Cyber assurances et hôpitaux : le couple impossible ?

Pas triviale tout d’abord. Il est tout d’abord intéressant de remonter aux origines de l’assurance : une recherche rapide nous montre qu’elle est apparue au XIIIème siècle, et on trouve sans erreur possible des traces de contrats à Bruges au tout début du XIVème siècle. Mais l’assurance moderne, telle qu’on la connaît et qu’on la pratique de nos jours, date des grandes expéditions maritimes (on pense notamment à la fameuse Compagnie des Indes Orientales), pour lesquelles les gains potentiels de chaque expédition étaient aussi énormes que les risques encourus, obligeant par cela les compagnies à s’assurer contre la perte des navires et des chargements.

L’assurance est donc une couverture d’un risque majeur, ce qui complexifie déjà le débat pour le secteur santé et en particulier le public. Car que doit-on assurer ? La disparition de la structure (l’hôpital) à la suite d’un sinistre cyber ? Mais les hôpitaux ne disparaissent pas, ils sont adossés à l’État qui viendra toujours à la rescousse d’un CHU, le CHU viendra lui-même à la rescousse d’un petit établissement de sa zone, etc. Faut-il alors assurer les conséquences sur un patient d’une prise en charge défectueuse (on dit « perte de chance ») consécutive à un sinistre cyber ? Ou la perte d’activité (donc de recettes) consécutive à un arrêt du SI ? Sans vouloir paraître cynique, si l’on en croit les chiffres des pouvoirs publics, il y a un établissement attaqué par semaine en France…sur 20 000. On sort la calculette, et grosso modo un hôpital va être attaqué en moyenne tous les 192 ans – la comète de Halley aura eu le temps de passer plus de deux fois ! Sans parler du fait que, ne soyons pas crédule, une fois le sinistre survenu on sait très bien que l’assureur cherchera la petite bête non seulement pour diminuer le montant du chèque à verser, mais en plus mettre des années à le verser.

Sauf qu’une assurance, et en particulier une assurance cyber, cela ne sert pas à ça. Cela a trois caractéristiques très importantes. Un assureur qui attaque ce marché avec comme argument principal la couverture de la perte financière (perte de recette ou dommages et intérêts à verser au patient) rate complètement la cible (tout comme un décideur qui lorgnerait sur la garantie financière du reste).

Tout d’abord, et peu de décideurs en sont conscients, les sinistres d’origine cyber ont été progressivement retirés (ou mis en exclusion idem) des couverture de Responsabilité Civile (RC) souscrites par les entreprises, publiques ou privées. Si une direction générale ne veut pas se retrouver dans une situation compliquée, surtout s’il y a perte de chance médicale avérée, cette seule couverture RC intégrée aux contrats cyber est suffisante pour clore le débat.

Ensuite, la plupart des contrats proposent dans la palette des garanties la possibilité de faire intervenir des équipes spécialisées (les assureurs montent des partenariats avec des ESN cyber), et quand on est dans la cyber-mouise on est bien content de pouvoir appeler un ami.

Mais surtout – et c’est un bénéfice collatéral de l’assurance que les RSSI perçoivent parfaitement -, quand on est cyber assuré on doit la plupart du temps remplir un questionnaire et le mettre à jour tous les ans, qui sert à l’assureur à calculer son « niveau d’assurabilité» (pour rester poli), ce qui veut direque plus on est mauvais dans la maîtrise cyber de son SI, et plus la prime annuelle va être élevée. Et avouons que l’on connaît tous des RSSI qui peinent à faire entendre à leur direction générale que le niveau cyber du SI n’est pas bon, quand c’est un mini-audit extérieur qui le dit (et qui augmente la prime) tout de suite cela porte mieux.

Cette seconde analyse conduit à une conclusion pour le moins inattendue : l’assurance cyber ne sert pas à assurer une quelconque perte financière (ce que l’on imagine au départ), elle sert à contraindre les organisations (qu’elles soient publiques ou privées) à traiter les fondamentaux cyber et à arrêter de repousser ces fondamentaux aux calendes grecques. D’ailleurs, le même phénomène s’est produit il y a des décennies avec l’assurance incendie.

Dit autrement, avant de prétendre que s’assurer ne sert à rien quelle que soit la catégorie des sinistres à couvrir, il faut garder en tête que les assureurs existent depuis au bas mot 6 siècles et qu’ils ont peut-être des arguments à faire valoir.

Dit encore autrement : cyber-assurez vous.

cedric@cartau.net