in High-Tech

Comment les entreprises peuvent se défendre face aux risques cyber

1.2k Views

[ad_1]

[AVIS D’EXPERT] Cybersécurité et cyberassurance sont les deux piliers d’une défense efficace des entreprises contre les risques cyber. Décryptage avec notre expert François-Pierre Lani, avocat associé du cabinet Derriennic Associés.

Entre le Centre hospitalier universitaire de Rouen en novembre 2019, le Centre hospitalier de Dax en février 2021, ou, plus récemment, le Centre hospitalier sud francilien de Corbeil-Essonnes en août 2022, le secteur hospitalier français, souvent mal protégé, a subi de nombreuses cyberattaques. Ces attaques informatiques, majoritairement accompagnées de demandes de rançons, bloquent les accès aux systèmes informatiques et paralysent totalement les entités attaquées.

Aucune entreprise n’est épargnée par les risques cyber, raison pour laquelle il est indispensable de se défendre contre les cybermenaces, en agissant tant de manière préventive que curative.

Renforcer la cybersécurité de l’entreprise

Chaque entreprise doit renforcer la sécurité de son système informatique en suivant quelques grandes règles :

1. Réaliser – régulièrement – un audit de son système informatique en analysant les contrats, les mesures de sécurité mises en œuvre par les différents intervenants et en effectuant des analyses d’impact d’une cyberattaque sur la société.

2. Etablir une stratégie de continuité d’activité et créer une politique de sécurité en renforçant, au besoin, les éléments problématiques repérés lors de l’audit. La formation du personnel est également indispensable pour rendre effective la politique de sécurité: en effet, la sécurité informatique dépend toujours du maillon le plus faible de la chaîne, ici l’utilisateur.

3. Etablir des dispositifs de monitoring et d’alerte (système de surveillance et d’envoi d’alertes)

4. Créer une cellule de crise et déterminer les processus à appliquer en cas de cyberattaque. Pour ce faire, il est utile d’identifier les interlocuteurs clés en interne et en externe, de créer des processus à appliquer en cas d’incident, et, enfin d’effectuer des simulations afin d’améliorer le dispositif. Différents guides et plans, tel que le plan de continuité d’activité (PCA) peuvent être édictés pour réagir plus efficacement.

La souscription à une cyberassurance

Aux termes d’un rapport sur le marché de la cyberassurance, le ministère de l’Economie a annoncé son intention d’insérer, dans le cadre d’un projet de loi, la possibilité pour les entreprises d’être indemnisées par leur assureur en cas d’attaque informatique par rançongiciel. La seule obligation mise à la charge des entreprises serait le dépôt d’une plainte préalable dans un délai de 48 heures après l’incident à l’origine du dommage.

Cette mesure de paiement de la rançon, encore à l’étude, paraît à première vue choquante mais permettrait cependant aux entreprises de limiter le délai de paralysie et les pertes subies en cas de cyberattaque par rançongiciel. Après tout, une entreprise victime d’un vol est assurée, pourquoi ne le serait-elle pas en cas de rançon?

Quelle que soit la décision du législateur, la souscription à une cyberassurance est une étape de plus en plus indispensable que les entreprises doivent envisager. Car, outre le cas précis de la rançon, les solutions assurantielles peuvent prendre en charge de très nombreux frais.

C’est le cas:

  • (i) des pertes financières (frais de reconstitution des données, frais de décontamination, frais supplémentaires d’exploitation, pénalités contractuelles ou amendes administratives pour violation de la législation…),
  • (ii) du coût de la gestion de crise (frais de consultant en sécurité, frais de conseils techniques et juridiques…)
  • ou même (iii) des préjudices causés à des tiers (transmission du virus à un tiers, informations confidentielles de tiers qui fuitent…).

Or, paradoxalement, si 84% des grandes entreprises avaient souscrit à une cyberassurance en 2021, seules 0,2% des TPE, PME et ETI avaient fait de même, selon le rapport Lucy 2022 de l’Amrae (l’Association pour le management des risques et des assurances de l’entreprise).

Attention cependant, le marché des cyberassurances en France est encore récent: les polices et primes d’assurances sont donc très hétérogènes. De même, certaines assurances, comme la responsabilité civile professionnelle prennent déjà en charge certains des frais précédemment mentionnés. Dans tous les cas, la prise de conscience de la nécessité de se défendre face aux cyber risques ne doit pas intervenir à la suite d’un grave sinistre.

Par François-Pierre Lani, avocat associé du cabinet Derriennic Associés

[ad_2]

What do you think?

0 Points
Upvote Downvote

Written by Germain

Leave a Reply

Your email address will not be published. Required fields are marked *

Les astronomes ont débusqué le noyau originel de la Voie lactée

La toxoplasmose, une histoire de chat domestique