Cyberisques : l’assurance ne veut pas couvrir la négligence
Souscrire une assurance contre les menaces informatiques peut s’intégrer dans une démarche plus globale de gestion des risques. Mais le cas d’un organisme de santé américain montre que cela ne dispense pas d’une rigoureuse politique de sécurité.
Souscrire une assurance contre les menaces informatiques peut s’intégrer dans une démarche plus globale de gestion des risques. Mais cela ne dispense pas d’une rigoureuse politique de sécurité.
Et le Californien Cottage National Health pourrait bien l’apprendre à ses dépens. Ainsi, son assureur, CNA Financial, cherche à obtenir de la justice de ne pas être contraint d’indemniser l’organisme de santé, une organisation à but non lucratif qui opère tout un réseau d’hôpitaux du sud de la Californie.
Cottage National Health a en effet été victime d’une importante brèche de sécurité à l’automne 2013, qui s’est traduite par le vol de 32 000 dossiers patients par nature confidentiels. Problème, l’organisme et/ou son prestataire avait stocké ces dossiers en clair, sans chiffrement donc, sur un système accessible en ligne, dans sa totalité.
Suite au vol de ces dossiers, Cottage National Health a fait l’objet d’une procédure collective début 2014, laquelle s’est soldée par un accord amiable pour un montant total de 4,1 M$. Sollicité par son client, Columbia Casualty a accepté de couvrir Cottage National Health pour ce montant. Las, cette division de CNA Financial a depuis changé son fusil d’épaule.
Dans sa plainte, elle explique que sa couverture est conditionnée par le respect d’un « minimum de pratiques requises ». Ainsi, elle estime que le vol de données « a été causé par l’échec de Cottage à vérifier et appliquer régulièrement des correctifs de sécurité sur ses systèmes, son échec à ré-évaluer son exposition au risque et à améliorer ses contrôles de sécurité, et son échec à disposer d’un système permettant de détecter les accès non-autorisés ou les tentatives d’accès à des informations sensibles stockées sur ses serveurs, ainsi que son échec à contrôles et suivre les changements sur son réseau pour s’assurer qu’il reste sûr, entre autres choses ». Et de mettre en cause en particulier la configuration des services FTP sur les serveurs de Cottage National Health accessibles sur Internet, autorisant l’accès anonyme et… l’indexation des données personnelles stockées par Google. Enfin, CNA estime que l’organisme de santé lui a menti dans ses réponses relatives à l’auto-évaluation de sa posture de sécurité.
Comme le résume Lisa Vaas, de Sophos, dans un billet publié sur le blog de l’éditeur, l’assureur ne dit là rien d’autre que « nous ne couvrons pas la bêtise ». Et pour Bit9, si le marché de l’assurance contre les risques informatiques est jeune et en croissance très rapide, « signer un contrat de cyber-assurance n’est en aucun cas une protection suffisante pour les entreprises ».