[AVIS D’EXPERT] La cybersécurité et la cyberassurance sont les deux piliers d’une défense efficace des entreprises contre les risques cyber. Décryptage avec notre expert François-Pierre Lani, avocat associé chez Derriennic Associés.

Entre le Centre Hospitalier Universitaire de Rouen en novembre 2019, le Centre Hospitalier de Dax en février 2021, ou, plus récemment, le Centre Hospitalier Sud Ile-de-France de Corbeil-Essonnes en août 2022, le secteur hospitalier français, souvent mal protégé, de subi de nombreuses cyberattaques. Ces attaques informatiques, généralement accompagnées de demandes de rançon, bloquent l’accès aux systèmes informatiques et paralysent complètement les entités attaquées.

Aucune entreprise n’est épargnée par les risques cyber, il est donc essentiel de se défendre contre les menaces cyber en agissant à la fois de manière préventive et curative.

Renforcer la cybersécurité de l’entreprise

Chaque entreprise doit renforcer la sécurité de son système informatique en suivant quelques règles principales :

1. Réaliser – régulièrement – un audit de son système d’information en analysant les contrats, les mesures de sécurité mises en place par les différents acteurs, et en analysant l’impact d’une cyberattaque sur la société.

2. Établir une stratégie de continuité des affaires et créer une politique de sécurité en renforçant, si nécessaire, les éléments problématiques identifiés lors de l’audit. La formation du personnel est également essentielle pour rendre efficace la politique de sécurité : La sécurité informatique dépend toujours du maillon le plus faible de la chaîne, en l’occurrence l’utilisateur.

3. Établir des systèmes de surveillance et d’alarme (système pour surveiller et envoyer des alarmes)

4. Créer une cellule de crise et déterminer les processus à appliquer en cas de cyberattaque. Pour cela, il est utile d’identifier les interlocuteurs clés en interne et en externe, de créer des processus qui seront appliqués en cas d’incident, et enfin de faire des simulations pour améliorer le système. Différents guides et plans, comme le Plan de Continuité d’Activité (PCA) peuvent être mis en place pour y répondre plus efficacement.

À Lire  Votre patron est-il plus jeune que vous ? C'est pourquoi votre ego doit passer par là

La souscription à une cyberassurance

Selon un rapport sur le marché de la cyberassurance, le ministère de l’Economie a annoncé son intention, dans le cadre d’un projet de loi, d’indemniser les entreprises de leurs assureurs en cas d’attaque informatique causée par un ransomware. La seule obligation pour les entreprises serait une réclamation préalable dans les 48 heures suivant l’incident ayant causé le dommage.

Cette mesure de paiement de rançon, encore à l’étude, semble choquante à première vue, mais permettrait aux entreprises de limiter la période de paralysie et les pertes en cas de cyberattaque par ransomware. Après tout, une entreprise volée est assurée, pourquoi ne serait-ce pas contre rançon ?

Quelle que soit la décision du législateur, se désengager de la cyberassurance est une étape de plus en plus importante que les entreprises doivent envisager. Car, outre le cas particulier de la rançon, les solutions d’assurance peuvent couvrir de nombreux frais.

Or, paradoxalement, alors que 84% des grandes entreprises auraient souscrit à une cyberassurance en 2021, seuls 0,2% des TPE, PME et ETI ont fait de même, selon le rapport Lucy 2022 de l’Amrae (l’Association pour la gestion des risques et assurances des entreprises ).

Attention toutefois, le marché de la cyberassurance en France est encore récent : les polices d’assurance et les primes sont donc très hétérogènes. De même, diverses assurances, telles que par ex. Responsabilité civile professionnelle, déjà certains des frais mentionnés ci-dessus. Dans tous les cas, la prise de conscience de la nécessité contre les risques cyber ne doit pas intervenir après une catastrophe grave.