Comment se protéger des risques liés aux métiers de l'informatique ?
Quels sont les risques de l'informatique ?
Quand on parle de risques informatiques, on pense d'abord aux risques cyber, mais il en existe bien d'autres, qui ne sont pas forcément très connus du grand public. En réalité les cybermenaces ne représentent que 15% des sinistres de nos assurés aujourd’hui et ce risque est amené à évoluer.
Définition du risque pour une entreprise dans le secteur de l'informatique
Le risque informatique désigne le risque d’affecter le fonctionnement d’une entreprise dans le secteur de l’informatique. Si on pense souvent au risque de cyberattaque, il est aussi nécessaire de savoir qu'une entreprise dans le secteur de l'informatique est soumise à de nombreux autres risques liés à son activité professionnelle.
Quels sont les risques qui menacent l'environnement informatique ?
Contrairement aux idées reçues, la première cause de sinistre pour le secteur d'activité des professionnels de l’informatique est le manquement contractuel et le retard dans l'exécution du projet. Ce risque majeur représente 50% des sinistres de nos clients assurés en RC pro.
En effet, un retard dans la réalisation de votre prestation ou d’un manquement au contrat qui vous lie à votre client, peut mener au litige et même au procès ! Le client est en droit de demander des dommages et intérêts en cas de préjudice subi par son organisation.
Selon le Code Civil, « le débiteur est condamné au paiement de dommages et intérêts soit à raison de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure ».
Un autre cas responsable de 25% des cas de sinistre chez nos assurés est la faute professionnelle, erreurs ou omissions. Si vous êtes entrepreneurs et fournissez des prestations de service dans l’informatique vous êtes responsable de la qualité de votre prestation. Et ce même si votre erreur ou celle de votre équipe n’est pas intentionnelle. Si celle-ci a des conséquences et cause des dommages à vos clients vous en êtes responsables.
Liste d'exemples de risques informatiques
Nous en convenons, il est parfois difficile de se représenter concrètement le risque de sinistres pour les organisations dans le secteur de l'informatique. Voici une liste d'exemples qui vous permettra d'y voir plus clair.
Manquement contractuel par défaut de performance
Notre assuré héberge le site web de son client et lui garantit un niveau d’accessibilité du site de 98%. Le client remet en cause cet engagement contractuel suite à différentes plaintes sur son site : lenteur, site non disponible... Il menace de réclamer une compensation pour remédier à sa perte de visibilité.
Quel est le rôle de l'assureur dans ce cas ? Cette situation est prise en charge par l'assurance responsabilité professionnelle de l'assuré. Il pourra ainsi bénéficier :
S’il est responsable du manque de performance du site d'un budget pour y remédier, afin d'éviter ou de limiter une réclamation du client (frais correctifs et additionnels) ;
S'il n'est pas responsable, nous l’aidons à se défendre, si nécessaire avec l’aide d’un expert et/ou d’un avocat, pour déterminer la meilleure stratégie tout en faisant le maximum pour préserver sa relation commerciale.
Manquement contractuel dans la gestion de projets
Dans le cadre d’un contrat au forfait, la société assurée ne parvient pas à livrer en temps et en heure un nouveau site de vente en ligne à son client. Ce dernier, qui ne peut lancer son site à la date prévue réclame l’indemnisation du manque à gagner qu’il subit.
Quel est le rôle de l'assureur dans ce cas ? Cette situation est prise en charge par l'assurance responsabilité professionnelle de l'assuré. Dès que l'assureur est prévenu celui-ci intervient au plus tôt pour favoriser une issue amiable qui limite l'impact financier du sinistre pour l'entreprise, préserve sa relation commerciale et minimise la réclamation du client.
Perte et destruction de données
Une opération de maintenance réalisée par la société assurée sur le système informatique provoque une perte des données de son client. Il faut faire appel à un prestataire pour reconstituer les données perdues à partir d’archives papier. Son client souhaite obtenir la prise en charge de ces frais.
Quel est le rôle de l'assureur dans ce cas ? Cette situation est prise en charge par l'assurance responsabilité professionnelle de l'assuré. Celui-ci pourra ainsi bénéficier de :
L'intervention d'un expert technique pour évaluer les dommages et les mesures à mettre en place.
Le financement par l'assureur de la récupération des données perdues.
L'indemnisation sur justificatifs du préjudice subi par le client suite à l’incident, si nécessaire en prenant directement contact avec lui.
Faute professionnelle
Notre assuré installe un logiciel de gestion des stocks chez son client. Suite à une erreur de configuration par le technicien, le suivi des stocks et l’évaluation des besoins d’approvisionnement ne sont pas conformes à la réalité. Le client doit avoir recours à des sous-traitants pour entreposer ses marchandises et assurer les livraisons.
Quel est le rôle de l'assureur dans ce cas ? Cette situation est prise en charge par l'assurance responsabilité professionnelle de l'assuré. Celui-ci pourra ainsi bénéficier de :
L'intervention d'un expert technique pour évaluer la responsabilité et les dommages effectivement subis par le client.
L'indemnisation sur justificatifs du préjudice subi par son client suite à l’erreur de configuration.
Les niveaux de risque sont donc élevés et diversifiés pour les métiers de l'informatique. Pour protéger votre entreprise il convient donc de mettre en place des processus de gestion des risques, d’encadrement des prestations fournies (contrat de prestation, engagements cohérents avec les capacités réelles de l’entreprise, obligation de moyen plutôt que de résultat…) et de souscrire aux assurances appropriées. Il est idéal, a minima, de souscrire à une bonne RC Pro (assurance de responsabilité civile professionnelle) spécialisée pour votre activité. Ensuite une assurance cyber vous protégera contre les attaques et leurs conséquences. Enfin, en fonction de votre situation, si vous avez des employés ou un local, la RC employeur ou une multirisque bureaux peut être envisagée.
Comment identifier un risque pour les professionnels de l'informatique ?
Les risques informatiques sont de plus en plus importants de nos jours, il importe donc de prendre des mesures afin de limiter les conséquences potentielles d’un sinistre.
Identifier les risques c'est comprendre les vulnérabilités de votre entreprise. Comme vous pourriez le faire pour le système d'information de votre client il est essentiel d'évaluer les risques professionnels pour votre entreprise. Le DUERP ou DUER est un document unique d'évaluation des risques professionnels. Il est obligatoire pour toutes les entreprises et vous aidera à mieux vous préparer. Cette démarche comprend les étapes suivantes :
Préparation de l'évaluation des risques
Identification des risques
Classement des risques
Proposition des actions de prévention
Quelle gestion des risques pour un projet informatique ?
La gestion des risques est une étape essentielle dans un projet informatique. Elle permet d’identifier les dangers pour la réussite du projet et de définir les mesures permettant d’y remédier. Il s'agit en somme d'une analyse de risque propre à votre projet.
Cette étape doit intervenir dès la phase d'initialisation du projet. Elle vous permettra de déterminer en amont sur quels risques il faut agir en priorité par l'application de bonnes pratiques.
La gestion des risques pour un projet informatique comporte 7 étapes :
Planification de la gestion des risques. Il s'agit de déterminer l'approche préconisée pour la gestion des risques à chaque phase du projet, définir les rôles et responsabilités de chacun, planifier la communication.
Identification des risques. Identifier tous les risques, de nature humaine, technique, juridique ou intrinsèque au projet qui pourraient avoir un impact sur la bonne marche du projet et documenter leurs caractéristiques.
Analyse qualitative des risques. Cette étape vise à évaluer la sévérité potentielle de chaque risque et sa capacité à faire échouer le projet. Il faut ensuite les classer par ordre de priorité pour mettre en place des actions correctives.
Analyse quantitative des risques. Il faut ici quantifier les impacts des risques sur le succès du projet et établir le registre des risques. Ce document est l'un des plus importants livrables de la gestion des risques pour un projet informatique. Il détaille tous les risques identifiés et contient les résultats de l'ensemble des étapes de la gestion des risques.
Planification des réponses aux risques. Vous devez définir des stratégies de réponse aux risques. L'objectif est de contrer les menaces en réduisant la probabilité que le risque devienne réalité, son impact ou mieux les deux !
Surveillance. Vient le moment de se retrousser les manches pour mettre en place les plans de réponses aux risques, c'est aussi surveiller les risques identifiés, en identifier de nouveaux et mettre à jour le registre des risques. Il est également important d'évaluer le résultat de vos actions de prévention. Les collaborateurs ont-ils bien appliqué toutes les bonnes pratiques que vous leur avez conseillées ?
Maîtrise des risques. Enfin, vous devez analyser le résultat des activités de suivi des risques pour déterminer les actions à prendre pour chaque risque.
Se préparer aux principaux risques pour les métiers de l'informatique
Un litige avec un client pendant un projet, les pertes ou les fuites de données peuvent avoir de lourdes conséquences pour les entreprises. Se préparer aux risques c'est avant tout rédiger un cahier des charges le plus précis possible. Ce document synthétise l’ensemble des fonctions qu’aura la solution souhaitée à la fin du projet. Il prend en compte, les spécifications techniques auxquelles cette solution devra répondre ainsi que les besoins qu’elle devra combler.
C'est quoi une menace informatique ?
Les types de menaces évoluent et les organisations font face chaque année à des attaquants plus expérimentés. Virus, attaque par déni de service, Ingénierie sociale ... Les pirates renouvellent leurs stratégies pour attaquer les vulnérabilités des systèmes informatiques, créant de nouvelles tendances cyber. En tant que professionnel de l'informatique il est nécessaire de vous tenir à jour de ces nouveaux types d'attaques pour anticiper les risques sinistres cyber.
Quelles assurances pour se protéger des risques pour les professionnels de l'informatique ?
Il n'y a pas de risque zéro, c'est pourquoi il existe des assurances qui permettent de couvrir ces risques pour vous permettre de poursuivre sereinement votre activité. Il existe bien entendu d'autres actions à effectuer avant et pendant votre projet pour prévenir les risques et atteindre vos objectifs. L'assurance est le filet de sécurité qui protégera votre entreprise et vos finances en cas de problème.
L'assurance responsabilité professionnelle pour les métiers de l'informatique
Nous avons partagé avec vous dans cet article un certain nombre de bonnes pratiques qui devraient vous permettre d'anticiper les risques liés à votre activité professionnelle et de les prévenir.
Malheureusement il n’existe pas de formule magique qui empêche tous les risques de sinistres (si vous l’avez trouvé nous sommes preneurs). C'est la raison pour laquelle l'assurance responsabilité civile professionnelle existe.
L'assurance RC Pro est recommandée pour toutes les entreprises quelle que soit leur taille. Elle vous protège des conséquences des erreurs, défauts ou omissions que vous pourriez commettre dans le cadre de votre activité.
Chez Hiscox, nos experts connaissent parfaitement les risques liés à l'activité des professionnels de l'informatique (consultant, développeur, référenceur…) En entreprise (ESN, ex-SSII) ou en indépendant (freelance), vous bénéficiez d'un accompagnement rapide et adapté à votre situation avec un réseau d’experts et d’avocats. Nous avons d’ailleurs récemment conçu et amélioré notre contrat d’assurance avec des garanties spécialement adaptées et élargies pour couvrir les besoins des entreprises de l’informatique et du digital.
Quelle assurance pour se protéger du risque de piratage informatique ?
Les attaquants n'ont qu'un seul but, investir votre système informatique ou celui de votre client. La protection des données consiste à mettre en place toutes les barrières possibles face à l'intrusion.
On estime que 80% des risques proviennent d'une erreur humaine. La formation de vos collaborateurs et la mise en place de bonnes pratiques pour protéger vos données sont donc plus qu'essentielles. Il est par exemple conseillé de mettre en place une politique de sécurité, de demander à vos collaborateurs de choisir des mots de passe forts, de définir une charte informatique et de limiter l'attribution des droits d'administrateur. Pour en savoir plus consultez notre article dédié.
Comme le dit souvent notre partenaire en gestion des risques cyber GM Consultant, aujourd'hui la question n'est plus de savoir si vous serez attaqué mais quand. C'est la raison pour laquelle il est essentiel de protéger votre entreprise contre les risques cyber en amont mais aussi après le sinistre en souscrivant à une assurance Responsabilité civile et son option cyber. Contrairement aux idées reçues l'assurance responsabilité professionnelle pour les professionnels de l'IT ne vous protège pas des risques de cyberattaque. La couverture proposée par cette option comprend :
Vos pertes financières (les coûts matériels chiffrables).
Vos pertes réputationnelles (perte de crédibilité aux yeux des clients, des partenaires, etc.).
Vos pertes opérationnelles (temps perdu à résoudre l’incident, mise en pause de la production, etc.).
Professionnels de l'informatique, nous espérons que cet article vous aura permis d'y voir plus clair quant aux risques liés à votre activité professionnelle. L'aventure entrepreneuriale est un parcours formidable, pour en profiter à 100% il vaut mieux en connaître les risques et s'en protéger.
Vous souhaitez partager votre expérience entrepreneuriale avec notre communauté d’entrepreneurs ? Contactez la rédaction à l’adresse [email protected] ou via Twitter @Hiscox_fr.