Une double peine
Ère du temps oblige, les cyberattaques sont devenues monnaie courante. « Elles sont de plus en plus fréquentes dans tous les domaines d’activité même si le secteur de la santé est dans le viseur depuis quelques mois », confirme Thibault Carré, Directeur cybersécurité au sein d’Inquest, cabinet de conseil dans la gestion des risques. Et d’expliquer : « Un pirate informatique recherche une opportunité technique pour attaquer une entreprise et ne vise pas nécessairement une entreprise en tant que telle. Le domaine médical, par les données qui y sont traitées, peut être très sensible. L’impact est encore plus important durant cette crise de la Covid-19. »
Or, lorsque des données sensibles se sont retrouvées accessibles en ligne, « c’est la double peine pour le laboratoire, explique Marie-Berthe Tano, juriste contentieux au sein de la MADP. D’une part, parce qu’il est victime de l’attaque avec tout ce que cela génère comme préjudice. D’autre part, il peut être mis en cause et considéré comme responsable par des tiers qui ont vu leurs données mises en ligne. »
Une obligation de résultat pour les laboratoires
Par-delà le fait d’être protégé en amont comme il se doit, des obligations légales pèsent sur les LBM en matière de protection des données. Elles sont édictées dans le cadre du Règlement général sur la protection des données (RGPD) et revêtent un caractère strictement impératif. Cela signifie que les LBM sont soumis à une obligation de résultat quant à leur respect. Ils doivent pouvoir justifier qu’ils ont diligenté, pour cela, les moyens requis. A savoir :
- Adopter les mesures techniques et organisationnelles pour s’assurer de la protection des données. Ce qui commande, notamment, de faire appel à un hébergeur agréé, de chiffrer les données, de mettre en place des sauvegardes de ces dernières, de procéder à leur pseudonisation afin d’éviter qu’elles soient immédiatement et aisément accessibles à des tiers indélicats etc.
- Dès lors que l’on en a connaissance, notifier, dans les soixante-douze heures, à la Commission nationale de l'informatique et des libertés (Cnil) toute intrusion ou fuite de données personnelles même non sensibles.
- Documenter la fuite de données et s’assurer que toute personne dont les donnée sensibles sont accessibles en ligne en a été informée dans les plus brefs délais.
Les sanctions encourues
Elles sont de trois ordres. En l’occurrence :
- des sanctions administratives de la Cnil, lesquelles peuvent s’élever jusqu’à 2 % du chiffre d’affaires du laboratoire ;
- des sanctions en matière civile quand les personnes victimes saisissent la juridiction civile afin de faire reconnaître le préjudice qu’elles estiment avoir subi et être indemnisées. A noter que des actions de groupe associant l’ensemble des personnes victimes de la même attaque sont possibles ;
- des sanctions pénales quand bien même sont-elles extrêmement rares.
Les bons réflexes
« Il y a de nombreux bons réflexes à avoir, sourit Thibault Carré. Il est impératif d’avoir en tête le sujet de la cybersécurité à chaque fois que l’on touche à un système d’information, à un ordinateur, à un serveur. Ce qui est important, c’est la prise de conscience que chaque action (un lien sur lequel on clique, un mail qu’on lit etc.) peut avoir un impact important, non pas seulement sur son propre ordinateur mais également sur toute l’entreprise. »
Un état d’esprit général auquel se greffe des bonnes pratiques en matière de mots de passe, de sauvegarde, de gestion de l’obsolescence, de mises à jour etc. Sachant que les failles sont souvent les mêmes, qu’il s’agisse d’une entreprise classique ou qui officie dans le domaine de la santé. Le fait que les personnes travaillent à distance et prennent la main sur les systèmes ou encore des applications parfois obsolètes génèrent énormément de vulnérabilités et autant d’opportunités pour les pirates.
« C’est pourquoi, insiste Thibault Carré, le fait que des assureurs comme la MADP mettent en place des services spécifiques constitue vraiment un premier pas vers une prise de conscience de la nécessité de bien gérer les choses et d’avoir affaire à des gens qui ont les bons réflexes et l’habitude de ce genre de situation. De manière générale, les entreprises n’y sont pas du tout préparées. Humainement, c’est très délicat car il y a un effet panique et elles ne savent vraiment pas quoi faire. »
Pour info : des contrats assurantiels spécifiques
Les organismes d’assurance comme la MADP ont pris la mesure de cette tendance inquiétante en intégrant gratuitement une garantie cybersécurité assistance dans tous les contrats multirisques qu’elles proposent aux laboratoires. Une clause qui leur profite donc automatiquement, y compris à ceux qui n’ont pas pensé à s’assurer contre ce risque.
Ce qui n’empêche pas les uns et les autres de faire plus en souscrivant un contrat assurantiel spécifique contre le risque de malveillance informatique. La police cyber-risque élaborée par la MADP, qui, pour la circonstance, s’est alliée à Inquest, comporte plusieurs niveaux de couverture :
- l’assistance qui permet de limiter l’ampleur de l’attaque ;
- la garantie de remboursement des frais engagés, notamment le coût de la reconstitution des données ;
- la garantie de prise en charge de la perte financière en cas d’interruption de l’activité du laboratoire liée à une cyberattaque.