En tant que Cyber Practice Leader pour le courtier d'assurances Marsh, Anne-Sophie Coppens conseille les entreprises sur la gestion des risques liés à la cybersécurité. Dans le cadre de son intervention à la Digital Connect Week - Industries moving forward d’Agoria, nous lui avons demandé comment vous, en tant qu’entreprise, pouviez faire face à la menace de cyber-incidents. Voici ses trois conseils pour limiter les risques et les conséquences d'une cyberattaque.


Digital Connect Week 2020

Au cours de la Digital Connect Week - Industries moving forward, Anne-Sophie Coppens analysera l'état actuel de la cybersécurité et la manière dont vous pouvez vous armer en tant qu'entreprise.

Réservez ici votre place pour cet événement intégralement digital.

Marsh est un courtier d’assurances qui agit en tant que prestataire de services pour les entreprises. Anne-Sophie Coppens est Cyber Practice Leader au sein du groupe FINPRO, spécialisé dans les polices d’assurance financières et professionnelles, ce qui inclut les polices couvrant les cyber-risques. « L'impact d'un cyber-incident est souvent lié à plusieurs polices : les dommages physiques, par exemple, sont couverts par d'autres polices. Généralement, cela entraîne également des dommages financiers, qui sont couverts par l’assureur au moyen d’une cyber-police », explique Anne-Sophie Coppens.

L’essor du ransomware

Dans le domaine de la cybersécurité, 2017 est considérée comme une année charnière en raison des diverses affaires de ransomware qui ont été particulièrement médiatisées.

Lorsqu’une entreprise est victime d’un ransomware, ses données ou son système informatique sont bloqués par des hackers. Ceux-ci exigent ensuite de grosses sommes d'argent en échange de la clé numérique qui permettra à l’entreprise de reprendre ses activités. Parfois, ces hackers menacent également de rendre les données publiques ou de les détruire définitivement après un certain temps si la rançon n'est pas payée. L’essor du ransomware a ainsi marqué le début d’une nouvelle ère dans le domaine de la cybersécurité.

Conseil n°1 : Gare au faux sentiment de sécurité (cela peut arriver à n’importe quelle entreprise)

« Avant la vague d’attaques par ransomware, de nombreuses entreprises se sentaient trop en sécurité », explique Anne-Sophie. « Elles pensaient qu'elles n'avaient pas assez de données sensibles pour être piratées, ou qu'elles étaient trop petites. Soudain, elles ont réalisé que tout le monde pouvait être visé. Les hackers peuvent mettre une entreprise à l’arrêt pendant des semaines, ce qui peut être fatal pour les petites et grandes entreprises manufacturières. En matière de cybersécurité, il vaut mieux toujours envisager le pire des scénarios ».

Conseil n°2 :Intégrez la cybersécurité dans votre business plan

« Avant, la cybersécurité était parfois considérée comme une branche d’activité à part, qui relevait de la seule responsabilité du service informatique ou de consultants externes », poursuit Anne-Sophie. « Aujourd'hui, les entreprises doivent adapter leur modèle d'entreprise aux risques de violation de données ou autres. Bien entendu, l’adoption du RGPD a également joué un rôle à ce niveau. Ainsi, les entreprises ne peuvent plus collecter et conserver que des données absolument nécessaires. L’on n’est plus dans une situation où « plus l’on dispose de données, mieux c’est ». Plus de données signifie désormais plus de risques et des conséquences plus lourdes en cas de violation de données. Le cyber-risque doit donc être contrôlé au niveau de la direction, même si la sécurité est externalisée ».

Conseil n°3 :Appliquez une approche globale

Lors de son analyse des risques, l'assureur ne s'intéressera pas seulement à la sécurité du système, mais aussi à la mesure dans laquelle l'entreprise est prête à faire face à un cyber-incident. Anne-Sophie : « Supposons que vous soyez victime d’une attaque par ransomware : dans quel délai pouvez-vous réagir ? Quelle est votre couverture juridique ? Comment allez-vous communiquer à ce sujet aux actionnaires et aux clients ? Quel sera l’impact si l’entreprise reste à l’arrêt pendant une demi-journée environ ? La prévention fait également partie de cette approche : vous devez former vos collaborateurs à ce type de situations. Chaque entreprise devrait disposer d'une feuille de route en cas de problème, autrement dit d'un Business Continuity Plan et d'un Disaster Recovery Plan en langage professionnel. C’est une forme de gestion de crise et une politique globale doit être élaborée à cet effet. En d’autres termes, la cybersécurité est une responsabilité partagée. »

Besoin de plus de conseils ?  Inscrivez-vous ici pour l'événement 'Digital Connect Week - Industries moving forward'.

Si vous êtes une entreprise membre d'Agoria ayant une offre sur la cybersécurité, saisissez votre chance de tenir l'un des derniers stands de l'exposition virtuelle !