Cyber-risques, ce qu’il faut savoir pour bien être couvert !
Un questionnement lié à votre exercice ? Une interrogation sur vos assurances ? Les experts de La Médicale, assureur partenaire de Jeunes Médecins, vous répondent.
12/01/2022
Témoignage d’Arnaud Roccabianca, néphrologue dans la capitale et en région parisienne, adhérent Jeunes Médecins
« Cela doit faire une bonne année que cette question des cyber-risques, pour nous médecins, est un sujet de conversation qui revient de façon récurrente au sein de la bande de potes, généralistes et spécialistes, que je retrouve parfois le soir pour manger un morceau ou boire un verre », explique Arnaud. Parmi les questions qui font le va-et-vient autour de la table d’amis ? « Qu’est-ce-que je risque si je me fais aspirer les données de mes patients de mon ordinateur ? A qui m’adresser si un pirate me demande une rançon pour le débloquer ? Suis-je couvert par mon assureur et jusqu’à quel point ? »
Hacking, atteinte à son e-réputation… que faire et vers qui se tourner ?
« En matière de sécurité des données santé de mes patients, j’ai la chance d’être couvert par mon contrat avec les deux établissements où j’exerce. Avec la redevance dont je m’acquitte, je paye ainsi ma sécurité informatique », développe Arnaud, ce jeune praticien de 37 ans qui partage son activité libérale entre une clinique parisienne et une clinique à Mantes-la-Jolie (Yvelines). « En revanche, je n’ai absolument aucune idée de quelle action mener si je me retrouve face à des critiques négatives de la part de patients sur Google, vu que cela à l’air d’être aujourd’hui à la mode de noter son médecin. C’est arrivé récemment à une de mes amies généralistes. Les commentaires étaient infondés et ne reposaient sur aucune réalité de sa pratique, mais sur un simple « ressenti ». Une situation qui l’a profondément affectée pendant longtemps et face à laquelle elle ne savait pas quoi faire ni vers qui se tourner ».
Aujourd’hui le Dr Arnaud Roccabianca pose trois questions concernant ces nouveaux risques :
La réponse de La Médicale :
Au cours des derniers mois, les attaques au moyen de « rançongiciels » se sont multipliées. La CNIL a listé les réflexes à avoir en cas d’attaque par rançongiciel :
• éteindre l’ensemble des machines, notamment celles qui pourraient être touchées par l’attaque ;
• prévenir immédiatement son service informatique ;
• éviter de payer la rançon, car cela ne garantira pas que l’ensemble des données seront restituées et n’immunisera pas contre de nouvelles attaques ;
• conserver les preuves (logs, copies physiques des postes ou serveurs touchés, fichiers chiffrés, etc.) ;
• déposer une plainte auprès des services de police ou de gendarmerie en vous faisant éventuellement aider d’un avocat spécialisé et avant la réinstallation des systèmes touchés afin de conserver les preuves techniques.
Si vous ne connaissez pas l’auteur des faits, vous pouvez rédiger une pré-plainte en ligne.
La réponse de La Médicale :
En cas d’atteinte à votre réputation sur Internet, c’est à la garantie e-réputation qu’il faut faire appel.
La garantie e-réputation est incluse dans votre contrat RCP/PJ et s’applique en cas d’atteinte à votre e-réputation, par la diffusion publique d’informations préjudiciables par un tiers par tout moyen digital y compris Internet.
La garantie cyber-risque, quant à elle, est incluse dans tous nos contrats de Multirisque Professionnelle et elle vous garantit contre toute violation de votre système d’information. Vous êtes ainsi couvert pour les frais consécutifs à une attaque informatique (frais de reconstitution des données, frais et honoraires de notre prestataire de services) et à une atteinte aux données (frais de notification aux personnes affectées, frais de modifications des données par exemple), la menace et le chantage (à l’exclusion du paiement de toute rançon).
Votre perte d'exploitation est également couverte via cette garantie si votre cabinet professionnel est impacté.
Enfin, la garantie cyber-risque de nos contrats de Multirisque professionnelle couvre votre responsabilité civile suite à un vol ou une divulgation non-autorisée de données personnelles.
La réponse de La Médicale :
L’application de la garantie cyber-risque est soumise à certaines conditions préalables. En effet, l’assuré ou son prestataire informatique doit :
• protéger tous les accès informatiques par des mots de passe personnalisés et changés régulièrement,
• protéger leur système d’information avec au minimum un anti-virus et le mettre à jour, au moins toutes les semaines avec les signatures les plus récentes,
• protéger leur système d’information avec au minimum un système d’exploitation supporté et le mettre à jour au moins tous les mois avec les correctifs les plus récents,
• effectuer une sauvegarde des fichiers de données au moins une fois par mois sur un support électronique déconnecté/externalisé et dédié y compris les solutions Cloud,
• effectuer une sauvegarde des fichiers systèmes et des programmes à chaque fois qu’ils sont modifiés sur un support électronique déconnecté/externalisé et dédié y compris les solutions Cloud.
Dès lors que le professionnel de santé est à jour de ses obligations, alors sa responsabilité aura très peu de chance d’être reconnue. Il doit cependant être très réactif suite à la constatation d’une violation de données (notification à la CNIL dans un délai de 72 heures si possible).
A titre d’exemple, le 28 décembre 2021, la CNIL a sanctionné une société d’une amende de 180 000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.
LIENS UTILES :
• Cnil : https://www.cnil.fr/fr/multiplication-des-attaques-par-rancongiciel-comment-limiter-les-risques
• Mise à disposition d’un guide de prévention pour la protection de votre système d’information et d’un guide des bonnes pratiques informatiques : https://www.lamedicale.fr/notre-offre/securiser-votre-activite-professionnelle/multirisque-professionnelle
Crédit photo : DR
« Cela doit faire une bonne année que cette question des cyber-risques, pour nous médecins, est un sujet de conversation qui revient de façon récurrente au sein de la bande de potes, généralistes et spécialistes, que je retrouve parfois le soir pour manger un morceau ou boire un verre », explique Arnaud. Parmi les questions qui font le va-et-vient autour de la table d’amis ? « Qu’est-ce-que je risque si je me fais aspirer les données de mes patients de mon ordinateur ? A qui m’adresser si un pirate me demande une rançon pour le débloquer ? Suis-je couvert par mon assureur et jusqu’à quel point ? »
Hacking, atteinte à son e-réputation… que faire et vers qui se tourner ?
« En matière de sécurité des données santé de mes patients, j’ai la chance d’être couvert par mon contrat avec les deux établissements où j’exerce. Avec la redevance dont je m’acquitte, je paye ainsi ma sécurité informatique », développe Arnaud, ce jeune praticien de 37 ans qui partage son activité libérale entre une clinique parisienne et une clinique à Mantes-la-Jolie (Yvelines). « En revanche, je n’ai absolument aucune idée de quelle action mener si je me retrouve face à des critiques négatives de la part de patients sur Google, vu que cela à l’air d’être aujourd’hui à la mode de noter son médecin. C’est arrivé récemment à une de mes amies généralistes. Les commentaires étaient infondés et ne reposaient sur aucune réalité de sa pratique, mais sur un simple « ressenti ». Une situation qui l’a profondément affectée pendant longtemps et face à laquelle elle ne savait pas quoi faire ni vers qui se tourner ».
Aujourd’hui le Dr Arnaud Roccabianca pose trois questions concernant ces nouveaux risques :
1. Que faire, face à une demande de rançon d’un « hackeur » qui a bloqué votre ordinateur ?
La réponse de La Médicale :
Au cours des derniers mois, les attaques au moyen de « rançongiciels » se sont multipliées. La CNIL a listé les réflexes à avoir en cas d’attaque par rançongiciel :
• éteindre l’ensemble des machines, notamment celles qui pourraient être touchées par l’attaque ;
• prévenir immédiatement son service informatique ;
• éviter de payer la rançon, car cela ne garantira pas que l’ensemble des données seront restituées et n’immunisera pas contre de nouvelles attaques ;
• conserver les preuves (logs, copies physiques des postes ou serveurs touchés, fichiers chiffrés, etc.) ;
• déposer une plainte auprès des services de police ou de gendarmerie en vous faisant éventuellement aider d’un avocat spécialisé et avant la réinstallation des systèmes touchés afin de conserver les preuves techniques.
Si vous ne connaissez pas l’auteur des faits, vous pouvez rédiger une pré-plainte en ligne.
2. Suis-je automatiquement couvert par mon contrat d’assurance en cas d’atteinte à ma réputation sur internet ou faut-il souscrire une garantie spécifique ?
La réponse de La Médicale :
En cas d’atteinte à votre réputation sur Internet, c’est à la garantie e-réputation qu’il faut faire appel.
La garantie e-réputation est incluse dans votre contrat RCP/PJ et s’applique en cas d’atteinte à votre e-réputation, par la diffusion publique d’informations préjudiciables par un tiers par tout moyen digital y compris Internet.
La garantie cyber-risque, quant à elle, est incluse dans tous nos contrats de Multirisque Professionnelle et elle vous garantit contre toute violation de votre système d’information. Vous êtes ainsi couvert pour les frais consécutifs à une attaque informatique (frais de reconstitution des données, frais et honoraires de notre prestataire de services) et à une atteinte aux données (frais de notification aux personnes affectées, frais de modifications des données par exemple), la menace et le chantage (à l’exclusion du paiement de toute rançon).
Votre perte d'exploitation est également couverte via cette garantie si votre cabinet professionnel est impacté.
Enfin, la garantie cyber-risque de nos contrats de Multirisque professionnelle couvre votre responsabilité civile suite à un vol ou une divulgation non-autorisée de données personnelles.
3. La responsabilité d’un médecin libéral qui a pris les précautions nécessaires, par exemple en faisant appel à un hébergeur spécialisé, est-elle engagée s’il se fait pirater les données santé de ses patients et que risque ce médecin ?
La réponse de La Médicale :
L’application de la garantie cyber-risque est soumise à certaines conditions préalables. En effet, l’assuré ou son prestataire informatique doit :
• protéger tous les accès informatiques par des mots de passe personnalisés et changés régulièrement,
• protéger leur système d’information avec au minimum un anti-virus et le mettre à jour, au moins toutes les semaines avec les signatures les plus récentes,
• protéger leur système d’information avec au minimum un système d’exploitation supporté et le mettre à jour au moins tous les mois avec les correctifs les plus récents,
• effectuer une sauvegarde des fichiers de données au moins une fois par mois sur un support électronique déconnecté/externalisé et dédié y compris les solutions Cloud,
• effectuer une sauvegarde des fichiers systèmes et des programmes à chaque fois qu’ils sont modifiés sur un support électronique déconnecté/externalisé et dédié y compris les solutions Cloud.
Dès lors que le professionnel de santé est à jour de ses obligations, alors sa responsabilité aura très peu de chance d’être reconnue. Il doit cependant être très réactif suite à la constatation d’une violation de données (notification à la CNIL dans un délai de 72 heures si possible).
A titre d’exemple, le 28 décembre 2021, la CNIL a sanctionné une société d’une amende de 180 000 euros notamment pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.
LIENS UTILES :
• Cnil : https://www.cnil.fr/fr/multiplication-des-attaques-par-rancongiciel-comment-limiter-les-risques
• Mise à disposition d’un guide de prévention pour la protection de votre système d’information et d’un guide des bonnes pratiques informatiques : https://www.lamedicale.fr/notre-offre/securiser-votre-activite-professionnelle/multirisque-professionnelle
Crédit photo : DR
Pas encore adhérent ?
Faites partie de la communauté des Jeunes Médecins
- > Faites-vous entendre et participez au renouveau de la profession
- > Profitez des offres et des avantages réservés aux adhérents
- > Participez aux événements dans votre région