1. Au bureau
38 p p n°375 p Mai 2018
- Sécurité
oursensibilisertouslesacteursdel’entreprise
aux enjeux de la sécurité du numérique,
l’Agence nationale de la sécurité des
systèmes d’information (ANSSI) recommande la mise
en place d’une charte d’utilisation des moyens infor-
matiques et des outils numériques (1).
En préambule, on insistera sur le rôle de chacun dans la
préservation de la sécurité du système d’information.
Chaquecollaborateurdoitmesureràquelpointilestun
acteuressentieldecettepréservation.Lachartepermet-
traauxsalariésdepartagerlesmêmesdéfinitionsclaires
et précises des termes utilisés en informatique comme
administrateur, messagerie électronique ou moyens
d’authentification.L’objetdelacharteestdepréciserles
droitsetlesdevoirsdel’utilisateur.Parexemple,unsala-
riéaaccèsàlamessagerieélectronique(droit).Celadoit
se faire dans le respect de règles de vigilance (devoirs).
Biendesrèglesdubonusagedel’informatiquedécoulent
Anticiper
les risques informatiques
Après avoir traité des nouveaux risques informatiques liés au développement
du numérique (voir L’OT n° 374, avril 2018), nous abordons les moyens de se
prémunir et l’assurance pour limiter les conséquences d’une cyber-attaque.
A LA IN LA UMA ILLÉ
d’obligations professionnelles: confidentialité, discré-
tion,loyauté,vigilance.Cesobligationsgénéralessontà
décliner en mesures concrètes dans la charte: par
exemple, la non-transmission à des tiers des moyens
personnels d’authentification, l’utilisation des moyens
dechiffrementmisàdisposition(confidentialité),lavéri-
ficationdel’authenticitéd’uncourrielavantderépondre
oudecliquersurunepiècejointe(vigilance).Pourdéfinir
ces règles, la charte doit aussi informer sur les mesures
de contrôles du respect des règles et les sanctions pos-
sibles en cas de non-respect.
Réactualiser
les fiches de postes
Si sur la partie droits et devoirs, on peut s’entourer des
conseils de spécialistes de l’informatique, pour le
contrôleetlessanctionslesconseilsd’unavocatseront
Thinkstock
2. Mai 2018 p n°375 p p 39
nécessaires.Ilsserontd’ailleursétendusàl’opposabilité
de la charte pour s’assurer que les règles définies s’im-
posentjuridiquementauxcollaborateurs.Information
lorsdel’embauche,signaturedelacharteetannexion
au contrat de travail ou au règlement intérieur sont
autant d’éléments qui concourent à l’opposabilité.
Vousvousêtesdotédelacharte?Ilvousresteàenfaire
redescendre les bonnes pratiques informatiques dans
vos différents outils de management. Un chapitre du
livret d’accueil du personnel pourra être consacré aux
risques numériques et aux règles pour s’en préserver
avecunrenvoiverslacharte.Lorsdelaréuniond’inté-
gration du personnel saisonnier, les enjeux liés à la
sécuriténumériqueserontrappelés.Voustrouverezsur
le site de L’ANSSI (www.ssi.gouv.fr/) des affiches, des
infographiesetdesgifsaniméspourillustrervosdocu-
ments et présentations. Pour les salariés utilisant
l’informatique, les fiches de poste seront modifiées
pourajouterauxcompétencesrequisesl’utilisationdes
ressources informatiques dans le respect des bonnes
pratiques. Les fiches de procédures décrivant la réali-
sationdetâchesnécessitantutilisationdel’informatique
rappelleront aussi les règles en vigueur. Enfin, les
bonnes pratiques informatiques figureront dans les
critèresd’évaluationdescollaborateursetleurnon-res-
pect sera recadré.
Penser à assurer
ces nouveaux risques
Malgré toutes ces précautions, l’entreprise peut néan-
moins subir une attaque. Parallèlement à ces mesures
d’information/formationdupersonnel,ilconvientdonc
d’anticiper une situation de crise avec ses fournisseurs
et prestataires informatiques, notamment en termes
de mise à disposition de matériel de remplacement et
d’assistanceàlarestaurationdesdonnées7jours/7en
période d’ouverture du camping.
Par ailleurs, au regard des conséquences que les
attaquescybercriminellespeuventavoirsurlesfinances
(pertesdechiffred’affaires,sanctionsadministratives),
surl’organisationdel’entreprise(paralysiedessystèmes
informatiques), et sur l’e-réputation (“défiguration” de
siteinternet,voldesdonnéespersonnellesdesclients),
il est raisonnable de souscrire un contrat d’assurance
pour couvrir tout ou partie de ces risques.
«Lescampingsonttousaujourd’huiuneculturedelalutte
incendieaveclamiseenplacededispositifstoujoursplus
efficaces pour lutter contre les flammes ce qui ne les
empêchepasdesouscrireuneassuranceincendie.Pourle
risque cyber, nous sommes exactement sur le même
schéma: les meilleurs systèmes anti-virus, la meilleure
“hygiène informatique”, n’excluent pas totalement le
risque d’une attaque avec ses conséquences financières,
d’images préjudiciables pour l’entreprise. C’est pour cela
queladélégationdecenouveaurisqueàunassureurest
aussivivementconseillée», déclare René Moulis, gérant
deGascogneAssurance(2),quis’estrapprochédeAIG
AssureurpourproposerauxcampingslecontratCyber
Guards.Cecontrat(voirencadré)couvrenotammentla
perted’exploitationliéeàl’arrêtdessystèmesinforma-
tiquesetlapertededonnéespersonnellesdanslecadre
du RDPG qui obligera, sous peine de sanctions finan-
cières importantes, de notifier à chaque client ou
prospect la perte de ses données personnelles.
Cettenotificationdevraêtrefaiteparcourrierd’avocat
en recommandé avec accusé de réception. Elle entraî-
nera la gestion des appels téléphoniques suite à la
réception du courrier (en moyenne, 15 % des clients
notifiésappellentdanslestroisjoursdelanotification).
Le contrat permet aussi aux exploitants, de ne pas se
retrouverseulsfaceàunesituationd’urgenceetdecrise
grâce au volet assistance qui permet d’accéder 7j/7 et
24h/24 à un réseau d’experts.
Leniveauderisquesàcouvrirestliéauchiffred’affaires
et au nombre de clients ou prospects pour lesquels le
campingdétientdesdonnées.Lemontantdelaprime
d’assurances’élèveà600 eurosparanpouruncamping
réalisant200000 eurosdechiffred’affairesetdétenant
des données concernant 10000 clients ou prospects,
pour un montant de garantie de 250000 euros. Pour
60 eurosdeplus,ilestpossibledesouscrireàlagaran-
tie “fraude téléphonique” qui prend en charge le coût
de la surconsommation téléphonique suite à un accès
ou à une utilisation non autorisée des systèmes télé-
phoniques et à la garantie “fraude informatique” qui
couvrelespertespécuniairescorrespondantàlavaleur
desfondssuiteàunaccèsouàuneutilisationnonauto-
risée des systèmes informatiques.
Les cyber-risques à assurer
Le contrat Cyber Guard illustre les
garanties auxquelles on peut
souscrire dans le cadre d’une
assurance des risques cyber.
RESPONSABILITÉ CIVILE
Lorsque la réclamation résulte
notamment d’une atteinte aux
données:
• Atteinte à la sécurité du système
informatique.
• Manquement à l’obligation de
notification.
• Conséquences pécuniaires
d’enquête et sanction prononcée
par une autorité administrative.
• Par exemple, dans le cadre
du Règlement général sur la
comptabilité publique (RGCP).
PERTE D’EXPLOITATION ET
FRAIS SUPPLÉMENTAIRES
D’EXPLOITATION
Frais de défense :
• Conseils juridiques.
• Expert informatique.
• Atteinte à la réputation.
• Restauration des données
• Frais de notification.
• Frais de monitoring et de
surveillance.
SERVICE D’ASSISTANCE
• Les assurés ont accès 24 h/24
et 7 j/7 à un panel d’experts
en droit, en informatique
et en communication en cas
de sinistre.
GARANTIE FRAUDE
TÉLÉPHONIQUE
Prise en charge du coût de la
surconsommation téléphonique
suite à un accès ou une utilisation
non-autorisée des systèmes
téléphoniques.
GARANTIE FRAUDE
INFORMATIQUE
Prise en charge des pertes
pécuniaires correspondant à la
valeur des fonds suite à un accès
ou une utilisation non autorisée.
des systèmes informatiques.
(1)Charte
téléchargeablesur
https://www.ssi.
gouv.fr/
(2)Gascogne
Assurancesest
intervenuedans
plusieursassemblées
généralesrégionales
etdépartementales
del’HPApour
sensibiliseràla
couvertureducyber-
risques.Cespécialiste
del’assurance
cybercriminalité
participeégalement
àdesréunions
consacréesàcesujet
àlaFNHPA.