L’actualité récente vient nous rappeler l’importance de ce risque dans les sciences de la vie :
Fin février 2021, le site spécialisé ZATAZ découvre que 491840 dossiers médicaux de patients (correspondant à des prélèvements effectués entre 2015 et 2020) circulent sur le « dark web ».
Le pirate aurait pénétré le logiciel possiblement périmé Mega-Bus, de l’éditeur Dedalus.
Les chances pour une PME d’être hackée, de subir un ransomware ou de devoir fermer son site marchand à cause d’un virus sont plus élevée que d’être victime d’un incendie !
Et pourtant, les garanties courantes des contrats sont plutôt « old school »…
Quels sont les risques encours ?
Le ransomware :
Une PME reçoit un mail anodin qui introduit un virus dans son système.
Le virus émet un message réclamant le paiement de 10 000 euros sous 24h sous peine de perte de données.
Déni de service :
Le site de vente de la PME est assailli de messages qui le rendent inaccessible.
Perte ou vol de données :
Le fichier-clients de l’entreprise est volé à distance.
Prise de contrôle du PABX :
Les pirates ont réussi à prendre le contrôle du standard téléphonique (PABX) de l’entreprise. Résultat : Pendant un week-end entier, émission d’appels vers un numéro surtaxé, entraînant une facture téléphonique de plusieurs milliers d’euros.
Malveillance d’un ex-employé :
Un ancien employé réalise une copie de l’ensemble des dossiers-clients d’un cabinet médical et menace de les diffuser.
Usurpation d’identité :
Un pirate a créé un site Internet au nom de l’entreprise et détourne ainsi des demandes adressées à ‘entreprise.
Dénigrement :
Une PME s’aperçoit qu’Internet est inondé de messages malveillants à son égard.
Quelles sont les précautions à prendre ?
Filtrer ses connections entrantes, à l’aide d’un pare-feu
Sécuriser les messageries (anti-phishing)
Mise en place d’un anti-virus
Mettre à jour régulièrement ses systèmes
Réaliser de vraies sauvegardes régulières externes
Les garanties offertes par les polices cyber :
Responsabilité civile : Par exemple en cas de divulgation de données-client
Frais engagés :
Frais de notification aux tiers
Consultant informatique
Nettoyage du système
Restauration de l’image
Pertes subies : Pertes d’exploitation
Conclusion : La fraude
La vraie fraude n’est pas toujours informatique (voir la « fraude au président ».
L’entreprise peut être victime d’une perte, d’une action malveillante sans lien avec ses systèmes.
Les meilleurs contrat cyber+fraude restent cependant onéreux…
Les biotech ont parfois du mal à trouver des contrats cyber :
-celles qui ne font pas encore de chiffre d’affaire ont tendance à déconcerter les assureurs
-ces mêmes assureurs sont très prudents devant, justement, les risques de perte ou de détournement de données à l’occasion notamment des essais cliniques (même si la biotech ne reçoit que des données anonymisées de la part de son fournisseur, le CRO).