Votre entreprise est-elle assurée contre les pirates ?

Offert par Les Affaires


Édition du 30 Mai 2015

Votre entreprise est-elle assurée contre les pirates ?

Offert par Les Affaires


Édition du 30 Mai 2015

slide-image

Les cinq principaux objectifs des attaques

Découvrez quels sont les cinq principaux objectifs des cyberattaques.

Les cinq principaux objectifs des attaques
slide-image

Installer un virus informatique

Il s’agit des attaques les plus simples à effectuer, car elles ne demandent aucune expertise. Ce sont les fameux faux messages d’une institution bancaire. Grâce à une simple commande, un programme s’introduit automatiquement dans des systèmes non sécurisés. La victime active elle-même le logiciel malveillant ou installe un virus en cliquant sur un lien dans un courriel ou un site malveillant.

Installer un virus informatique
slide-image

Interrompre les services

Des botnets saturent les systèmes informatiques d’une entreprise pour rendre son site non disponible aux clients. L’interruption de service subie par Amazon en 2008 en est un exemple. Cette technique est utilisée par des concurrents qui souhaitent affaiblir l’entreprise ou par des arnaqueurs qui lui demandent une rançon.

Interrompre les services
slide-image

Frauder

L’objectif consiste à s’infiltrer dans les systèmes informatiques pour y récupérer des données personnelles – généralement financières – et pour les revendre au marché noir. On peut penser par exemple au vol des numéros de carte de crédit des clients de Target en 2013.

Frauder
slide-image

Voler la propriété intellectuelle

Ces attaques sont orchestrées par des concurrents ou des gouvernements dans le but de voler de la propriété intellectuelle, comme l’attaque perpétrée en 2014 au Conseil national de recherches Canada (CNRC) par des cyberpirates chinois. Les groupes spécialisés dans ce type de méfaits ont beaucoup d’expertise et disposent du temps de préparation nécessaire et de moyens financiers importants.

Voler la propriété intellectuelle
slide-image

Défendre une idéologie

Il s’agit souvent de groupes d’activistes qui souhaitent s’introduire dans les systèmes d’une entreprise pour nuire à sa réputation, notamment en rendant publiques des informations gênantes. Sony a subi un piratage de ce genre à la sortie du film The Interview, qui ridiculisait le régime dictatorial nord-coréen.

Défendre une idéologie

SOMMAIRE DU DOSSIER


Pertes de données, poursuites judiciaires, systèmes informatiques endommagés... les cyberattaques représentent une nouvelle gamme de risques auxquels les entreprises petites et grandes sont confrontées. Sentant la bonne affaire, certains assureurs offrent maintenant une protection contre ces écueils. En quoi consiste une telle assurance ? Est-elle devenue incontournable ?


Évaluer les risques


Inutile de parler d'assurance si on ne connaît pas d'abord le risque auquel on est exposé. Celui d'être victime d'une cyberattaque ne se mesure pas tant selon la taille de l'entreprise que par rapport au type d'information que l'on y traite. Ce n'est donc pas seulement le souci des grandes boîtes. L'étude «Internet Security Threat Report 2014» du concepteur d'antivirus Symantec révèle d'ailleurs que 61 % des hameçonnages ciblés ont visé des PME en 2013, comparativement à 50 % un an plus tôt.


Or, des études récentes de Cisco montrent qu'un peu plus de la moitié des entreprises canadiennes n'ont pas encore mis en place un plan en matière de sécurité informatique. «C'est primordial pour déterminer les types de renseignements à protéger, les moyens de les stocker, les personnes qui y ont accès, l'équipement, etc.», précise Maya Raic, présidente-directrice générale de la Chambre de l'assurance de dommages.


Stockez-vous sur vos serveurs une base de données contenant le numéro d'assurance sociale de médecins spécialistes ? Ou un simple catalogue de vos produits ? Les données ont un degré de sensibilité variable. Cela dit, plus vous traitez de l'information de tiers ou de la propriété intellectuelle, plus vous avez de risques de poursuites en cas de brèche de sécurité.



« 117 339: c'est le nombre de cyberattaques commises chaque jour dans le monde, d'après une récente enquête de PwC. Et ce ne sont là que celles dont les entreprises sont conscientes, puisque près des 3/4 des attaques ne sont pas décelées. »


Des polices sur mesure


«On compte actuellement une dizaine d'assureurs au Canada qui protègent les entreprises contre les cyberrisques», soutient Maya Raic.


Comme on n'en est qu'aux balbutiements de ce type d'assurance, les clauses varient d'un assureur à l'autre. «On traite encore les clients au cas par cas, donc ceux-ci peuvent négocier les termes», mentionne Jean-François De Rico, associé au cabinet d'avocats Langlois Kronström Desjardins.


Les polices peuvent couvrir la responsabilité liée aux pertes de données (les recours collectifs potentiels, les atteintes à la réputation commerciale ou les frais liés au redémarrage des systèmes), la gestion de crise, l'interruption des affaires, la cyberextorsion, etc.


Quant aux exclusions standards, ces polices n'en comportent pas vraiment, contrairement aux autres types d'assurance qui excluent d'emblée certains risques. Ce que vous pourriez voir toutefois, c'est une clause qui délimite le cadre de l'assurance. «Par exemple, la responsabilité civile des dirigeants et des administrateurs n'est pas couverte par la cyberassurance, puisque cette protection existe déjà dans une autre police d'assurance sans lien avec le cybercrime», illustre Alexis Héroux, courtier en assurance de dommages chez Marsh Canada.



« Installer les mises à jour dans les 48h où elles sont disponibles par les fournisseurs d'antivirus réduit les risques de cyberattaques de 85%. »

C'est combien ?


Les limites de couverture varient énormément selon les compagnies d'assurance et peuvent aller de 500 000 dollars à 20 millions de dollars. Si plusieurs assureurs se réunissent, la limite peut même atteindre 250 millions de dollars.


On devine que le coût des primes varie tout autant, selon la limite choisie et l'ensemble des facteurs qui peuvent influencer le risque : le type et la quantité de données utilisées et recueillies par l'entreprise, le système de gestion en place, etc. Les PME dont les besoins de protection sont moindres pourraient réussir à obtenir une prime annuelle minimale de 1 500 dollars, mais c'est en général beaucoup plus coûteux. Retenez surtout que tout se négocie, selon votre budget.



« 201$: c'est le prix que coûte en moyenne chaque donnée de tiers sensible et confidentielle qui a été volée. »

Cela dit, comme pour les autres types d'assurance, les cyberrisques ne reposent jamais entièrement sur les épaules des assureurs. L'entreprise a sa part de responsabilité. Aussi, plus on a une infrastructure de sécurité sophistiquée et bien gérée, plus on réduit le risque, et donc le coût de la prime (voire la nécessité d'une protection d'assurance).


Cependant, quand on sait que même des spécialistes comme Symantec ont déjà été victimes d'une cyberattaque, il vaut mieux, parfois, investir un certain montant en assurance pour couvrir ces nouveaux aléas.


1. Sommaire du dossier
2. Douter, analyser, puis foncer
3. Comment transformer un danger en occasion
4. La gestion des risques, un outil stratégique
5. 10 questions à poser à la direction
6. Douter... pour frapper encore plus fort
7. Conquérir le monde avec audace et rigueur
8. Utiliser le risque comme carburant
9. La géopolitique, cette négligée
10. Tout faire pour éviter la panne sèche
11. Votre entreprise est-elle assurée contre les pirates
12. Cyberattaques: L'ABC des bonnes pratiques
13. Toutes les brèves des 500

À suivre dans cette section


image

Efficacité énergétique

Vendredi 21 septembre


image

Objectif Nord

Mardi 25 septembre


image

Gestion du changement

Mercredi 03 octobre


image

Marché du cannabis

Mercredi 10 octobre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Contrats publics

Mardi 22 janvier


image

Financement PME

Mercredi 30 janvier

Sur le même sujet

Réussir votre transformation organisationnelle

Édition du 15 Septembre 2018 | Claudine Hébert

Avant d'entamer un changement au sein de votre organisation, mieux vaut vous préparer. Et plus que pas assez ...

Vous avez un terreau fertile pour innover ? Semez-le !

BLOGUE. Lean start-up, mode Agile, design thinking, c’est bien beau tous ces termes qui favorisent l’innovation. ...

À la une

Des obligations à court terme en période de hausse de taux. Pas toujours la meilleure idée!

Il y a 35 minutes | Ian Gascon

Les FNB d’obligations ne s’écroulent pas malgré la hausse des taux. Voici pourquoi?

Comment consomment les plus de 65 ans ?

Édition du 15 Septembre 2018 | Chloé Machillot

Brisant les clichés d'une vieillesse monotone et ennuyeuse, la génération des aînés actuelle se distingue des ...

À surveiller: Mediagrif, Savaria et Magna

Que faire avec les titres de Mediagrif, Savaria et Magna?