L’importance de comprendre la couverture de votre organisation

Au cours de la dernière décennie, les failles de cybersécurité dans les soins de santé sont devenues plus répandues et coûteuses, et la nature des attaques a changé. Et bien que la cyberassurance puisse être un moyen de protéger les organisations contre ces menaces coûteuses, il y a beaucoup à considérer à propos de cette couverture.

À une certaine époque, les cyberattaques étaient externes, pénétrant les pare-feu informatiques et volant des informations. Aujourd’hui, les pirates informatiques sont désormais plus avancés, déguisant les attaques de ransomware qui sont activées de l’intérieur par un employé ouvrant accidentellement le mauvais e-mail ou cliquant sur le mauvais lien, souvent appelé attaque de phishing.

De nombreuses organisations de soins de santé ont du mal à se défendre contre de telles attaques de phishing, car presque tous les employés disposant d’une adresse e-mail peuvent être un vecteur de fraude potentiel. En 2020, la proportion d’attaques contre des entités de soins de santé perpétuées par le phishing est passée à 69 % du nombre total d’attaques, une augmentation spectaculaire par rapport à 12 % en 2014, selon le département américain de la Santé et des Services sociaux.

Une grande partie de cette croissance des menaces survient alors que les prestataires de soins de santé adoptent les réalités de l’ère pandémique des soins virtuels et du travail à distance, des avancées numériques qui offrent une meilleure sensibilisation aux patients, mais peuvent également exposer les cyber-vulnérabilités organisationnelles. Et ces attaques peuvent coûter cher aux organisations. En 2020, une violation de données dans le domaine de la santé a coûté en moyenne 7,13 millions de dollars, dépassant le coût moyen des violations dans 17 autres secteurs de premier plan dans le monde.

industrie du cyber et de la santé

L’assurance aide, mais connaissez votre police

Pour aider à atténuer l’impact financier des cyberattaques, de nombreuses organisations peuvent souscrire une assurance cyber-responsabilité. Ces polices peuvent couvrir les dépenses liées à une violation des données d’un patient dans un cabinet médical, par exemple, et couvrir les dépenses liées aux correctifs de sécurité des données, aux notifications de violation de données, aux demandes de cyber-extorsion et aux relations publiques.

Les petites entreprises peuvent bénéficier d’une assurance cyber-responsabilité et d’une protection contre les cybermenaces tout autant que les grandes entreprises. Alors qu’une grande partie des nouvelles que vous entendez sur les cyberattaques et les violations de données impliquent très probablement des failles de sécurité dans les grandes entreprises, la réalité est que les petites entreprises sont tout aussi à risque, sinon plus vulnérables.

Selon l’enquête auprès des petites entreprises du conseiller Smith, 42 % des petites entreprises ont subi une cyberattaque en 2021 et 69 % des petites entreprises craignaient d’être attaquées au cours des 12 prochains mois.

À mesure que les cyberattaques ont augmenté, le coût des primes d’assurance a également augmenté. Le coût moyen de la cyber-assurance a augmenté de 80 % depuis 2020. Les assureurs sont de plus en plus stricts avec leurs exigences de police, et il est important pour une organisation de comprendre ce qui est dans une police et quels protocoles sont mis en œuvre pour respecter ces directives.

En raison des options politiques et de la complexité, de nombreux fournisseurs de soins de santé peuvent ne pas comprendre clairement ce qui est ou n’est pas couvert par leur politique actuelle. Les organisations peuvent travailler dur pour se conformer aux exigences de souscription et payer les primes pour découvrir, souvent après qu’une violation s’est produite, que leur police ne couvre pas le cyberincident en raison d’exclusions de police liées au type de propriété ou à l’occurrence de l’attaque. La restriction de la couverture peut être évitée grâce à des contrôles solides, notamment l’authentification multifacteur, la détection des terminaux et des sauvegardes appropriées, mais les entreprises doivent être conscientes de ces mesures de renforcement qui complètent la couverture des politiques.

La vente à emporter

À mesure que de plus en plus d’options de prestation de services deviennent disponibles dans le secteur des soins de santé, les organisations doivent continuer à renforcer leurs protocoles de cybersécurité au quotidien.

En outre, une évaluation de la cyber-assurance actuelle et une compréhension complète de la couverture sont essentielles. Les organisations ne peuvent pas se permettre d’être piratées ou de perdre la confiance des patients.

Une culture de la cybersécurité, où les membres du personnel se considèrent comme les défenseurs des patients et de leurs données, aura un impact considérable sur l’atténuation des cyberrisques pour l’organisation et les patients.

Pour en savoir plus sur ce sujet, téléchargez le rapport spécial sur la cybersécurité de RSM.

Contributeur : Paul Fountain, directeur national des soins de santé SPR ePHI, RSM US LLP

Vous pourriez également aimer...