Services

CYBER SECURITE

Le règlement général sur la protection des données ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le 14 avril 2016 par le Parlement européen. Ces dispositions sont directement applicables dans tous les états membres et ceux-ci ont deux ans pour transposer les dispositions de la directive dans leur législation nationale.

Cas particulier des laboratoires d’analyse médicale :

Parallèlement à la mise en place de cette directive Européenne, la France va mettre en place un système de collecte des incidents survenus dans les systèmes d’information des laboratoires, des établissements de santés et des cabinets de radiologie de façon à alerter l’ensemble de ces professionnels en cas de cyberattaques. Vient de paraitre le Décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information.

 

Quel impact pour les laboratoires ?

Ce règlement va imposer aux entreprises de revoir leur politique de conformité informatique et libertés.

  • Le respect de la protection des données dès la conception ou « Privacy by design », cette obligation implique que la protection des données soit intégrée par la direction dès la conception d’un projet informatique,
  • La sécurité par défaut ou « Security by default », la sécurité doit être assurée dans tous ses éléments physiques ou logiques conformément à l’état de l’art (contrôle d’accès, administration, prévention contre les failles de sécurité …). De plus cette règle implique que l’état de la sécurité du système d’information soit connu à tout moment,
  • L’étude d’impact, préalablement à la mise en œuvre d’un traitement présentant des risques particuliers d’atteintes aux droits et libertés individuelles (typiquement les données de santé). Le laboratoire doit mettre en œuvre des garanties pour assurer la protection des données et apporter la preuve que le règlement sur la protection des données est bien respecté.
  • L’obligation de documentation ou « accoutabbility », le laboratoire devra démontrer qu’il a rempli ces obligations. Il devra documenter l’ensemble des actions de sa politique de protection des données de manière à pouvoir démontrer aux autorités de contrôles ou aux personnes concernées comment il s’y tient.
  • L’obligation de notification en cas de fuite de donnée, les entreprises seront tenues dès que possible de notifier à l’autorité nationale de protection les cas de violation grave de données.

En clair, les laboratoires vont devoir mettre en place :

  • Une politique de protection de données, notamment un plan de continuité d’activité et un plan de reprise d’activité en cas de cyberattaque.
  • S’assurer que les solutions mises en place répondent à l’état de l’art
  • S’entourer d’experts pour, en cas de suspicion d’attaque, évaluer correctement l’impact

Parallèlement à cela, les cyberincidents ont une croissance exponentielle. Pour les assureurs la question n’est plus de savoir « si » le risque se réalisera mais « quand » il se réalisera et les laboratoires sont considérés comme des entreprises à haut risque

Quel sont les risques de non-respect de cette directive, le règlement donne au régulateur le pouvoir d’infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaire mondial d’une entreprise à concurrence de 20 millions d’Euros.

Au-delà des contraintes réglementaires et normatives, il est important de prendre conscience des conséquences d’une cyberattaque :

  • Impact direct : Retard ou arrêt complet de la production, coût de restauration, gestion de crise, violation des données médicales personnelles ou bancaires
  • Impact Indirect
    • Coût engendré par l’obligation de notification et de documentation à l’autorité de régulation qui va nécessiter de faire appel à des experts juridiques et informatiques
    • Les coûts éventuels de d’information de notre patientèle, en cas de cyberattaque, l’autorité de régulation pourra imposer au laboratoire la notification d’une cyberattaque à l’ensemble de sa patientèle (Recommandé avec accusé de réception)
    • Les coûts éventuels de mise en œuvre des mesures correctrices et réparatrices à l’égard des personnes

La couverture assurancielle prend en compte aujourd’hui les risques liés à un dommage matériel tel qu’un incendie, une explosion, les dégâts des eaux, … par contre elle ne couvre pas les risques liés à un dommage immatériel :

  • Frais de reconstitution de données,
  • Frais de décontamination virale,
  • Frais supplémentaire d’exploitation (personnel, utilisation d’équipement extérieur…),
  • Les honoraires d’experts pour identifier l’origine et les circonstances d’un sinistre,
  • Les frais de recours et les éventuelles rançons.

Compte tenu des impacts financiers engendrés par une cyberattaque, il est important d’avoir une police d’assurance pouvant couvrir tous ces risques immatériels. Malheureusement pour notre profession, les assureurs la considèrent comme à haut risque du fait que l’on manipule de la donnée de santé et du faible niveau de maturité des laboratoires quant à la prise en compte de ce risque.

On se retrouve donc dans une situation inconfortable avec un assureur qui soit ne veut pas couvrir le risque soit vous propose une police d’assurance très élevée sous condition de réponse à un questionnaire très détaillé sur votre politique de sécurité (opposable en cas de sinistre).

ARMORIS a négocié auprès d’Hiscox un contrat d’assurance avantageux pour les laboratoires.

La possibilité de souscrire à ce contrat est lié à l’engagement du LBM de faire un état des lieux grâce à un audit mais aussi de garantir le suivi de ses installations informatiques et la sensibilisation de l’ensemble de son personnel à la Cyber Sécurité.

La garantie de cet engagement auprès de l’assureur est démontrée par la souscription du laboratoire aux prestations de Provadys.

Vous trouverez ci-dessous le détail des coûts engendrés par l’obligation qui nous est faite de sécuriser nos données.