Votre entreprise est-elle assurée contre les pirates ?

Offert par Les Affaires


Édition du 30 Mai 2015

Votre entreprise est-elle assurée contre les pirates ?

Offert par Les Affaires


Édition du 30 Mai 2015

slide-image

Les cinq principaux objectifs des attaques

Découvrez quels sont les cinq principaux objectifs des cyberattaques.

Les cinq principaux objectifs des attaques
slide-image

Installer un virus informatique

Il s’agit des attaques les plus simples à effectuer, car elles ne demandent aucune expertise. Ce sont les fameux faux messages d’une institution bancaire. Grâce à une simple commande, un programme s’introduit automatiquement dans des systèmes non sécurisés. La victime active elle-même le logiciel malveillant ou installe un virus en cliquant sur un lien dans un courriel ou un site malveillant.

Installer un virus informatique
slide-image

Interrompre les services

Des botnets saturent les systèmes informatiques d’une entreprise pour rendre son site non disponible aux clients. L’interruption de service subie par Amazon en 2008 en est un exemple. Cette technique est utilisée par des concurrents qui souhaitent affaiblir l’entreprise ou par des arnaqueurs qui lui demandent une rançon.

Interrompre les services
slide-image

Frauder

L’objectif consiste à s’infiltrer dans les systèmes informatiques pour y récupérer des données personnelles – généralement financières – et pour les revendre au marché noir. On peut penser par exemple au vol des numéros de carte de crédit des clients de Target en 2013.

Frauder
slide-image

Voler la propriété intellectuelle

Ces attaques sont orchestrées par des concurrents ou des gouvernements dans le but de voler de la propriété intellectuelle, comme l’attaque perpétrée en 2014 au Conseil national de recherches Canada (CNRC) par des cyberpirates chinois. Les groupes spécialisés dans ce type de méfaits ont beaucoup d’expertise et disposent du temps de préparation nécessaire et de moyens financiers importants.

Voler la propriété intellectuelle
slide-image

Défendre une idéologie

Il s’agit souvent de groupes d’activistes qui souhaitent s’introduire dans les systèmes d’une entreprise pour nuire à sa réputation, notamment en rendant publiques des informations gênantes. Sony a subi un piratage de ce genre à la sortie du film The Interview, qui ridiculisait le régime dictatorial nord-coréen.

Défendre une idéologie

SOMMAIRE DU DOSSIER


Pertes de données, poursuites judiciaires, systèmes informatiques endommagés... les cyberattaques représentent une nouvelle gamme de risques auxquels les entreprises petites et grandes sont confrontées. Sentant la bonne affaire, certains assureurs offrent maintenant une protection contre ces écueils. En quoi consiste une telle assurance ? Est-elle devenue incontournable ?


Évaluer les risques


Inutile de parler d'assurance si on ne connaît pas d'abord le risque auquel on est exposé. Celui d'être victime d'une cyberattaque ne se mesure pas tant selon la taille de l'entreprise que par rapport au type d'information que l'on y traite. Ce n'est donc pas seulement le souci des grandes boîtes. L'étude «Internet Security Threat Report 2014» du concepteur d'antivirus Symantec révèle d'ailleurs que 61 % des hameçonnages ciblés ont visé des PME en 2013, comparativement à 50 % un an plus tôt.


Or, des études récentes de Cisco montrent qu'un peu plus de la moitié des entreprises canadiennes n'ont pas encore mis en place un plan en matière de sécurité informatique. «C'est primordial pour déterminer les types de renseignements à protéger, les moyens de les stocker, les personnes qui y ont accès, l'équipement, etc.», précise Maya Raic, présidente-directrice générale de la Chambre de l'assurance de dommages.


Stockez-vous sur vos serveurs une base de données contenant le numéro d'assurance sociale de médecins spécialistes ? Ou un simple catalogue de vos produits ? Les données ont un degré de sensibilité variable. Cela dit, plus vous traitez de l'information de tiers ou de la propriété intellectuelle, plus vous avez de risques de poursuites en cas de brèche de sécurité.



« 117 339: c'est le nombre de cyberattaques commises chaque jour dans le monde, d'après une récente enquête de PwC. Et ce ne sont là que celles dont les entreprises sont conscientes, puisque près des 3/4 des attaques ne sont pas décelées. »


Des polices sur mesure


«On compte actuellement une dizaine d'assureurs au Canada qui protègent les entreprises contre les cyberrisques», soutient Maya Raic.


Comme on n'en est qu'aux balbutiements de ce type d'assurance, les clauses varient d'un assureur à l'autre. «On traite encore les clients au cas par cas, donc ceux-ci peuvent négocier les termes», mentionne Jean-François De Rico, associé au cabinet d'avocats Langlois Kronström Desjardins.


Les polices peuvent couvrir la responsabilité liée aux pertes de données (les recours collectifs potentiels, les atteintes à la réputation commerciale ou les frais liés au redémarrage des systèmes), la gestion de crise, l'interruption des affaires, la cyberextorsion, etc.


Quant aux exclusions standards, ces polices n'en comportent pas vraiment, contrairement aux autres types d'assurance qui excluent d'emblée certains risques. Ce que vous pourriez voir toutefois, c'est une clause qui délimite le cadre de l'assurance. «Par exemple, la responsabilité civile des dirigeants et des administrateurs n'est pas couverte par la cyberassurance, puisque cette protection existe déjà dans une autre police d'assurance sans lien avec le cybercrime», illustre Alexis Héroux, courtier en assurance de dommages chez Marsh Canada.



« Installer les mises à jour dans les 48h où elles sont disponibles par les fournisseurs d'antivirus réduit les risques de cyberattaques de 85%. »

C'est combien ?


Les limites de couverture varient énormément selon les compagnies d'assurance et peuvent aller de 500 000 dollars à 20 millions de dollars. Si plusieurs assureurs se réunissent, la limite peut même atteindre 250 millions de dollars.


On devine que le coût des primes varie tout autant, selon la limite choisie et l'ensemble des facteurs qui peuvent influencer le risque : le type et la quantité de données utilisées et recueillies par l'entreprise, le système de gestion en place, etc. Les PME dont les besoins de protection sont moindres pourraient réussir à obtenir une prime annuelle minimale de 1 500 dollars, mais c'est en général beaucoup plus coûteux. Retenez surtout que tout se négocie, selon votre budget.



« 201$: c'est le prix que coûte en moyenne chaque donnée de tiers sensible et confidentielle qui a été volée. »

Cela dit, comme pour les autres types d'assurance, les cyberrisques ne reposent jamais entièrement sur les épaules des assureurs. L'entreprise a sa part de responsabilité. Aussi, plus on a une infrastructure de sécurité sophistiquée et bien gérée, plus on réduit le risque, et donc le coût de la prime (voire la nécessité d'une protection d'assurance).


Cependant, quand on sait que même des spécialistes comme Symantec ont déjà été victimes d'une cyberattaque, il vaut mieux, parfois, investir un certain montant en assurance pour couvrir ces nouveaux aléas.


1. Sommaire du dossier
2. Douter, analyser, puis foncer
3. Comment transformer un danger en occasion
4. La gestion des risques, un outil stratégique
5. 10 questions à poser à la direction
6. Douter... pour frapper encore plus fort
7. Conquérir le monde avec audace et rigueur
8. Utiliser le risque comme carburant
9. La géopolitique, cette négligée
10. Tout faire pour éviter la panne sèche
11. Votre entreprise est-elle assurée contre les pirates
12. Cyberattaques: L'ABC des bonnes pratiques
13. Toutes les brèves des 500

À suivre dans cette section


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Santé psychologique

Mardi 22 janvier


image

Contrats publics

Mardi 22 janvier


image

Sommet Énergie

Mardi 29 janvier


image

ROI marketing

Mardi 29 janvier


image

Financement PME

Mercredi 30 janvier


image

Science des données

Mardi 12 février


image

Pénurie de talents

Mercredi 13 mars


image

Objectif Nord

Mardi 09 avril


image

Femmes Leaders

Mercredi 24 avril


image

Gestion agile

Mercredi 08 mai

Sur le même sujet

Décathlon: réinventer l'entreprise sans hiérarchie

BALADO. Passer d’une gestion traditionnelle de l’entreprise au concept d’entreprise libérée, ...

Gestion du changement : soyez le héros de votre histoire

BLOGUE. Dans un contexte où seulement une organisation sur 5 réussit sa gestion de changement en matière ...

À la une

L'Action de grâce arrive tôt en Bourse

BLOGUE. Les investisseurs en mal de bonne nouvelles ont eu droit à une véritable superfecta pour terminer la semaine.

La guerre en Asie est-elle inévitable?

17/11/2018 | François Normand

ANALYSE - Les similitudes entre l'Europe en 1914 et l'Asie de l'Est en 2018 sont troublantes. Voici pourquoi.

À surveiller: les titres qui ont attiré votre attention

17/11/2018 | lesaffaires.com

(Re)voici quelques recommandations qui pourraient influencer les cours prochainement.