Comment s'y prendre en cas d'une attaque informatique ? Anticiper et minimiser l'impact d'un cyber risque : Entreprises, commerçants, artisans, collectivités territoriales, vous êtes tous concernés est un guide librement téléchargeable (28 pages, en PDF) mis en ligne en octobre 2019 par la Fédération Française de l'Assurance.

Son objectif : mettre en avant les bons réflexes et la conduite à tenir pour prévenir et réduire les risques de cybermalveillance et d'intrusion informatique sur une entreprise (dont les TPE PME) et lui permettre de pérenniser avec sérénité son activité. Il est également présenté une matrice simplifiée des contrats d'assurance couvrant un accident de cybersécurité pour sa société.

Se protéger contre les cyber-risques est indispensable

Se protéger contre les risques d'attaques informatiques constitue un enjeu vital pour les entreprises quel que soient leur taille. Plus spécifiquement, les TPE PME doivent conserver leur savoir-faire, leurs compétences et leurs données face à des actes de malveillance informatiques et numériques qui peuvent exposer les sociétés à des conséquences graves dans le maintien et le développement de leur activité.

5 cas de cybermalveillance en entreprises

Le guide débute par exposer 5 cas de cybermalveillance dont 2 relevant de TPE :

• En surfant sur le net, un architecte a vu apparaître une fenêtre de sécurité l’informant de la contamination de son ordinateur par un virus et bloquant toutes fonctionnalités ;
• Un cabinet d’expertise-comptable a définitivement perdu les bilans de ses clients à la suite d’une attaque cyber.

Ces exemples montrent clairement que l'on se doit d'être conscients des cyber-risques et s'en protéger.

Protéger son entreprise : Mode d’emploi

Le dossier décrit la nécessité de mettre en place une gestion de protection de l'entreprise reposant sur 4 piliers (avec des bonnes pratiques et des outils à mettre en œuvre pour réduire le risque cyber) :

1. Les facteurs humains et organisationnels

La lutte contre les cyber-risques commence par une sensibilisation / formation de l’ensemble des collaborateurs de l’entreprise à la vigilance et aux bonnes pratiques.

Au-delà de vos collaborateurs, les sous-traitants et prestataires doivent également être sensibilisés et formés contre ces risques. Ils ne doivent pas représenter le maillon faible de la protection de l'entreprise face aux cyber menaces.

La gestion des droits d’accès et des mots de passe, tant physiques qu’informatiques, doit être adaptée à la situation de l'organisation et aux fonctions des collaborateurs concernés.

Le respect de règles simples d’hygiène informatique et la mise à jour régulière de tous les logiciels (de comptabilité, de production, de gestion, etc.) sont indispensables.

2. Des outils de protection

Mettre en place des anti-virus et pare-feux, des outils et services de surveillance et de détection ainsi que des outils de filtrage.

3. Des outils de résilience

Utiliser des sauvegardes et concevoir un plan de continuité d'activité.

4. Une anticipation de la gestion de crise

Prévoir des processus afin de gérer au mieux la crise.

Assurance et attaques informatiques : que faire ?

Un point complet est consacré au rôle de l'assurance pour les risques de cybersécurité sur 4 dimensions concernant l'entreprise : les biens, les responsabilités et l'exposition médiatique.

Il est mis à disposition une matrice simplifiée présentant les contrats d'assurance qui peuvent couvrir les conséquences d'un évènement numérique avec un descriptif des faits générateurs, des conséquences dommageables et des garanties.

En cas d'incident informatique, il est indiqué quelles actions à déclencher vis-à-vis de son assureur et des pouvoirs publics.

Réponses à des questions essentielles sur la sécurité du numérique pour les entreprises

Enfin, le guide avance des réponses à 14 interrogations fréquentes sur les cyber-risques :

• Qu’est-ce qu’une donnée à caractère personnel ?
• Quelles sont les attaques les plus fréquentes ?
• Qu’est-ce qu’un déni de service ?
• Qu’est-ce qu’un cryptologiciel ou rançongiciel ?
• Qu’est-ce qu’un logiciel malveillant ?
• Quels sont les outils et services de surveillance et de détection évoqués dans ce guide ?
• Suis-je correctement protégé si mon environnement bureautique est sécurisé ?
• Quels sont les risques liés au Wifi ou au Bluetooth et plus généralement aux objets connectés ?
• Qu’est-ce que le “BYOD” et quels sont les risques inhérents à l’utilisation de ces outils ?
• Quels sont les risques du Cloud ?
• Sur quel fondement juridique puis-je porter plainte ?
• Qui est l’ANSSI ?
• Qui est la CNIL ?
• Qui est CYBERMALVEILLANCE.GOUV.FR ?

Sommaire du guide cyber-risques

Cyber-risques...

• Cela leur est arrivé
• En quoi suis-je concerné ?
• Protéger mon organisation
• Assurer mon organisation
• Votre assureur à vos côtés
• Que faire en cas d'incident informatique ?
• Les questions fréquentes

Bibliographie
Sites gouvernementaux
Normes et documents techniques