemment sensible des données détenues par leur employeur. Outre qu’elles sont un bien précieux pour l’entreprise, elles sont protégées par la loi.
Le second levier concerne la sauvegarde des données. Mettre en œuvre une politique de sauvegarde est d’ailleurs une obligation pour les professionnels de santé. Les données doivent être confiées à une entreprise spécialisée dans la sauvegarde sécurisée. Le recours à des serveurs distants est indispensable.
Le logiciel de sauvegarde en ligne NeoBe de DropCloud vous offre toutes les garanties nécessaires. Il propose un système de sauvegarde locale et distante automatique. Il prend en charge les données générées par les logiciels métiers de santé. Le transfert des données vers nos serveurs est sécurisé par cryptage, et les données stockées sont chiffrées. Nos data-centers sont tous hébergés en France. Vos données restent accessibles 24 heures sur 24, via le logiciel NeoBe+. En cas de problème, nous pouvons vous livrer par transporteur toutes vos données sur disque dur. La restauration de vos données est couverte par notre assurance. Nous vous proposons de plus un accompagnement téléphonique gratuit pour vous aider dans sa mise en œuvre. Enfin, NeoBe est certifié ISO 27001- HDS, garantie indispensable à tout hébergeur de données de santé.
Une politique de sauvegarde efficace est la meilleure des protections contre le cybercrime.
