La menace cyber est de plus en plus dans tous les esprits des décideurs en entreprise. Et si c’est véritablement une avancée majeure, cela pose aussi quelques problèmes aux dits décideurs.
Parmi elles, la possibilité d’assurer le risque. Très séduisantes, les diverses polices proposées par maintenant quasi toutes les grandes enseignes d’assurances, vous couvrent de bien des tracas en cas de « cyberdégâts » sur votre système informatique d’entreprise. Si la mise en œuvre de sauvegardes fiables et sécurisées reste la défense majeure et indispensable, ce type d’assurance a de quoi théoriquement vous sauver de biens des tracas.
Prise en charge du PRA (Plan de Reprise d’Activité), défraiement de la perte d’exploitation, dommages aux données, perte de clientèle due à la perte de réputation elle-même assurable, etc… Les clauses de ce type de police d’assurance ont vraiment de quoi rassurer l’entreprise, sauf que cela peut s’avérer un peu de la poudre aux yeux.
Si se lancer dans la souscription d’une assurance Cyber est la bonne idée du moment, la décortiquer et surtout lire de façon exhaustive toutes les clauses d’exclusion est tout aussi important. Sans vous en faire une longue liste totalement indigeste, ces clauses posent systématiquement une réserve sur « Les comportements imprudents » !
Là, on entre dans un monde parallèle où rien n’est blanc ou noir mais totalement gris. Partant du postulat démontrable très facilement que : Toute attaque cyber « victorieuse » est due à une erreur humaine et que plus de 95% de ces erreurs sont issues de l’entreprise elle-même, on comprend très vite que cette clause est la porte de sortie idéale pour l’assureur et lui éviter d’indemniser le client.
Donc, si vous avez l’intention de souscrire une police de ce type ou que vous en possédez déjà une, prenez le temps de vous faire expliquer pas à pas toutes les clauses d’exclusion et donnez des exemples très basiques : « Un de mes employés a ouvert un mail infecté » ou encore « La mise à jour du système d’exploitation n’a pas été faite en temps et en heure pour protéger mon système efficacement », etc… Des réponses fournies viendra la tranquillité d’esprit ou le sentiment de traverser L’Antarctique en maillot de bain.
Et surtout, quoi que vous pensiez de ce type d’assurance, ne jamais imaginer que sa souscription doit vous empêcher de répondre aux préceptes de base de la cybersécurité : Protection, sauvegardes, formation du personnel, charte informatique d’entreprise et veille technologique.
Laisser un commentaire