Chaque année, CIRA réalise un sondage auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils résistent aux cyberrisques. The Strategic Counsel a réalisé le sondage de cette année en juillet et août, et a recueilli les réponses de 500 professionnels des TI de tout le pays. Il s’agit du blogue 1 de 5 de la série de 2021.
« Ne vous demandez pas SI vous serez un jour victime d’une attaque, mais QUAND. » Ce vieil adage en cybersécurité explique pourquoi plus d’entreprises contractent une assurance cybersécurité. Malgré tout le travail consenti pour éviter les piratages, les systèmes de protection n’y parviennent pas toujours, et les conséquences sont parfois désastreuses.
En matière de gestion des risques, la prévention est incontournable, tout comme le rétablissement. Une police d’assurance qui protège contre les dommages liés aux piratages constitue une façon de se préparer au pire, mais ce n’est pas la panacée. L’assurance cybersécurité reste une industrie naissante où l’acheteur doit faire preuve d’une très grande prudence. Les fournisseurs exigent le respect d’un minimum de normes de sécurité, les polices contiennent des clauses d’exclusion et il arrive parfois que la protection soit insuffisante pour les pertes.
Lorsque l’assurance est apparue comme un moyen de contrôle de la cyberresponsabilité dans les années 90, les erreurs de traitement des données et les poursuites relatives aux médias en ligne constituaient les préoccupations majeures selon la société de courtage californienne Colony West. Puis, dans les années 2000, l’assurance au premier tiers fut proposée contre les infractions aux données personnelles et la perte de temps de productivité.
Revenons à 2021, où les souscriptions d’assurances cybersécurité augmentent au rythme des cyberattaques. Parallèlement, les dépenses explosent en raison des fortes rançons versées aux groupes de pirates informatiques et des lourdes amendes payées aux organismes de réglementation qui contrôlent le stockage et le transfert en ligne des données à caractère personnel.
Au Canada, l’assurance cybersécurité est devenue un outil populaire pour gérer les risques. Selon le sondage de 2021 sur la cybersécurité de CIRA, six entreprises canadiennes sur dix ayant plus de 50 ordinateurs de bureau ont une couverture d’assurance cybersécurité. Trois sur dix ont une politique de cybersécurité.
Au Canada, l’assurance cybersécurité est devenue une solution prisée pour la gestion des risques.
Les acheteurs d’assurance ont un choix entre plus de 260 produits d’assurance cybersécurité différents, selon l’indice du marché fourni par le magazine Insurance Business Canada. Ces assureurs ont connu une ruée de nouveaux candidats à l’assurance durant la pandémie, dont certains étaient motivés par un afflux de nouvelles attaques.
En 2021, 36 % des entreprises affirment que le volume de cyberattaques a augmenté au cours de la pandémie. Cela représente une hausse par rapport au 29 % qui avaient affirmé la même chose l’an dernier. Environ la moitié des entreprises pensent que le nombre des attaques est demeuré le même, et seulement 3 % affirment que le nombre a diminué.
Le nombre de cyberattaques a augmenté durant la pandémie
Selon les assureurs, l’augmentation du nombre de candidats à l’assurance et les niveaux de risques qu’ils perçoivent les poussent à être sélectifs par rapport aux assurés, et aux exigences qu’ils peuvent demander à leurs clients de satisfaire. Par conséquent, l’assurance cybersécurité exige souvent que les clients mettent en place des mesures de sécurité régulièrement vérifiées par de tierces parties.
Selon le sondage de CIRA, la majorité des entreprises disposant d’une assurance cybersécurité déclarent que leur assureur a apporté une modification au cours de la dernière année. Les modifications les plus fréquentes comprennent la hausse des primes (selon 25 %), les demandes de nouveaux formulaires de preuve ou de vérification de mesures de cybersécurité mises en place (34 %) et la modification des conditions requises pour l’obtention ou le renouvellement de la protection (29 %). Près d’un quart ont également mentionné la réduction des montants remboursés pour les attaques par rançongiciel.
L’augmentation des primes et les nouvelles preuves ou vérifications des mesures de sécurité mises en place sont les modifications les plus courantes qui ont été apportées.
Les modifications rapportées dans le sondage reflètent les signalements de hausse des primes d’assurance et le renforcement des exigences en matière de protection aux États-Unis, comme l’a rapporté CTV News. Les modifications reflètent également la sagesse qu’ont acquise les assureurs qui se rendent compte que des contrôles simples et bon marché tels que les critères d’authentification à facteurs multiples et les sauvegardes régulières sont tous nécessaires pour éviter la majeure partie des pertes constatées.
En prenant un peu de recul et en adoptant une perspective plus large de l’assurance cybersécurité, on constate qu’il s’agit d’un secteur émergent dont les acteurs tentent de s’accorder sur les normes. Le contexte de risque accru accorde un pouvoir aux assureurs qui peuvent réclamer des primes plus élevées aux clients tout en insérant plus de clauses de résiliation dans leurs contrats. Certains assurés malheureux découvrent qu’ils ne seront pas protégés contre des dommages causés par une menace interne, ou par un stockage en nuage configuré de façon désordonnée et accessible au public.
Cela amène certaines sociétés à se demander s’il convient de souscrire une assurance cybersécurité, ou de continuer de payer des primes en hausse. La prise en compte des répercussions éventuelles d’une cyberattaque par rapport à la difficulté de se procurer une police et au coût de récupération pourrait être déterminante dans le calcul d’achat d’une police.
La première question à se poser pourrait être : Quels éléments de l’entreprise sont susceptibles d’être visés par un piratage?
Plusieurs entreprises victimes d’une attaque affirment que les appareils d’utilisateurs finaux, ainsi que les infrastructures de réseaux et les bases de données étaient le plus souvent touchés selon le sondage de CIRA. En général, 57 % d’entreprises victimes de cyberattaques soutiennent que cela leur a causé du tort. À la question de savoir quels services subissent le plus souvent des attaques, 30 % d’entreprises affirment que les infrastructures de réseaux et les bases de données avaient subi des incidences négatives causées par au moins la moitié des attaques. Pour les ordinateurs de bureau et les appareils personnels, 31 % des entreprises soutiennent que la moitié au moins des attaques leur avait nui. Seulement une entreprise sur cinq déclare que les données des utilisateurs et des consommateurs sont touchées par la moitié au moins des attaques.
Ensuite, il y a les répercussions négatives résultant d’une attaque, y compris les coûts directs.
Parmi les entreprises ayant subi au moins une cyberattaque durant les 12 derniers mois, une sur trois soutient qu’une attaque a empêché ses employés d’effectuer leur travail quotidien. Environ une entreprise sur cinq a dû payer des frais de réparation ou de rétablissement aux fournisseurs. Une entreprise sur cinq a déclaré que cela avait nui à sa réputation et 18 % ont indiqué avoir subi une perte de revenu.
Un tiers des entreprises a cité la mobilisation du temps des employés,
et 19 % disent avoir vu leur réputation ternie, une hausse par rapport à 6 % en 2018.
Considérant l’augmentation des cyberrisques et l’explosion des coûts liés aux attaques, la décision de souscrire ou non une assurance cybersécurité suit la même logique que l’adage cité au début de cet article : « Ne vous demandez si vous DEVEZ acheter une assurance cybersécurité, mais plutôt si vous POUVEZ vous en procurer une, et à quel PRIX. »
Pour en savoir plus sur ce que comprend une couverture de cyberassurance et pourquoi les entreprises devraient y songer, veuillez consulter ce blogue de CIRA de Mikel Pearce, avocat en couverture et en défense d’assurance.
Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.
