Selon un récent rapport de la direction générale du Trésor, 54 % des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021. Un chiffre en augmentation cette année, notamment dans le secteur de la santé, et même en Ehpad à présent. Une commission pour améliorer l’assurance des entreprises contre le risque cyber va débuter ses travaux d’ici la fin du mois.
Publié le 20 septembre 2022 09:12Les cyberattaques sont en augmentation constante depuis plusieurs années, et le phénomène a été accentué par la crise sanitaire, alors que la dématérialisation des entreprises s’accélérait, et que l’on adoptait de nouveaux modes de travail et de consommation.
Le risque est réel et les cyberattaques sont aujourd’hui « susceptibles de menacer la survie d’une entreprise », note la direction générale du Trésor dans un rapport rendu public la semaine dernière. Pour le réaliser, l’ensemble des acteurs concernés a été entendu, à la fois les fédérations d’entreprises, les assureurs, les experts du monde académique et les superviseurs.
Dans ce contexte de numérisation de l’économie, plus de la moitié (54 %) des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021, souligne la direction générale du Trésor dans ce rapport intitulé « le développement de l’assurance du risque cyber ».
Le secteur de la santé est particulièrement touché, et même les Ehpad ne sont pas à l’abri, ni les résidences services seniors, comme on a pu le constater dernièrement, avec la cyberattaque d’un Ehpad dans l’Eure. L’âge et les conditions de santé des victimes collatérales importent peu aux pirates informatiques. Un nouveau type de menace dont se passeraient bien les maisons de retraite et les services d’aide à domicile, déjà tourmentés par la crise des recrutements des aides-soignants et des auxiliaires de vie.
Dans ce type d’attaque, ce sont aussi les données médicales des citoyens qui peuvent être volées, comme leurs comptes-rendus médicaux, leur carte vitale. Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l'année précédente selon une spécialiste interrogée dans Les Échos le 25 août.
Pour la seule première partie de l’année 2022, au moins 31 établissements de soin ont été touchés, indique Anozr Way, start-up française rennaise spécialisée dans la protection des personnes face aux risques cyber, dans son troisième Baromètre du ransomware (ou rançongiciel) en France et dans le monde.
Cela s'est poursuivi pendant l'été, avec notamment, en août, la cyberattaque du centre hospitalier Sud-Francilien (tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions ont été rendus inaccessibles).
Trois jours plus tard, le 24 août, c'est l'Ehpad les Franches Terres, à Beuzeville (Eure) qui était confronté au chiffrement de son fichier patients, sans demande officielle de rançon toutefois. L'attaque a heureusement été limitée, avec seulement 10 ordinateurs et un seul serveur touchés, et sans impact majeur pour les services ou les résidents.
Selon Radio France, l’hôpital de Corbeil-Essonnes a été attaqué par des hackers le 23 septembre et certaines données piratées ont été diffusé sur le darknet : comptes rendus de coloscopie et d'accouchement...
Depuis la cyberattaque, les médecins de l'hôpital de Corbeil-Essonnes doivent enregistrer leurs compte-rendus sur un dictaphone ce qui entraine une surcharge de travail pour les secrétaires médicales qui doivent aussi prendre des rendez-vous sur papier et gérer les agendas des médecins.
Les cyberattaques, qui constituent un ensemble des risques liés à l’usage des technologies numériques, sont en forte hausse depuis 2019, et ceci à plusieurs niveaux :
Elles peuvent porter sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’informations. L’erreur peut être humaine et non-intentionnelle (téléchargement involontaire d’un logiciel malveillant par exemple), ou le fait d’accident.
Mais il peut s’agir également, et c’est souvent le cas, d’une malveillance informatique volontaire. Elle peut revêtir alors plusieurs formes.
Ces types de malveillance sont très divers. Il peut s’agir :
Le risque de cyberattaque est encore très peu assuré selon le rapport de la direction générale du Trésor
Toujours selon le dernier baromètre du ransomware de Anozr Way, publié le 30 mai 2022, la France est le troisième pays le plus touché par le phénomène dans l’UE.
La start-up indique que le paiement éventuel d’une rançon peut s’élever jusqu’à 128 000 euros en moyenne par entreprise. Et ceci en plus des pertes cumulées de chiffre d’affaires (activités perturbées, moyens humains supplémentaires pour répondre à l’attaque, frais de justice…)
Malgré cette menace en pleine expansion, le risque cyber ne représente que près de 3 % des cotisations en assurance dommage des professionnels
Pour la direction générale du Trésor, ce faible pourcentage est le signe que les entreprises (et en particulier les plus petites d'entre elles) ont encore du mal à appréhender ce risque cyber.
C'est notamment le cas de l’industrie manufacturière, la plus touchée par le risque de cyberattaque en France. En effet, une majorité des entreprises du secteur se sont développées avant la mise en place de la cybersécurité.
Dans son rapport, décliné en quatre axes, la direction générale du Trésor estime qu’il est essentiel de mieux informer les assurés sur l’étendue de leur garantie.
Elle propose aussique le dépôt de plainte de la victime devienne obligatoire pour être indemnisé. Cette mesure fait d’ailleurs partie du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté le mercredi 7 septembre en Conseil des Ministres.
Elle recommande que les assureurs évaluent mieux les risques. Elle préconise aussi d’améliorer le partage de risque entre assurés, assureurs et réassureurs (la réassurance est l’assurance des sociétés d’assurances).
Enfin, le lancement d’une task force dédiée à l’assurance du risque cyber, avec tous les acteurs concernés, a été annoncée. Elle devrait débuter son travail dès la fin septembre.
Voir le rapport de la direction générale du Trésor : Risques cyber : des pistes pour la protection des entreprises
Voir l’article des Echos du 25 août 2022 : Cyberattaques : quels risques pour les hôpitaux et leurs patients ?
Voir le communiqué de presse de Anozrway du 30 mai 2022 : Ransomware : en 4 mois seulement, le nombre d’organisations victimes dans le monde déjà égal à 50% de celui de 2021
Voir l'article du Parisien du 1 er septembre 2022 : Un Ehpad de l'Eure lui aussi victime d'une cyberattaque
Témoignage - All4Home Montpellier Nord
Voir le témoignage
Témoignage - Agence AXEO Services Vallée de Chevreuse
voir le témoignageProfessionnels du secteur
VISIBILITÉ, RÉFÉRENCEMENT, RECRUTEMENT, DÉVELOPPEMENT CLIENTÈLE
Découvrir les offres pour les pros
L'installation d'un VPN est généralement simple et rapide.
Tout d'abord, choisissez un fournisseur de VPN de confiance. Ensuite, téléchargez l'application VPN sur votre appareil (ordinateur, smartphone, tablette). Lancez l'application, connectez-vous avec vos identifiants et choisissez un serveur VPN dans la localisation souhaitée. Une fois connecté, votre trafic internet sera sécurisé et anonymisé, protégeant ainsi votre vie privée et vos données des menaces en ligne. Pour une installation de VPN optimale, il est préférable de bénéficier d'un accompagnement professionnel, surtout si vous utilisez une infrastructure IT complexe ou un serveur dédié. Les experts en sécurité informatique peuvent vous guider dans le choix du bon fournisseur VPN, configurer le VPN pour s'intégrer efficacement à votre infrastructure existante, et s'assurer que les paramètres de sécurité sont correctement configurés. Cela garantira une mise en œuvre sans faille, une meilleure protection des données et une performance optimale du VPN, répondant ainsi aux exigences spécifiques de votre entreprise.