Aujourd’hui, il est indispensable pour les entreprises de se protéger des cyber-risques, de savoir comment minimiser et même anticiper l’impact que pourrait avoir une cyber-attaque sur leur activité et leur développement économique.
Connaitre ces nouveaux risques, prendre des mesures de prévention au sein de l’entreprise et s’assurer pour garantir la pérennité de son activité… Les entreprises sont face à de nouveaux enjeux qu’elles doivent maitriser pour poursuivre sereinement leur déploiement.
» Les contrats d’assurance cyber ainsi que les mesure de prévention contre les cyber-risques permettent
de protéger le patrimoine dématérialisé des entreprises. «
Les cyber-attaques et les mesures de prévention
Le patrimoine dématérialisé des entreprises doit être protégé des cyber-risques.
En effet, un cyber-risque est celui de voir ses données et celles de ses Clients violées ou encore de ne plus pouvoir accéder à son système d’information et donc de devoir cesser son activité… Ce sont des risques qu’il faut pouvoir maitriser pour en minimiser les impacts.
Les cyber-attaques se traduisent le plus fréquemment de 3 manières :
- Par un déni de service qui est une forme d’attaque consistant à saturer les capacités de traitement d’un système d’information ou d’un site web à partir d’autres machines préalablement infectées.
- Par un cryptologiciel ou un rançongiciel : attaque qui crypte les données d’un système d’information dont la clé de décryptage n’est obtenue qu’après le paiement d’une rançon, le plus souvent demandée sous forme virtuelle (Bitcoins).
- Par un logiciel malveillant : un programme qui affecte le fonctionnement d’un système d’information appelé plus communément virus ou cheval de Troie.
Se protéger de ses cyber-attaques passe par la mise en place de certaines mesures de prévention au sein même de l’entreprise.
Tout d’abord, il faut pouvoir analyser précisément le niveau d’exposition de l’entreprise à ces nouveaux risques avant de mettre en place une politique de protection adaptée.
Une personne de l’entreprise clairement identifiée peut ensuite prendre en charge la mise en place et le suivi de cette politique qui doit reposer sur trois piliers principaux :
- Les facteurs humains et organisationnels : campagnes de sensibilisation aux cyber-risques menées auprès de l’ensemble des collaborateurs, des sous-traitants et des prestataires, gestion des droits d’accès et mots de passe, mise à jour des logiciels opérationnels de gestion, de process et de production…
- Les outils de protection : mise en place d’anti-virus, d’outils de filtrage pour détecter et écarter les intrusions malveillantes dans le système d’information, d’outils de détection comportementale pour stopper les intrusions qui seraient passées à travers l’outil de filtrage…
- L’anticipation d’une gestion de crise par la mise en place d’outils de résilience permettant à une entreprise de reprendre rapidement son activité à la suite d’une cyber-attaque : sauvegarde régulière de toutes les données, mise en place d’un Plan de Continuité d’Activité…
Que faire en cas de cyber-attaque ?
En cas d’incident informatique, une entreprise doit se manifester à la fois auprès des pouvoirs publics mais également de son assureur.
En effet, étant victime d’une infraction aux technologies de l’information et de la communication, l’entreprise qui subit une cyber-attaque doit porter plainte dans les plus brefs délais. Qu’il s’agisse d’une véritable attaque ou d’une suspicion, l’entreprise victime doit de récolter des preuves numériques grâce à des constatations techniques pouvant être complétées par un spécialiste en cybercriminalité nommé par les services de police.
En cas de violation de ses données personnelles, l’entreprise a l’obligation de notifier l’incident auprès de la Commission Nationale de l’Informatique et des Libertés (la CNIL) dont le rôle est de réguler l’utilisation des données personnelles et d’aider les professionnels et les particuliers dans l’utilisation des nouvelles technologies.
En cas d’atteinte à leur système d’information, les entreprises qualifiées « d’opérateurs d’importance vitale », « d’opérateurs de services essentiels » et « de fournisseurs de services numériques », ont l’obligation de notifier l’incident auprès Premier Ministre et de l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI).
Les entreprises victimes d’une cyber-attaque doivent également déclarer le sinistre à leur assureur sans délai pour qu’il puisse les conseiller et les accompagner. Il est important d’informer sn assureur de l’incident avant de prendre toute décision pouvant avoir un impact sur la gestion du dossier de déclaration de sinistre et sur les conséquences de l’incident.
L’assurance cyber
Au même titre qu’une entreprise souscrit un contrat d’assurance pour couvrir ses collaborateurs, ses locaux et ses biens en cas de dommage, elle peut également souscrire une assurance cyber pour couvrir son patrimoine dématérialisé qui fait aussi ce qu’elle est et dont un sinistre pourrait avoir de graves conséquences économiques pour l’entreprise.
Un contrat d’assurance cyber couvre généralement les conséquences (c’est-à-dire les frais de recherche de la cause, de réparations et de pertes d’exploitation consécutives) d’un accident, parfois dû à une erreur humaine (imprudence, négligence…), ou d’un acte de malveillance (cyber-attaque…) dont l’origine serait uniquement informatique et qui ne causerait pas de dommage matériel.
En complément, un contrat d’assurance cyber peut également couvrir :
- les frais de notification suite à l’atteinte, au vol ou à l’extraction de données personnelles et/ou confidentielles (CNIL, titulaires des données détournées, enquête administrative)
- Les frais de gestion de crise (frais de communication et de préservation de la réputation de l’entreprise)
- Les frais de consultants spécialisés chargés de faire cesser la cyber-attaque.
La responsabilité d’une entreprise vis-à-vis d’un tiers peut être assurée par un contrat de responsabilité civile qui couvre les dommages corporels, matériels ou immatériels. En revanche, certains contrats de responsabilité civile peuvent limiter ou exclure la garantie de responsabilité vis-à-vis des tiers pour les dommages immatériels lorsqu’ils sont causés par une malveillance informatique ; il est alors possible de souscrire un contrat d’assurance cyber pour couvrir cette même garantie.
Une extension du contrat d’assurance cyber permet également de couvrir les pertes financières causées par des fraudes consécutives à un acte de malveillance informatique.