Article Assurance

Comment se protéger d'une cyberattaque

Les recommandations de l'équipe Risques Spéciaux de Swiss Risk & Care

La thématique est plus que jamais d'actualité suite à la série de cyberattaques de vendredi 12 mai 2017. D'une ampleur sans précédent, elle a fait 200'000 victimes réparties dans quelque 150 pays, d'après les chiffres communiqués par Europol. Si les sites névralgiques suisses n’ont semble-t-il pas été touchés – hôpitaux, centrales énergétiques, banques – certains particuliers et des PME en auraient néanmoins fait les frais, selon MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information.

Prévention

Les cyberattaques se complexifient. Nous ne pouvons que recommander aux Conseils d’administration et aux Comités de direction de prêter une grande attention aux problématiques de sécurité et de protection des données dans la gestion quotidienne de leurs affaires. Les précautions à adopter comportent un volet humain et un volet technique.
 
Il est capital de sensibiliser votre personnel sur la vigilance à avoir face à des emails non sollicités. Les bons comportements :
  • Ne pas cliquer sur les liens
  • Ne pas télécharger les pièces jointes
  • Ne pas aller sur des sites suspects
  • Ne pas répondre à l’email
  • Reporter tout potentiel email d’hameçonnage ou tout email suspect à votre département informatique/sécurité
Tout aussi essentielle, la mise à jour régulière des logiciels et systèmes d’information.

 

Assurance cyber

L’assurance Cyber ne constitue pas un outil de protection stricto sensu. Un vrai travail en amont nécessitant des efforts financiers doit être fait au préalable ou en parallèle.
 
Néanmoins, une couverture d’assurance peut apporter une certaine sérénité, de par la possibilité en cas de crise d’avoir accès 24h/24, 7j/7 à des experts informatiques, sécurité et juridiques pouvant vous aider à être réactif et à gérer au mieux cette crise. Elle offre de plus, des garanties de reconstitution des données, des garanties pertes d’exploitation et une garantie responsabilité civile en cas de violation de la protection des données.
 
Notre équipe Risques Spéciaux se tient à votre disposition pour l’étude et la mise en place d’une garantie Cyber.

Manque de sensibilisation

La dernière étude 2016-2017 conduite par Ernst & Young intitulée « Global Information Security Survey » révèle notamment un manque de sensibilisation des Comités de direction et Conseils d’administration aux problématiques de sécurité informatique et de protection des données.
 
Des moyens budgétaires insuffisants rendent difficile la mise en place d’une politique sécurité adéquate, un problème exacerbé par le fait que les responsables sécurité ne siègent souvent pas aux Comités de direction.
 
Le sujet de la protection des données doit être une priorité à l’agenda des Conseils d’administration et des Comités de Direction et ce d’autant plus qu’il peut représenter un avantage compétitif, les clients devenant de plus en plus sensibles à ce sujet.
 
Si les organisations ont certes amélioré leur capacité à détecter des menaces cyber, encore beaucoup d’entre elles n’ont pas de Security Operations Center (SOC), de Data Protection Officer ni de plan de réponse en cas d’attaque (Cyber Breach Response Program), ce qui est pourtant primordial pour des organisations détenant des informations personnelles de clients. Un piratage de données peut atteindre la réputation d’une entreprise au point de mettre sa survie en question.

Règlementation

Les organisations doivent se préparer à des incidents d’une même ampleur, voire pires, que ceux qui se sont produits le 12 mai 2017. Elles doivent savoir réagir, identifier les acteurs des différentes actions à mettre en place et connaître les personnes à contacter dans des délais très courts, notamment au regard du règlement GDPR General Data Protection Regulation, le règlement européen sur la protection des données.

Ce règlement sera applicable d’ici mai 2018 à toutes les entreprises européennes et non européennes fournissant des biens et services et détenant des informations personnelles de citoyens ou résidents européens. Il va imposer la notification aux autorités et aux clients de toute fuite de données dans un délai de 72 heures sous peine d’une amende pouvant atteindre 4% du chiffre d’affaires.

Les organisations suisses traitant des données personnelles de résidents européens seront soumises à ce règlement et ce même sans présence locale au sein de l’Union Européenne.

Nos auteurs

Sophie Di Meglio
Directrice Risques Spéciaux - Swiss Risk & Care
Article publié en mai 2017

Articles associés

  • Assurance

    Cyberattaques

    Les technologies numériques ont engendré l’apparition de nouveaux dangers et de garanties d’assurance spécifiques. Une réflexion sur l’opportunité d’un transfert de risque auprès des assureurs est à l’ordre du jour.
    En savoir plus
  • Assurance

    Le fléau de la fraude au président

    Des malfaiteurs parviennent régulièrement à soustraire des sommes d’argent à des entreprises en usurpant l’identité de leurs dirigeants. La Suisse commence à s’inquiéter du phénomène.
    En savoir plus

Services associés