Démystifier les assurances cyberrisques

Publié le 09/11/2021 à 10:00

Démystifier les assurances cyberrisques

Publié le 09/11/2021 à 10:00

Par Philippe Jean Poirier

Alain Tardif, conseiller principal en stratégie, en marketing et en offres aux entreprises chez Desjardins Assurances. (Photo: courtoisie)

SPÉCIAL PME. Environ un dirigeant de PME canadienne sur quatre (24 %) a affirmé cet été être couvert par une assurance contre les cyberrisques, 64 % ont répondu que non et 12 %… ne le savaient pas. C’est le portrait ombragé qui ressort d’un sondage Léger du Bureau d’assurance du Canada (BAC) effectué auprès 300 dirigeants de PME. Introduction à un produit d’assurance qui demeure nébuleux pour plusieurs entrepreneurs.

Jean-Philippe Racine, président fondateur du Groupe CyberSwat, donne depuis cinq ans une formation sur l’assurance cyberrisques aux courtiers membres du Regroupement des cabinets de courtage d’assurance du Québec. Toutefois, selon lui, ce type d’assurance est encore loin d’être arrivé à maturité. « Les définitions des produits ne sont pas normalisées comme le sont celles des secteurs de l’assurance automobile ou habitation, note-t-il. Une entreprise victime d’une attaque par rançongiciel peut penser que sa police couvre le paiement d’une rançon, alors que, dans les faits, elle ne couvre que les frais de “retour à la normale”. »

Avant de contracter une assurance cyberrisques, l’expert en cybersécurité conseille donc aux entrepreneurs de s’informer sur la nature et la portée de chaque catégorie d’indemnisation prévues à leur contrat. Plusieurs types de frais sont potentiellement remboursables. En effet, se relever d’un cyberincident nécessite souvent de recourir à un large éventail d’expertises, provenant de firmes en cybersécurité (pour colmater une brèche ou des mesurer les dégâts), en technologies de l’information (pour relancer des systèmes), en communication (pour notifier des gens dont les données ont été compromises) et de cabinet d’avocats (pour être conseillé durant une négociation avec des rançonneurs).

Ainsi, la facture en ressources externes peut grimper très vite. Et c’est sans compter les frais liés aux pertes d’exploitation de l’entreprise. Dans le sondage du BAC évoqué plus haut, 41 % des PME ayant été victimes d’une cyberattaque disent avoir subi des dommages s’élevant à 100 000 $ et plus.

 

Choisir entre police standard et monoligne

Les PME qui désirent se protéger contre les cyberrisques ont deux choix : prendre un avenant à cet effet dans leur police d’assurance standard, si celui-ci est offert par leur assureur ou souscrire à une police monoligne (stand alone, en anglais) conçue exclusivement pour couvrir les cyberrisques. Parmi les PME sondées par le BAC, 22 % affirment avoir un avenant et 15 % une assurance monoligne.

Conscients de ce nouveau genre de risque, certains assureurs généralistes offrent désormais une protection complémentaire à l’intérieur de leur contrat d’assurance commerciale standard. C’est le cas de Desjardins Assurances, dont la « garantie optionnelle » se décline en deux volets : la compromission de données et l’attaque informatique. « Notre protection a été conçue pour répondre aux besoins des PME présentes dans certains secteurs d’activités précis, notamment l’immobilier, les services professionnels, le commerce de détail », énumère Alain Tardif, conseiller principal en stratégie, en marketing et en offres aux entreprises chez Desjardins Assurances.

Plutôt abordable — les primes annuelles vont de 100 $ à 500 $, selon la couverture choisie —, l’assurance cyberrisques de Desjardins a cependant un plafond de réclamation globale limité à 350 000 $. L’assureur ne pose « aucune question » d’admissibilité pour le volet attaque informatique et « de trois à quatre questions » pour les couvertures les plus complètes du volet de la compromission des données, ajoute Alain Tardif.

L’autre choix des PME est de souscrire à une police dite « monoligne ». Ce type de produit a l’avantage d’offrir une gamme de couvertures très élevées, soit d’un à plusieurs millions de dollars (M$), mais celles-ci s’accompagnent d’une facture conséquente. La prime annuelle peut effectivement s’élever à plusieurs milliers de dollars, selon la nature de l’entreprise et la couverture recherchée. Et les documents sont souvent rédigés uniquement en anglais lorsque la police est offerte par des grossistes hors Québec.

Les critères d’admissibilité sont aussi généralement beaucoup plus restrictifs que ceux d’un avenant de police standard, prévient Luc Benoit, courtier en assurances dommages spécialisé en cyberrisques à Assurances Provencher Verreault. « Le formulaire de souscription compte plusieurs questions sur les mesures de cybersécurité en place dans l’entreprise. Un seul incident survenu par le passé peut suffire à rendre l’entreprise non éligible à la police. » Les prérequis de cybersécurité les plus fréquents sont l’activation de l’authentification double facteur, un programme de formation périodique des employés et l’instauration d’un système de sauvegarde de données « immuable », donc inaltérable par des cyberpirates, mentionne Luc Benoit.

 

Un marché en évolution

Les assureurs canadiens sont loin de faire de l’argent avec ce genre de produits. Ils versent actuellement plus d’indemnités en cyberresponsabilité qu’ils ne perçoivent de primes pour cette protection : 106,6 M$ contre 94,15 M$ au deuxième trimestre de 2021, selon les données du Bureau du surintendant des institutions financières.

« Les assureurs n’avaient pas anticipé une telle hausse des piratages informatiques dans leurs modèles actuariels », explique Jean-Philippe Racine. L’expert en cybersécurité constate que les assureurs ont déjà commencé à augmenter leurs primes et à resserrer les critères d’admissibilité de leurs polices.

Sur le même sujet

À la une

«J'manque de bras!» Attendez avant de vider votre portefeuille!

14/01/2022 | Catherine Charron

Votre PME peut tirer son épingle du jeu, même dans un contexte de pénurie de main-d'oeuvre. Voici comment.

Bourse: Wall Street fermée, Toronto termine en hausse

Mis à jour à 17:04 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. Wall Street était fermée ce lundi pour le jour férié du Martin Luther King Day.

À surveiller: Pfizer, Cogeco et Fiera

08:52 | Jean Gagnon

Que faire avec les titres de Pfizer, Cogeco et Fiera? Voici quelques recommandations d’analystes.