Cyberattaque, comment bien choisir son assurance

Le risque de cyberattaques, amplifié par la guerre en Ukraine, pèse sur toutes les entreprises, même sans lien avec l’Ukraine ou la Russie. « Les pirates informatiques visent tout le monde. Il est évident que toutes les entreprises sont ciblées. L’immense majorité des sociétés qui ont été attaquées ont été identifiées comme ayant un système d’informations vulnérable », indique fermement Eric Barbry, avocat IP/IT, associé du cabinet Racine.

C’est pourquoi, il est indispensable de réaliser un audit informatique, mais aussi de mettre en œuvre des chartes de bonne conduite informatique, de sensibiliser les salariés, de sécuriser les contrats avec ses prestataires informatiques afin de prévenir immédiatement en cas de violation de sécurité. « Beaucoup d’entreprises demandent des tests d’intrusion sans savoir vraiment ce que c’est. Or, ce type de test ne se préoccupe que d’une partie du système d’information. Mieux vaut d’abord s’orienter vers un audit d’hygiène et de maturité », explique Jean-Philippe Gaulier, fondateur du cabinet de conseils en cybersécurité, Cyberzen.

Des critères d'audit fixés par l'ANSSI

Pour aider les entreprises dans une telle démarche, l’Agence nationale de sécurité des systèmes d'information a établi un guide d’hygiène informatique. Il fixe 42 règles essentielles pour assurer la sécurité du système d’information de l'entreprise et les moyens de les mettre en œuvre, outils pratiques à l’appui. Selon les experts, effectuer un tel audit représente environ une journée de travail par un expert de la cybersécurité pour un budget moyen de 2 500 euros environ.

À son issue, l’entreprise dispose d'une meilleure idée de sa maturité grâce à une note située entre 0 et 5. L'améliorer nécessite un budget plus conséquent : environ 50 000 euros pour une PME d'une trentaine de personnes souhaitant passer de 1 à 3, par exemple.
« La cybersécurité doit apporter de la plus-value à l’entreprise, être un atout marketing », estime Jean-Philippe Gaulier.

Veiller au périmètre de protection

L’audit est nécessaire pour prévenir, mais il ne réduit pas le risque à 0. Les pirates informatiques ont toujours un temps d’avance et le facteur humain, tel qu’un salarié qui ouvre un mauvais mail, n’est pas contrôlable. Se doter d’une assurance cyber est complémentaire à la prévention et à la sensibilisation. Faut-il encore réussir à s’y retrouver parmi tous les acteurs du marché. « Il ne faut pas hésiter à mettre en concurrence les acteurs de la cyber assurance », conseille Eric Barbry.

Pour bien choisir son assurance plusieurs critères sont à prendre en compte : quel type d’attaque est couvert, quels prestataires interviendront au nom de l’assurance en cas d’attaque, quels sont les montants de la couverture et de la franchise. De moins de moins d’assurances acceptent, par exemple, de couvrir les frais d’une rançon en cas d’attaque « ransomware », de peur d’être considérées par la justice comme les complices d’une arnaque.

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur pourrait changer la donne. Son article 5 prévoit de rendre possible le versement d'une rançon couverte par l'assureur de la société victime si cette dernière accepte de déposer plainte dans les 48 heures après le paiement de la rançon.