L’assurance cyber ne dispense pas d’élever son niveau en matière de sécurité, bien au contraire !

Dans un récent épisode [1] de l’excellent podcast No Limit Sécu, Marc-Eric Bellot, responsable du domaine cyber chez Allianz Assurance a tenté de clarifier ce qu’était une assurance cyber et les risques qu’elle pouvait couvrir, et à ma grande surprise, elle n’en couvre pas tant que ça.

Si j’avais bien en tête qu’une assurance cyber ne servait pas à grand-chose si aucun effort sur le sujet de la sécurisation du SI n’avait été faite (il y quand même un questionnaire à l’entrée), je ne pensais pas qu’elle couvrait « aussi peu » de risques dans les faits.

Prenons un exemple dans notre noble secteur de la santé :

Mon SIH brille de mille feux, tous mes systèmes sont supportés et à jour des derniers correctifs de sécurité, mes réseaux sont parfaitement segmentés, mon annuaire Active Directory est au top de sa forme, je lance un Ping Castle tous les mois, pas un cheveu qui dépasse, score de 0 dans toutes les catégories, mes dispositifs médicaux sont dans des réseaux étanches, j’ai des pares-feu qualifiés par l’ANSSI, mes utilisateurs sont sensibilisés régulièrement, ils réussissent les tests de phishing à tous les coups, j’ai un SIEM super bien configuré, une équipe de choc dans mon SOC et le meilleur EDR du marché. J’ai obtenu une certification ISO 27001 sur mes SI essentiels que j’ai récemment déclarés à l’ANSSI, même les pentesters formateurs de chez HS2 n’ont pas réussi à renter. Ma Direction me donne carte blanche, j’ai du budget… Pour résumer, c’est le pied !

Oui mais voilà… malgré cela, les petits gars de chez Wizard Spider m’ont déployé du Ryuk à tour de bras et mes données sont chiffrées… Mon PCA est dans un datacenter qui vient de brûler suite à un piratage du système de gestion de ses onduleurs et de sa climatisation.

Par chance, j’ai conservé ma sauvegarde sur bandes malgré les moqueries du genre : « tu vies encore au siècle précédent avec tes bandes magnétiques », je ne suis donc pas totalement à poil, mais il va me falloir du temps (et de l’argent) pour remonter tout ça…

Conséquences : 

- 3000 agents au chômage technique.
- Obligé de faire appel à des prestataires pour nous aider à tout remonter rapidement, d’acheter du matériel, et ça va coûter cher
- Les urgences sont redirigées vers un autre établissement de mon GHT à 80 kilomètres, les ambulances font demi tour sur le parking, deux patients décèdent sur la route et trois auront des séquelles irréversibles du fait de leur prise en charge trop tardive. Les familles portent plaintes contre l’établissement.
- Je finis par avoir un contrôle de la CNIL, je n’étais malheureusement pas en conformité avec le RGPD et je prends une amende salée.

Qu’est-ce qui pourrait bien être couvert par une assurance cyber dans tout ce capharnaüm ?

Si j’ai bien tout compris :

- Les dommages corporels aux patients : NON (même si tout ça découle d’une attaque cyber)
- Le remplacement de matériel : NON
- Les salaires de mes agents qui jouent aux Sims sur leurs smartphones en attendant de pouvoir redémarrer leurs ordinateurs : NON
- L’amende de la CNIL : NON
- Les 350 000 enveloppes et timbres destinés à prévenir les patients d’une violation de leurs données : NON
- Le paiement de la rançon pour récupérer mes données plus vite : étonnamment, peut-être chez certains assureurs… pas chez Allianz en tout cas (en même temps, dans certains cas ça coûte moins cher et ce n’est pas interdit par la loi en France, même si c’est très fortement déconseillé)
- L’assistance des prestataires pour m’aider à repartir et investiguer (à condition d’avoir des sauvegardes) : OUI

Après investigations, il s’avère que la compromission ait été faite depuis la machine d’un éditeur du domaine de l’imagerie médicale qui s’est connecté depuis son VPN Ipsec (le bastion était au budget de cette année :p). Lui aussi a une assurance cyber, mais là encore elle ne pourra pas lui servir si je me retourne contre lui pour les dommages qui ont été causés chez moi. C’est sa responsabilité civile professionnelle qui va fonctionner.

Pour résumer, l’assurance cyber n’est que la cerise sur le gâteau si l’on a déjà bien fait son boulot et ne couvre que les dommages apportés aux données elles-même, ni plus, ni moins.

[1] https://www.nolimitsecu.fr/assurance-cyber/