Pierre Belin, responsable de la sécurité des systèmes d’information (RSSI) et délégué à la protection des données (DPO) du Groupe APICIL, et Elsa Godart, philosophe et cofondatrice de l’Institut de Recherche en Éthique du Sujet Numérique (IRESN), croisent leurs regards.
Pourquoi le secteur de la protection sociale est-il visé par des cyberattaques ?
Pierre Belin : Nous manipulons des données qui font partie des plus sensibles : états civils, numéros de sécurité sociale, coordonnées, données financières — revenus, prestations, RIB — et données de santé. Ces informations ont une forte valeur sur le marché criminel. Elles permettent d’usurper des identités, de réaliser de fausses prestations de santé, de détourner des fonds. De ce fait, nous attirons les personnes malveillantes.
À cela s’ajoute la complexité de nos systèmes d’information : des applications historiques, de multiples interconnexions avec des partenaires, des administrations, des prestataires. C’est comme si toutes les portes de la maison devaient rester ouvertes pour fonctionner, alors qu’au cœur de cette maison se trouve un objet très sensible : nos données.
Elsa Godart : La vulnérabilité des données de santé est éthique avant d’être technique. Ces données touchent à l’intimité, à la souffrance, à la dépendance, à l’angoisse de la maladie — et donc de la mort. Elles témoignent ce que le philosophe Paul Ricœur appelait une « relation asymétrique » entre le patient et le soignant représentant une forme de protection.
Quand vous consultez un médecin, vous revisitez toute votre vie. Les systèmes de santé centralisent des informations extrêmement personnelles : identité, pathologies, traitements, trajectoires de vie. Cette densité crée une valeur inédite — et un point de fragilité particulier.
Quelles sont les menaces les plus préoccupantes aujourd’hui ?
Pierre Belin : Ce qui nous préoccupe le plus, ce sont les ransomwares, qui rendent les données indisponibles et paralysent l’entreprise, et l’exfiltration de données : le vol des informations clients ou salariés pour les réutiliser ou les revendre.
L’intelligence artificielle accélère et sophistique ces attaques. Elle démultiplie la capacité des attaquants à trouver des vulnérabilités ou à tromper les salariés. Heureusement, elle renforce aussi nos dispositifs de défense. Comme toujours, nous sommes dans une course permanente entre attaques et contre-attaques.
Le sujet nous préoccupe particulièrement car cela touche à notre raison d’être : « Par une relation proche et attentionnée, soutenir toutes les vies, toute la vie ». Protéger les données de nos clients fait directement partie de notre cœur de métier : protéger nos assurés.
Pourquoi tombons-nous dans les pièges des cyberattaques ?
Elsa Godart : Parce que ces attaques sont sans visage. Face à un phishing qui se pare des traits d’une institution, d’une personne respectable, nous avons un a priori de confiance. Puis, nos usages numériques fonctionnent sur des automatismes : on répond à des dizaines de mails, on ne se méfie plus.
J’ai moi-même failli être victime d’une arnaque. Une personne s’est fait passer pour mon banquier. J’ai failli faire un virement de plusieurs milliers d’euros. Au dernier moment, quelque chose m’a alertée. Mais c’était très difficile de ne pas céder — l’arnaque était parfaitement construite. Les institutions universitaires auxquelles j’appartiens sont régulièrement la cible de ces arnaques ; aujourd’hui encore sous couvert de figurer parmi les récipiendaires d’un prix universitaire, les arnaqueurs chercher à récupérer mes identifiants.
Ces attaques exploitent nos valeurs humaines les plus fondamentales : la confiance, le sens du devoir, le souci de l’autre, la sensibilité, l’égo… Elles activent un réflexe d’immédiateté, particulièrement présent dans le domaine médico-social : « je dois agir tout de suite ». Cette pression permanente, est un atout pour les arnaqueurs.
Comment sensibiliser sans infantiliser ni angoisser ?
Pierre Belin : C’est un vrai défi. Pendant des années, l’acculturation se faisait classiquement au sein du Groupe APICIL via des sessions de sensibilisation en présentiel ou de l’e-learning, mais les gens n’y voyaient pas forcément d’intérêt. Nous avons revu notre approche en sensibilisant par la mise en situation. Les salariés reçoivent notamment de faux mails frauduleux, puis un bilan leur indique s’ils sont tombés dans le piège ou non.
Récemment, deux initiatives ont très bien fonctionné. D’abord, un chatbot intégré à notre application de communication collaborative. Ce chatbot de sensibilisation à la cybersécurité dialogue avec les salariés comme une vraie personne. Ensuite, un calendrier de l’Avent avec une à deux minutes d’animation sur un thème cyber chaque jour. Le point d’orgue : notre directeur général est apparu dans une vidéo deepfake, immédiatement suivie d’un démenti de sa part. Quand la direction s’engage ainsi, c’est un message très fort. Les retours des salariés ont été excellents.
Elsa Godart : Il faut commencer par reconnaître notre vulnérabilité. Tout le monde peut être trompé — ce n’est pas une question d’intelligence. Ensuite, la vigilance doit devenir un réflexe normal, pas une source d’angoisse. Il faut aussi former, sensibiliser, faire connaître les enjeux et dangers du numérique, les mécanismes de manipulation. Ainsi, on déjoue la peur et on minimise les risques. On ne le dira jamais assez : l’action est le contrepoids de l’angoisse !
Et surtout, la sécurité numérique doit être envisagée comme une problématique collective, voire politique, pas seulement individuelle.
Comment éviter que la protection des données ne génère une méfiance généralisée ou freine l’accessibilité ?
Elsa Godart : La méfiance généralisée est le symptôme d’une sécurité conçue contre le sujet, et non pour lui. Une société qui soupçonne en permanence ses citoyens crée un climat nocif. Il faut rejeter toute logique paranoïaque.
Il faut aussi accepter les limites de la protection. Aucun système n’est infaillible. La promesse d’infaillibilité est dangereuse parce qu’elle est fausse. La confiance, ce n’est pas l’absence de risque — c’est la capacité à vivre avec un risque maîtrisé.
Pierre Belin : La sécurité est souvent perçue comme un frein. Mais elle est tout à fait compatible avec l’accessibilité et la simplicité des services — à condition d’être pensée dès la conception, et non ajoutée a posteriori.
L’accessibilité vise à permettre à chacun d’accéder aux services, y compris les publics fragiles. La sécurité garantit que la bonne personne accède au bon service. Ces deux objectifs convergent. Si on les traite de manière disjointe, c’est là que les problèmes apparaissent.
En quoi la cybersécurité s’inscrit-elle dans les valeurs d’un groupe comme APICIL ?
Pierre Belin : Le Groupe APICIL s’engage à soutenir ses assurés tout au long de leur vie. Protéger leurs données, respecter leurs droits, c’est une composante de ce soutien. On peut offrir des services parfaitement adaptés, mais s’il y a des fuites d’informations ou des indisponibilités, tout s’effondre. La protection des données est un point central de la confiance que nous devons à nos assurés.
Que serait, pour vous, une cybersécurité vraiment éthique ?
Elsa Godart : Une cybersécurité éthique n’a pas pour but premier de sécuriser des systèmes, mais de protéger des sujets vulnérables. Elle repose sur plusieurs notions.
La primauté du sujet : les choix techniques doivent être subordonnés à l’impact sur les personnes. L’importance de la proportionnalité : la sécurité ne doit jamais produire plus de violence symbolique que le risque qu’elle combat. De plus, la charge du risque ne peut pas peser uniquement sur les usagers ou les agents de première ligne. Enfin, la sécurité ne doit jamais transformer les citoyens en suspects permanents.
Protéger les données, c’est protéger l’identité même des personnes — ce qu’elles ont de plus singulier et de plus intime. Et ça, c’est une responsabilité qui engage aussi les générations futures.
Les sept principes d’une cybersécurité éthique
Dans son ouvrage « Le droit des gens virtuels, une éthique pour les générations futures » (Hermann), Elsa Godart propose sept principes pour penser une cybersécurité qui protège les personnes, et pas seulement les systèmes.
1. Ne pas nuire (principe hippocratique)
Une sécurité mal conçue peut entraver l’accès aux soins, générer de l’angoisse ou culpabiliser les usagers. Elle ne doit jamais produire plus de dommages que le risque qu’elle prétend prévenir.
2. Reconnaître l’identité singulière (principe d’ipséité)
Chaque personne est irréductible à ses données. Une atteinte aux données de santé est une atteinte à l’identité vécue du sujet, pas seulement à un fichier.
3. Former plutôt qu’effrayer (principe vertueux)
La cybersécurité ne doit pas reposer sur la sanction ou la suspicion, mais cultiver la prudence, le discernement et le dialogue.
4. Partager la responsabilité (Principe responsabilité)
La charge du risque ne peut pas peser sur les seuls usagers ou agents de terrain. La responsabilité est d’abord institutionnelle et collective.
5. Refuser la violence symbolique (principe de décence)
Une protection excessive devient indécente si elle humilie les usagers ou les transforme en suspects permanents.
6. Éclairer le consentement (principe de consentement)
Le consentement ne se réduit pas à une case cochée. Il suppose une compréhension réelle des enjeux, des risques et des limites de la protection.
7. Anticiper le long terme (principe d’anticipation)
Il s’agit de dépasser la réaction immédiate pour penser les effets durables des dispositifs de sécurité sur notre rapport au numérique.
DORA : un nouveau cadre européen pour la résilience numérique
Entré en application en janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) impose aux acteurs du secteur financier et assurantiel de renforcer leur capacité à résister aux incidents informatiques et aux cyberattaques.
Concrètement, DORA oblige ces entreprises à :
- mettre en place un cadre de gestion des risques informatiques et cyber,
- tester régulièrement la résilience de leurs systèmes,
- notifier les incidents majeurs aux autorités de supervision,
- encadrer les relations avec leurs prestataires technologiques.
L’objectif : éviter qu’une défaillance technique ou une attaque ne paralyse des services essentiels et ne mette en danger les données des clients. Pour les groupes de protection sociale comme APICIL, ce règlement vient renforcer des obligations déjà existantes en matière de protection des données (RGPD) et de sécurité des systèmes d’information.
