Les assureurs comme Relyens n'assurent le risque cyber des établissements de santé que s'ils ont certaines garanties. En 2022, Relyens s'est scindé en deux sociétés, la première est restée sous le même nom. La seconde Relyens Technology Services (RTS) adresse les nouveaux risques dont la cybersécurité pour l'ensemble des établissements de santé en France, Espagne, Italie et Allemagne. Son nouveau Directeur Thierry Zucchi, en a pris les rênes il y a cinq mois : « En cybersécurité, les risques sont évolutifs, de même que les technologies pour y répondre. La réglementation est aussi mouvante. » Les clients de RTS se voient désormais proposer un ensemble de solutions composites décliné suivant le triptyque prévention/pilotage/assurance. Dans cette logique, la solution de pilotage du risque cyber (développée avec la start-up française Citalid), permet, via la modélisation du SI de l'hôpital et un ensemble de questions, de définir le profil de défense de l’établissement, puis de le soumettre à des simulations d'attaques. Cette exposition au risque permet ainsi d’apprécier la résistance de l’établissement à chaque type d’attaques, d’en quantifier financièrement l’impact en cas de succès, et enfin d’identifier et de prioriser les solutions de remédiation les plus appropriées.
Inventorier les trous dans la raquette
Par exemple, face à une attaque simulée par rançongiciel dont l’impact pour l’établissement serait de 10 millions d'euros (y compris l'impact opérationnel), il serait pertinent de développer une stratégie de réduction de ce risque via des solutions de remédiation et des best practices afin d’adresser tout ou partie des vulnérabilités du SI. Une autre solution dédiée, CyberMDX, inventorie les trous dans la raquette au niveau des appareils biomédicaux, soit des bugs dans les logiciels, des problèmes de configuration (voir entretien Afib). Des mises à jour des logiciels et des bonnes pratiques de configuration (mots de passe, registry sous Windows) sont apportées à l'établissement de santé. Pour différentes raisons, l'hôpital peut encore décider de ne pas fixer les vulnérabilités de certains de ses appareils biomédicaux mais en les protégeant de toute attaque extérieure qui rentrerait dans l'hôpital. Une fois les étapes de quantification et de remédiation achevées, le risque cyber (résiduel) est ramené à sa portion congrue. L’hôpital peut alors solliciter la partie assureur de Relyens pour souscrire une police d’assurance cyber couvrant son risque résiduel. « L'optimisation de la gestion du risque cyber passe par une balance équilibrée entre de la technologie et de l'assurantiel », conclut Thierry Zucchi.
54 % des médecins femmes ont été victimes de violences sexistes et sexuelles, selon une enquête de l’Ordre
Installation : quand un cabinet éphémère séduit les jeunes praticiens
À l’AP-HM, dans l’attente du procès d’un psychiatre accusé de viols
Le texte sur la fin de vie examiné à l'Assemblée à partir de fin janvier