Assurances IT et responsabilité
Selon une enquête de l'association professionnelle Bitkom, seule une entreprise industrielle sur dix environ en Allemagne a souscrit une assurance contre les attaques de pirates et autres risques informatiques.
91 autres TP2T prévoient de souscrire une assurance et 261 TP2T en discutent au moins, comme le montre l'enquête. Sondage de l'association professionnelle Bitkom. Pour près de la moitié des entreprises interrogées (49%), une police contre la cybercriminalité n'est toutefois pas un sujet d'actualité.
Roland Messmer de LogRhythm commente : "Naturellement, ce sujet est comparable à l'omniprésente assurance automobile. Et comme pour cette dernière, une couverture contre les conséquences d'incidents informatiques n'est pas une carte blanche pour négliger dorénavant la sécurité informatique. En effet, aucun automobiliste, aussi bien assuré soit-il, ne peut se permettre d'ignorer toutes les règles, directives et valeurs empiriques en vigueur dans le trafic routier quotidien et de mettre ainsi en péril des valeurs matérielles et existentielles pour son environnement et lui-même.
Une assurance couvrant les dommages consécutifs à des attaques de pirates informatiques, à des actes de sabotage ainsi qu'à des erreurs techniques et d'utilisation ne libère pas les entreprises de la responsabilité qu'elles portent vis-à-vis de leurs clients pour la sécurité des données et vis-à-vis d'elles-mêmes pour la disponibilité et la fonctionnalité des systèmes informatiques. Et cette responsabilité ne peut pas être déléguée".
De ce point de vue, l'assurance contre les risques informatiques est un élément de la sécurité informatique qui doit reposer sur des bases solides. Et cette base comprend des concepts de cryptage continus, l'utilisation d'outils de sécurité intelligents pour la surveillance continue de l'infrastructure informatique en temps réel, une gestion correcte des identités et des correctifs ainsi qu'un plan d'urgence professionnel qui intervient en cas d'incident.
Et Messmer de souligner : "Une police d'assurance contre la cybercriminalité peut donc compléter judicieusement un concept de sécurité concluant en tant que protection contre un risque résiduel inévitable, mais ne peut jamais le remplacer. Avant d'envisager de conclure une telle assurance, une entreprise devrait d'abord contrôler de manière critique si elle a vraiment fait ses devoirs. Après tout, l'assurance automobile ne dispense pas non plus l'automobiliste des obligations de posséder un permis de conduire valable et de faire contrôler régulièrement son véhicule par le TÜV".
