Une sécurité informatique la plus fiable possible passe aussi par un contrat détaillé avec votre prestataire.
Échapper à une cyberattaque est un doux rêve. Cependant, il est possible de faire son possible en amont pour éviter d’être une cible d’opportunité.
En plus de la formation de vos salariés à détecter des mails et liens suspects, le contrat avec votre prestataire informatique doit être le plus précis possible.
Ajouter une clause de sécurité
Pour aider les TPE-PME, principales cibles, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un référentiel sur la cybersécurité en 12 questions.
« La sécurité informatique doit être constante, beaucoup de cyberattaques sont dues à un défaut de mise à jour », remarque Sylvie Jonas, avocate, associée du cabinet Agil’IT. Au fil de la vie de votre entreprise, la sécurité de votre système d’information doit devenir une fin en soi et non plus un moyen.
Pour ce faire, lorsque vous signez un contrat avec un informaticien ou un infogérant, il est important de soulever toutes les questions de sécurité. Rien ne doit être laissé au hasard. « Il faut ajouter une clause de sécurité dans le contrat avec ce prestataire », explique l’avocate.
Avec cette clause de sécurité, vous pourriez mettre en cause la responsabilité de votre informaticien si un manquement de sa part est à l’origine d’une cyberattaque. « Le contrat doit poser le périmètre des prestations confiées au prestataire. Sa responsabilité pourrait ainsi être mise en cause en cas de problème lié à un manquement », insiste Sylvie Jonas.
Détailler les règles de l’art
Cette clause au contrat précise que l’informaticien, l’infogérant ou toute personne qui a un accès au système d’information de l’entreprise est tenu de réaliser les maintenances préventives et correctives « conformément aux règles de l’art », notamment les mises à jour et les sauvegardes hors ligne.
Plus ces règles de l’art sont détaillées, mieux vous êtes protégé. L’ANSSI les a définies dans un guide pratique.
Il s’agit notamment de la réglementation nationale et européenne, des recommandations et avis de la CNIL et de l’ANSSI, les normes ISEO ainsi que les publications référentes. « Il faut aussi ajouter que le prestataire doit informer, sensibiliser et former ses salariés à la sécurité », recommande l’avocate.
Et pour s’assurer d’avoir du renfort le jour d’une cyberattaque, le contrat peut aussi spécifier une obligation de coopération du prestataire lors d’une crise.
À lire aussi : Cyberattaque, comment bien choisir son assurance
Articles sur le même thème
Cyberattaque : sans plainte dans les 72h, pas d’indemnisation
Pour être indemnisé par son assurance, un entrepreneur victime d’une cyberattaque doit déposer plainte dans les 72 heures.
Trois idées reçues sur les droits des utilisateurs de TikTok
Données personnelles transmises aux autorités chinoises, âge d’inscription, source de revenus peu fiable. Les droits des utilisateurs TikTok sont malmenés.
La suite de cet article est réservée aux abonnés et en achat à la carte.
Peut-on assurer ses NFTs ?
Face aux risques d’arnaques, de phishing et de piratages, assurer ses NFTs peut s’avérer être une solution, sous quelques réserves.
La suite de cet article est réservée aux abonnés et en achat à la carte.