[CONSEILS D’EXPERT] La cybersécurité et la cyberassurance sont deux piliers d’une défense efficace des entreprises contre les risques cyber. Décryptage avec notre expert François-Pierre Lani, parajuriste chez Derriennic Associés.
Entre le Centre Hospitalier Universitaire de Rouen en novembre 2019, le Centre Hospitalier de Dax en février 2021, ou, plus récemment, le Centre Hospitalier Sud Ile-de-France à Corbeil-Essonnes en août 2022, le secteur hospitalier français, souvent mal protégé, est avait subi de nombreuses cyberattaques. Ces attaques informatiques, généralement accompagnées de demandes de rançon, bloquent l’accès aux systèmes informatiques et paralysent complètement les entités attaquées.
Aucune entreprise n’est épargnée par les risques cyber, c’est pourquoi il est nécessaire de se défendre contre les menaces cyber, en agissant à la fois de manière préventive et curative.
Renforcer la cybersécurité de l’entreprise
Chaque entreprise doit renforcer la sécurité de son système informatique en suivant plusieurs règles principales : Sur le même sujet : RiskAssur : Alain MISSOFFE rejoint le Groupe Diot-Siaci (par RiskAssur, magazine Risques et Assurances).
1. Auditez régulièrement votre système informatique en analysant les contrats, les mesures de sécurité mises en place par les différents intervenants et en analysant l’impact des cyberattaques sur la société.
2. Établir une stratégie de continuité des affaires et créer une politique de sécurité renforçant, si nécessaire, les éléments problématiques identifiés lors de l’audit. La formation du personnel est également nécessaire pour qu’une politique de sécurité soit efficace : en effet, la sécurité informatique dépend toujours du maillon le plus faible de la chaîne, ici l’utilisateur.
3. Mettre en place des systèmes de surveillance et d’alerte (système de surveillance et d’envoi d’alertes)
4. Créer une cellule de crise et déterminer les processus à appliquer en cas de cyberattaque. Pour y parvenir, il est utile d’identifier les interlocuteurs clés en interne et en externe, de créer des processus qui seront appliqués en cas d’incident et, enfin, de réaliser des simulations afin d’améliorer le système. Divers guides et plans, comme un Plan de Continuité d’Activité (PCA) peuvent être mis en place pour répondre plus efficacement.
La souscription à une cyberassurance
Selon un rapport sur le marché de la cyberassurance, le ministère de l’Economie a annoncé son intention d’inclure dans le projet de loi la possibilité pour les entreprises d’être indemnisées par les assureurs en cas d’attaque informatique par ransomware. A voir aussi : Conseils pour choisir la bonne assurance auto | Info-mag-annonce.com. La seule obligation des entreprises serait de déposer une plainte préalable dans les 48 heures suivant l’incident ayant causé le dommage.
Cette mesure de paiement de rançon, encore à l’étude, semble choquante à première vue, mais elle permettrait tout de même aux entreprises de limiter la période de paralysie et les pertes qu’elles subissent en cas de cyberattaque par ransomware. Après tout, l’œuvre volée est assurée, pourquoi ne serait-ce pas pour le rachat ?
Quelle que soit la décision des législateurs, la cyberassurance est une étape de plus en plus importante que les entreprises doivent prendre en compte. Car, hormis le cas particulier du rachat, les solutions d’assurance peuvent couvrir de nombreux frais.
Or, paradoxalement, si 84% des grandes entreprises ont souscrit à la cyberassurance en 2021, seulement 0,2% des TPE, PME et ETI ont fait de même, selon le rapport Lucy 2022 de l’Amrae (Association des sociétés de gestion des risques et des assurances).
Attention cependant, le marché de la cyberassurance en France est encore nouveau : les polices d’assurance et les primes sont donc très hétérogènes. De même, certaines assurances, comme la responsabilité civile professionnelle, couvrent déjà une partie des frais ci-dessus. En tout état de cause, la prise de conscience de la nécessité de se défendre contre les risques cyber ne doit émerger qu’après une catastrophe grave.
