Cyberattaques: votre entreprise est-elle assurée contre les pirates ?


Édition du 30 Mai 2015

Cyberattaques: votre entreprise est-elle assurée contre les pirates ?


Édition du 30 Mai 2015

Pertes de données, poursuites judiciaires, systèmes informatiques endommagés... les cyberattaques représentent une nouvelle gamme de risques auxquels les entreprises petites et grandes sont confrontées. Sentant la bonne affaire, certains assureurs offrent maintenant une protection contre ces écueils. En quoi consiste une telle assurance ? Est-elle devenue incontournable ?


Évaluer les risques


Inutile de parler d'assurance si on ne connaît pas d'abord le risque auquel on est exposé. Celui d'être victime d'une cyberattaque ne se mesure pas tant selon la taille de l'entreprise que par rapport au type d'information que l'on y traite. Ce n'est donc pas seulement le souci des grandes boîtes. L'étude «Internet Security Threat Report 2014» du concepteur d'antivirus Symantec révèle d'ailleurs que 61 % des hameçonnages ciblés ont visé des PME en 2013, comparativement à 50 % un an plus tôt.


Or, des études récentes de Cisco montrent qu'un peu plus de la moitié des entreprises canadiennes n'ont pas encore mis en place un plan en matière de sécurité informatique. «C'est primordial pour déterminer les types de renseignements à protéger, les moyens de les stocker, les personnes qui y ont accès, l'équipement, etc.», précise Maya Raic, présidente-directrice générale de la Chambre de l'assurance de dommages.


Stockez-vous sur vos serveurs une base de données contenant le numéro d'assurance sociale de médecins spécialistes ? Ou un simple catalogue de vos produits ? Les données ont un degré de sensibilité variable. Cela dit, plus vous traitez de l'information de tiers ou de la propriété intellectuelle, plus vous avez de risques de poursuites en cas de brèche de sécurité.




« 117 339: c'est le nombre de cyberattaques commises chaque jour dans le monde, d'après une récente enquête de PwC. Et ce ne sont là que celles dont les entreprises sont conscientes, puisque près des 3/4 des attaques ne sont pas décelées. »




Des polices sur mesure


«On compte actuellement une dizaine d'assureurs au Canada qui protègent les entreprises contre les cyberrisques», soutient Maya Raic.


Comme on n'en est qu'aux balbutiements de ce type d'assurance, les clauses varient d'un assureur à l'autre. «On traite encore les clients au cas par cas, donc ceux-ci peuvent négocier les termes», mentionne Jean-François De Rico, associé au cabinet d'avocats Langlois Kronström Desjardins.


Les polices peuvent couvrir la responsabilité liée aux pertes de données (les recours collectifs potentiels, les atteintes à la réputation commerciale ou les frais liés au redémarrage des systèmes), la gestion de crise, l'interruption des affaires, la cyberextorsion, etc.


Quant aux exclusions standards, ces polices n'en comportent pas vraiment, contrairement aux autres types d'assurance qui excluent d'emblée certains risques. Ce que vous pourriez voir toutefois, c'est une clause qui délimite le cadre de l'assurance. «Par exemple, la responsabilité civile des dirigeants et des administrateurs n'est pas couverte par la cyberassurance, puisque cette protection existe déjà dans une autre police d'assurance sans lien avec le cybercrime», illustre Alexis Héroux, courtier en assurance de dommages chez Marsh Canada.




« Installer les mises à jour dans les 48h où elles sont disponibles par les fournisseurs d'antivirus réduit les risques de cyberattaques de 85%. »


C'est combien ?


Les limites de couverture varient énormément selon les compagnies d'assurance et peuvent aller de 500 000 dollars à 20 millions de dollars. Si plusieurs assureurs se réunissent, la limite peut même atteindre 250 millions de dollars.


On devine que le coût des primes varie tout autant, selon la limite choisie et l'ensemble des facteurs qui peuvent influencer le risque : le type et la quantité de données utilisées et recueillies par l'entreprise, le système de gestion en place, etc. Les PME dont les besoins de protection sont moindres pourraient réussir à obtenir une prime annuelle minimale de 1 500 dollars, mais c'est en général beaucoup plus coûteux. Retenez surtout que tout se négocie, selon votre budget.




« 201$: c'est le prix que coûte en moyenne chaque donnée de tiers sensible et confidentielle qui a été volée. »


Cela dit, comme pour les autres types d'assurance, les cyberrisques ne reposent jamais entièrement sur les épaules des assureurs. L'entreprise a sa part de responsabilité. Aussi, plus on a une infrastructure de sécurité sophistiquée et bien gérée, plus on réduit le risque, et donc le coût de la prime (voire la nécessité d'une protection d'assurance).


Cependant, quand on sait que même des spécialistes comme Symantec ont déjà été victimes d'une cyberattaque, il vaut mieux, parfois, investir un certain montant en assurance pour couvrir ces nouveaux aléas.


À lire aussi: Cyberattaques: les bonnes pratiques


image

Forum TI DevOps

Mercredi 12 septembre


image

Usine 4.0

Mardi 18 septembre


image

Gestion de l'innovation

Mercredi 19 septembre


image

Objectif Nord

Mardi 25 septembre


image

Gestion du changement

Mercredi 03 octobre


image

Marché du cannabis

Mercredi 10 octobre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre

DANS LE MÊME DOSSIER

Sur le même sujet

À la une

Tesla Canada poursuit le gouvernement de l'Ontario

Tesla conteste la décision du gouvernement de Rob Ford d'éliminer les subventions à l'achat de véhicules électriques.

La Vie en Rose achète l'ancienne usine de Mondelez

16/08/2018 | Martin Jolicoeur

La Vie en Rose déménagera son siège social dans l'ancienne manufacture de biscuits Oreo.

Labplas: un déménagement qui ravit les employés et la direction

16/08/2018 | Claudine Hébert

PME DE LA SEMAINE. Le déménagement de Labplas aurait pu devenir un sérieux casse-tête, n'eût été d'un coup de chance.