Selon un récent rapport de la Direction générale du Trésor, 54% des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021. Le nombre va augmenter cette année, notamment dans le secteur de la santé, et même dans les EHPAD désormais. La commission de réforme de l’assurance des entreprises contre le risque cyber entrera en vigueur à la fin du mois.
Les cyberattaques se multiplient depuis plusieurs années, et ce phénomène a été exacerbé par la crise sanitaire, les réductions d’effectifs des entreprises se sont multipliées et de nouvelles façons de travailler et de s’alimenter ont été adoptées.
Ce risque est réel et les cyberattaques aujourd’hui « peuvent menacer la vie de l’entreprise », affirme la direction du Trésor dans un rapport rendu public la semaine dernière. Pour cela, tous les acteurs impliqués ont été entendus, associations professionnelles, assureurs, experts du monde de l’éducation et encadrants.
Dans ce contexte de réforme économique, plus de la moitié (54%) des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021, souligne la direction du Trésor dans ce rapport intitulé « l’amélioration de l’assurance du risque cyber ».
Le secteur de la santé est particulièrement touché, et même les EHPAD ne sont pas protégés, et ce ne sont pas des résidences de qualité, comme on l’a vu récemment avec une cyberattaque contre une EHPAD dans l’Eure. L’âge et l’état de santé des otages n’ont aucune importance pour les voleurs. Ce nouveau type de menace est de bon augure pour les maisons de retraite et les services de maintien à domicile, déjà en proie à une crise de recrutement des aides-soignants et des aides-soignants.
Le secteur de la santé particulièrement touché par les cyberattaques
Dans ce type d’attaque, les données médicales des citoyens peuvent également être volées, telles que leurs rapports médicaux, leur carte importante. Au total, plus de 730 cyberincidents ont été recensés dans le secteur de la santé en 2021, soit le double de l’année précédente selon un expert interrogé dans Les Échos du 25 août.
Sur le seul premier trimestre 2022, 31 domaines de la santé ont été touchés, montre Anozr Way, le premier en France de Rennes spécialisé dans la protection des personnes contre les cybermenaces, dans son troisième Ransomware Barometer (ou ransomware) en France. et le monde entier.
Cela s’est poursuivi durant l’été, notamment, en août, une cyberattaque sur l’hôpital Sud-Francilien (tous les logiciels métiers de l’hôpital, les systèmes de sécurité et les informations liées aux admissions ont été rendus inaccessibles).
Trois jours plus tard, le 24 août, c’est l’Ehpad des Franches Terres, à Beuzeville (Eure), qui fait face à la clôture du dossier du patient, sans qu’il soit besoin de rançon. L’attaque a eu de la chance, avec seulement 10 ordinateurs et un serveur compromis, et aucun dommage majeur aux services ou aux résidents.
Cyberattaques des entreprises : quelles formes prennent-elles ?
Les cyberattaques, qui constituent un ensemble de risques liés à l’usage du numérique, ont fortement augmenté depuis 2019, et ce à plusieurs niveaux :
Elles peuvent être liées à la confidentialité, l’intégrité ou la disponibilité des données et des systèmes d’information. L’erreur peut être humaine et involontaire (téléchargement involontaire d’un logiciel malveillant par exemple), voire accidentelle.
Mais il peut aussi s’agir, et c’est souvent le cas, d’une faute informatique intentionnelle. Elle peut donc prendre plusieurs formes.
Les différentes formes de malveillance informatique volontaire
Il existe de nombreux types différents de ce mal. Ça peut être:
Le risque d’une cyberattaque est encore moins que garanti selon le rapport de la direction générale du Trésor.
Or selon le dernier baromètre des rançongiciels Anozr Way, publié le 30 mai 2022, la France est le troisième pays le plus touché par ce phénomène dans l’UE.
La start-up montre que l’éventuel versement de la rançon peut atteindre 128 000 euros en moyenne par entreprise. Et cela s’ajoute à l’augmentation des pertes financières (événements interrompus, autres ressources humaines pour répondre aux attaques, frais de justice, etc.)
Malgré cette menace croissante, le cyber-risque ne représente qu’environ 3 % des primes d’assurance dommages corporels
Pour la Direction générale du Trésor, ce faible pourcentage est le signe que les entreprises (surtout les plus petites) peinent encore à appréhender ce risque cyber.
C’est particulièrement vrai pour l’industrie manufacturière, qui est particulièrement touchée par le risque de cyberattaques en France. En effet, de nombreuses entreprises du secteur ont déjà développé la cybersécurité.
Dans son rapport, divisé en quatre sections, la Direction générale du Trésor estime qu’il est important de mieux informer les assurés sur l’étendue de leur garantie.
Cela donne aussi l’idée que la personne qui a été reconnue coupable d’un crime sera obligée de payer. Cette mesure s’inscrit également dans le cadre du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) présenté mercredi 7 septembre en conseil des ministres.
Il recommande aux assureurs de mieux évaluer les risques. Elle recommande également d’améliorer le partage des risques entre assurés, assureurs et réassureurs (la réassurance est l’assurance des compagnies d’assurance).
Enfin, le lancement d’une task force dédiée à l’assurance du risque cyber, avec tous les acteurs impliqués, a été annoncé. Il devrait prendre ses fonctions fin septembre.
Pour aller plus loin :
Voir la déclaration de la Direction Générale du Trésor : Cyber risques : les moyens de protéger les entreprises.
Voir l’article des Echos du 25 août 2022 : Cyberattaques : quels risques pour les hôpitaux et leurs patients ?
Voir le communiqué Anozrway du 30 mai 2022 : Ransomware : en seulement quatre mois, le nombre d’organisations touchées dans le monde est déjà égal à 50 % de celui de 2021.
Voir l’article du Parisien du 1er septembre 2022 : L’Ehpad de l’Eure est également victime d’une cyberattaque.