Avis d’expert : les cyber-risques, tout le monde en parle, enfin

2) La prévention, la réduction du risque

Elle est possible, mais encore trop souvent assimilée à la seule sécurité informatique. La sécurité informatique est indispensable, mais plus suffisante. Il faut en contrôler l’efficacité pour l’adapter et la faire évoluer, à l’identique de ce que l’on fait pour les systèmes de sécurité des biens matériels: télésurveillance, alarme, alerte…

Les comportements à risque : ils sont à l’origine de plus de 50 % des sinistres et souvent sans qu’il y ait d’intention malveillante. Il faut informer, sensibiliser, former les utilisateurs. Il faut savoir qu’une sécurité informatique très stricte, si elle limite les risques de malveillance interne et externe, restreint les possibilités d’action des utilisateurs et conduit assez souvent au développement de systèmes parallèles mis en place par ces mêmes utilisateurs pour contourner les restrictions d’utilisation du réseau informatique. Ces pratiques, de bonne foi, exposent gravement l’entreprise qui considère avoir pris les mesures adéquates à sa sécurité informatique.

3) Le traitement et transfert du risque résiduel.

Au même titre que pour les risques traditionnels tels que l’incendie, le vol, la responsabilité civile, la prévention des cyber-risques permet de les réduire significativement. Le risque résiduel devient donc transférable, donc assurable.

2011 a été une année riche en sinistres liés à la cybercriminalité. Les médias ont largement évoqué ceux touchant les grandes entreprises (Sony) ou les organisations étatiques (Bercy), mais le détournement d’un réseau téléphonique, le vol de données confidentielles, le détournement de flux financiers, dont les PME, les TPE, les professions réglementées sont de plus en plus fréquemment victimes, ont des conséquences dramatiques pour elles et sont moins connus.

La médiatisation a néanmoins favorisé la prise de conscience des dangers liés à ces nouvelles technologies et l’émergence de solutions.

Il est désormais possible de faire surveiller son réseau informatique comme on fait surveiller ses locaux et d’intervenir en temps réel pour se protéger des malveillances détectées. Il est également devenu possible de s’assurer contre les conséquences financières de ces intrusions et malveillances.

Plusieurs assureurs proposent depuis peu des contrats spécifiques pour garantir les cyber-risques. Cependant tant la nature des garanties que leur montant et les primes sont très dépendants du niveau de prévention mis en place par l’entreprise.

Il y a donc encore de grandes marges de progrès, mais la route est ouverte.

Crédit photo : © Cyberprotect