Mikel Pearce, avocat en couverture d’assurance et spécialiste dans le domaine de la défense dans les affaires d’assurances chez Strigberger Brown Armstrong LLP, a récemment animé un webinaire portant exclusivement sur la cyberassurance pour CIRA. Voici certains des principaux points à retenir.
1. La principale raison pour laquelle les entreprises souscrivent une cyberassurance est qu’elle permet de couvrir les dépenses encourues pour répondre à une attaque et se rétablir à la suite de celle-ci.
Les coûts liés à une cyberattaque ne se limitent pas à une simple rançon devant être payée, par exemple. Les coûts de rétablissement à la suite d’une atteinte à la sécurité comprennent les dépenses juridiques, les dépenses liées à l’enquête judiciaire, aux relations publiques, à l’envoi d’avis aux personnes concernées, à la surveillance de dossiers de crédit, à la résolution de vols d’identité, à la reprise des activités de votre entreprise, à la gestion de votre réputation et plus encore.
2. Que comprend une couverture de cyberassurance?
Une couverture peut également être prévue pour les attaques d’ingénierie sociale et les transferts de fonds frauduleux. Ces deux types d’attaques, tout comme les coûts de rétablissement à la suite d’une atteinte à la sécurité, sont compris dans une couverture des risques propres. La cyberassurance diffère légèrement des autres types d’assurance, car les cyberpolices comprennent une couverture des coûts et des dommages potentiels découlant des procès, qu’ils soient causés par un recours collectif ou intentés par une organisation avec qui vous faites affaire (aussi appelée responsabilité civile).
3. Tout le monde peut être victime d’une cyberattaque, même les petites entreprises.
Il ne faut pas vous demander si vous serez un jour victime d’une attaque, mais bien quand viendra ce jour. Les petites atteintes à la sécurité surviennent fréquemment même si elles ne font pas l’objet d’une couverture médiatique aussi importante. En fait, les petites entreprises sont des proies faciles pour les cybercriminels. Cela est dû au fait que de nombreux piratages sont automatisés, et donc ne font pas de discrimination face à la taille de votre entreprise. Si un pirate parvient à trouver votre réseau, il exécutera son attaque.
4. Les entreprises possèdent leurs propres données et font donc face à différents risques.
Le nombre de clients que vous avez, la quantité de points de données que vous possédez sur chacun d’eux et le degré de confidentialité de ces données sont des facteurs qui permettent de déterminer le niveau de risque de votre organisation.
Par exemple, des données médicales présentent un différent profil de risque que les données d’un compte financier. Après une atteinte à la sécurité, vous pouvez modifier un mot de passe ou surveiller votre dossier de crédit, mais il n’y a rien que vous puissiez faire si des données comme celles d’un diagnostic médical sont diffusées.
5. La pandémie de la COVID-19 a touché la situation relative à la cybersécurité.
Les attaquants ont profité de la crise : le nombre d’incidents de rançongiciel et les montants des rançons ont augmenté. Un plus grand nombre de gens travaillent de la maison, ce qui crée plus de vecteurs d’attaque.
6. Les contrôles de sécurité ont des répercussions sur le prix de votre police.
La présence ou l’absence de fonctionnalités techniques ou de sécurité comme l’authentification à facteurs multiples ou le chiffrage doivent être prises en compte, car elles auront des répercussions sur votre prime.
7. Certains contrôles de sécurité sont requis pour souscrire ou renouveler une cyberassurance.
Les sociétés d’assurance perdent de l’argent en payant des réclamations liées à la cybersécurité. Certaines d’entre elles se sont mises à exiger la mise en place de mesures qui permettront de prévenir une atteinte à la sécurité, comme l’authentification à facteurs multiples (apprenez-en plus à ce sujet dans cet article d’ITWC) et des programmes de formation sur l’hameçonnage destinés aux employés, comme la formation sur la sensibilisation à la cybersécurité de CIRA.
Peu importe les exigences de ces assurances, les PME devraient mettre en place des contrôles de base, comme ceux présentés par le Centre canadien pour la cybersécurité.
8. Si vous n’avez pas les moyens de souscrire une cyberassurance, vous n’avez pas les moyens de payer les coûts liés à une atteinte à la sécurité
Les coûts des mesures permettant de réduire les cyberrisques, notamment les contrôles techniques, la formation des employés et la cyberassurance, sont nettement inférieurs aux coûts encourus par une perte liée à une cyberattaque, qui peuvent provoquer la faillite des PME. N’oubliez pas : il ne faut pas vous demander si vous serez un jour victime d’une attaque, mais bien quand viendra ce jour.
9. Le marché des assurances cybersécurité évolue rapidement.
Bien que le concept ne soit pas nouveau, une vague de nouvelles options a fait son entrée sur le marché. Il peut s’avérer difficile de faire le suivi de tous les changements et de déterminer quelle couverture vous offre une certaine cyberpolitique.
10. Parlez à un courtier si vous souhaitez souscrire une assurance cybersécurité.
Il existe plusieurs options sur le marché, et un courtier vous aidera à trouver la police qui convient aux besoins de votre entreprise.
Pour obtenir de plus amples renseignements, – regardez le webinaire (en anglais)
