[CONSEILS D’EXPERT] La cybersécurité et la cyberassurance sont les deux piliers d’une défense efficace des entreprises contre les risques cyber. Décryptage avec notre expert François-Pierre Lani, avocat associé chez Derriennic Associés.
Entre le Centre Hospitalier Universitaire de Rouen en novembre 2019, le Centre Hospitalier de Dax en février 2021 ou, plus récemment, le Centre Hospitalier Sud Ile-de-France de Corbeil-Essonnes en août 2022, le secteur hospitalier français, souvent mal protégé, il a subi de nombreuses cyberattaques. Ces attaques informatiques, le plus souvent accompagnées de demandes de rançon, bloquent l’accès aux systèmes informatiques et paralysent complètement les entités attaquées.
Aucune entreprise n’est épargnée par les risques cyber, il est donc essentiel de se défendre contre les cybermenaces, en agissant de manière préventive et curative.
Renforcer la cybersécurité de l’entreprise
Chaque entreprise doit renforcer la sécurité de son système informatique en suivant quelques règles principales :
1. Réaliser – de façon régulière – un audit de son système informatique en analysant les contrats, les mesures de sécurité mises en place par les différentes parties intéressées et en analysant l’impact d’une cyberattaque sur la société.
2. Établir une stratégie de continuité des affaires et créer une politique de sécurité renforçant, si nécessaire, les éléments problématiques identifiés lors de l’audit. La formation du personnel est également essentielle pour rendre efficace la politique de sécurité : en vérité, la sécurité informatique dépend toujours du maillon le plus faible de la chaîne, ici l’utilisateur.
3. Établir des systèmes de surveillance et d’alerte (système de surveillance et d’envoi d’alertes)
4. Créer une cellule de crise et déterminer les procédures à appliquer en cas de cyberattaque. Pour cela, il est utile d’identifier les principaux interlocuteurs internes et externes, de créer des procédures à appliquer en cas d’incident et, enfin, de réaliser des simulations pour améliorer le système. Divers guides et plans, comme le plan de continuité d’activité (PCA) peuvent être édictés pour réagir plus efficacement.
La souscription à une cyberassurance
Selon un rapport sur le marché de la cyberassurance, le ministère de l’Economie a annoncé son intention d’inclure, dans le cadre d’un projet, la possibilité pour les entreprises d’être indemnisées par leur assureur en cas d’attaque informatique par ransomware. La seule obligation pour les entreprises serait de déposer une réclamation préalable dans les 48 heures suivant l’incident ayant causé le dommage.
Cette mesure de paiement de rançon, encore à l’étude, semble choquante à première vue, mais elle permettra aux entreprises de limiter la période de paralysie et les pertes subies en cas de cyberattaque par ransomware. Après tout, une entreprise volée est assurée, pourquoi ne serait-ce pas contre rançon ?
Quelle que soit la décision du législateur, souscrire une cyber assurance est une étape de plus en plus incontournable que les entreprises doivent envisager. Car, outre le cas particulier du rachat, les solutions d’assurance peuvent couvrir de nombreux frais.
Or, paradoxalement, si 84% des grandes entreprises avaient souscrit une cyber-assurance en 2021, seulement 0,2% des TPE, PME et ETI avaient fait de même, selon le rapport Lucy 2022 de l’Amrae (l’Association des sociétés de gestion des risques et assurances) . .
Attention toutefois, le marché de la cyberassurance en France est encore nouveau : les polices d’assurance et les primes sont donc très hétérogènes. De même, certaines assurances, comme la responsabilité civile professionnelle, couvrent déjà une partie des frais évoqués ci-dessus. Cependant, la prise de conscience de la nécessité de se défendre contre les risques cyber ne doit pas se faire après une catastrophe grave.