Sur l’année 2024, l’ANSSI rapporte avoir traité l’équivalent de 4 386 événements de sécurité (3 004 signalements et 1 361 incidents). Cela équivaut à une hausse de 15% par rapport à l’année passée. La cybersécurité reste une priorité pour les entreprises.
Aujourd’hui, les Cyber Risques peuvent aller jusqu’à paralyser des systèmes clés, provoquant non seulement des pertes de revenus et le vol de données, mais aussi des atteintes durables à l’image de l’entreprise et, dans certains cas, des sanctions de la part des autorités.
Pour répondre aux besoins des organisations, les assureurs proposent depuis plusieurs années le produit Cyber Assurance destiné à renforcer la protection des organisations et à réduire les risques financiers liés à ces menaces.
Quel est le périmètre que couvre une Cyber Assurance et qu’est-ce qui en est exclu ? L’organisation peut-elle se reposer uniquement ce produit pour couvrir les risques Cyber ou doit-elle mener des actions par elle-même ?
Une Cyber Assurance, de quoi parle-t-on exactement ?
Une Cyber Assurance aide à couvrir une partie des frais liés à une cyberattaque ou à une violation de données, ainsi que les coûts engendrés par les conséquences de l’incident. Cepend son rôle ne s’arrête pas là.
La Cyber Assurance couvre dans la plupart des cas les cyber risques suivants :
- La perte de données et leur récupération
- La perte de revenus due aux interruptions d’activité dues à un événement de cybersécurité
- La perte de fonds transférés à la suite d’événements tel que la fraude et l’ingénierie sociale
- La perte de fonds due à la fraude informatique et à l’extorsion
Dès lors que l’entreprise a été victime d’une violation de données, la Cyber Assurance couvre généralement les frais des actions suivantes :
- Les notifications aux clients, afin qu’ils soient tenus informés de la violation des données subie. C’est une obligation réglementaire.
- La récupération des données compromises, clients et/ou internes à l’entreprise
- L’expertise judiciaire, afin d’analyser les dommages et d’opérer une remédiation
- La réparation des dommages causés à la réputation de l’entreprise
Ces Cyber Assurances présentent cependant des limites. En effet, les cyber-risques causés par une erreur humaine, une négligence ou une cyberattaque provoquée par le personnel seront exclus de la couverture. De la même façon, si la cyberattaque est arrivée par une vulnérabilité connue de votre SI et qu’aucune action de résolution n’a été conduite, la Cyber Assurance peut refuser de couvrir les pertes.
Pour toutes ces raisons, la souscription a une Cyber Assurance ne dispense pas la mise en place d’une cyber-prévention au sein de l’organisation
Etablir une cyber-hygiène dans votre organisation
Chez AMITA Conseil, nous sommes adeptes de l’expression « plutôt prévenir que guérir ». La souscription à une Cyber Assurance est importante, mais elle n’est pas suffisante pour se protéger des nombreux risques. D’autres actions doivent être menées en amont dans votre entreprise, comme la mise en place d’une Politique de Sécurité des Systèmes d’Information (PSSI).
Elle établit les principes et les règles de sécurité de l’information et elle doit être partagée à l’ensemble des acteurs du SI. Comment l’implanter ?
La Protection des Systèmes et des Données, les étapes de la Gestion des Incidents, la Gestion des Identités et Accès (GIA) sont autant de règles qui doivent être précisées par le PSSI.
Par la suite, la DSI doit transposer les règles définies en procédures internes, avec leurs processus opérationnels associés pour mesurer concrètement le niveau de cybersécurité de l’organisation.
Pour assurer la mise en œuvre d’une PSSI, l’adhésion des équipes est indispensable. Cela passe par une communication interne claire et régulière afin de sensibiliser et de former les collaborateurs aux bonnes pratiques de sécurité. Chacun doit comprendre son rôle et ses responsabilités dans l’application de la politique, afin que la cybersécurité devienne une démarche collective et intégrée au quotidien de l’organisation.
Ensuite, la PSSI doit rester pérenne pour garantir sa viabilité. Les audits et les révisions périodiques, tels qu’un plan de contrôle et de mise à jour, permettront d’adapter la politique aux nouvelles menaces, aux évolutions technologiques et aux transformations internes de l’organisation. Ce processus d’amélioration continue renforce la pertinence et la résilience de la cyber-hygiène.
Pour structurer cette politique, les organisations peuvent s’appuyer sur des normes et référentiels reconnus, tel que par exemple, la norme l’ISO 27001 ou encore le règlement RGPD. D’une part, cela permet de construire la PSSI sur des bases solides et reconnues à l’international. D’autre part, avoir une PSSI répond pour un grand nombre d’organisations à une obligation réglementaire.
Enfin, il s’agit d’élaborer des règles de sécurité claires et pragmatiques en définissant des objectifs atteignables et mesurables. Ces règles doivent être adaptées aux risques réels, aux usages de l’organisation tout en étant en adéquation avec le budget de la DSI. Elles doivent couvrir les points essentiels comme le contrôle des accès, la sauvegarde des données, la gestion de la mobilité et, plus largement, tous les aspects critiques liés à la sécurité du système d’information.
En résumé :
Une Cyber Assurance est nécessaire pour protéger l’organisation financièrement et protéger sa réputation en cas de cyberattaque. Son enjeu est fort pour les organisations et elle est proposée par plusieurs assureurs de la place, la rendant relativement accessible. Toutefois, elle se mettra en application seulement si des actions de cyber-hygiène ont été mises en place au préalable.
Une PSSI structurée est nécessaire pour établir une bonne cyber-hygiène au sein de l’organisation. L’ANSSI met en avant 3 points afin d’élaborer une PSSI pertinente : la structurée autour de référentiels normés (ISO 27001), impliquer les métiers autant que possible et l’aligner sur les besoins de l’entreprise. Vos collègues et collaborateurs sont la clé de cette cyber-hygiène, aussi, il est nécessaire d’ancrer la culture de sécurité via des actions de sensibilisation et de formation continue.
