Les cyberattaques ne relèvent plus d’un risque hypothétique, mais d’une réalité quotidienne. Chaque jour, des tentatives d’intrusion sont repoussées : la défense tient, le gardien arrête. Mais certains tirs passent. Si prévenir vaut mieux que guérir, il serait présomptueux de ne pas se doter des moyens nécessaires pour faire face à une crise cyber. C’est précisément à cet enjeu que répondent la gestion de crise et la continuité d’activité : elles interviennent sur les conséquences d’une cyberattaque réussie, lorsqu’il est trop tard pour agir sur les causes et qu’il faut désormais faire face aux conséquences, à la situation. Ayant pris en compte cette réalité, la réglementation se fait de plus en plus exigeante. Elle impose notamment aux entreprises d’assurance de disposer de dispositifs robustes de gestion de crise, de Plans de continuité d’activité (PCA/PUPA) et de Plans de reprise d’activité (PRA), pour faire face aux risques cyber comme au-delà.

La cybersécurité ne peut donc plus se limiter à une logique de prévention. Elle doit désormais intégrer pleinement la capacité à gérer une crise avérée, à maintenir l’activité et à répondre aux exigences réglementaires dans des délais contraints. Comment les organisations peuvent-elles se préparer à des cyberattaques devenues inévitables ? Et surtout, comment s’organiser pour y faire face durablement ?

La prévention, une approche désormais insuffisante

Historiquement, les organisations ont privilégié une approche centrée sur la prévention des risques. Ce choix s’explique en partie...