Cyber-assurance: la solution contre les failles informatiques?

Publié le 09/09/2019 à 07:00

Cyber-assurance: la solution contre les failles informatiques?

Publié le 09/09/2019 à 07:00

Par Pascal Forget

(Photo: 123RF)

Desjardins, Capital One, Revenu Québec… Une série d’événements récents en cybersécurité qui ont de quoi inquiéter le grand public, mais aussi les dirigeants d’entreprises.

Pour se protéger, est-ce qu’une cyber-assurance est la solution? Offertes depuis quelques années, elles peuvent assister la reprise des affaires en cas de cyberattaque, en plus de couvrir les frais de défense en cas de poursuite, de même qu'une perte de revenus et les dommages causés par les rançongiciels (cyberextorsion).

«Les événements récents ont éveillé une sensibilité accrue des Québécois aux cyber-risques», affirme Me Jean-François de Rico, Associé chez Langlois Avocats. «L’intérêt pour la cyber-assurance est marqué chez les PME pour leurs risques informatiques, mais aussi chez les plus grandes entreprises, pour s’assurer que leurs fournisseurs soient assurés.»

Pour les risques informatiques, «Il n’y a plus de 'ce n’est pas grave'. J’ai vu des projets interrompus parce que les fournisseurs n’étaient pas disposés à changer leurs mesures de sécurité, ajoute Me de Rico. Tous les contrats ont des engagements quant à la sécurité; le niveau des exigences en cybersécurité est maintenant plus élevé. Surtout que dans le domaine, le caractère adéquat des mesures nécessaires est une cible mouvante».

C’est pourquoi il est essentiel de bien évaluer avec son courtier la protection désirée, et quel risque on est prêt à assumer. «Le processus de souscription à une cyber-assurance est plus laborieux que pour d’autres lignes d’affaires. Il faudra indiquer s’il y a un responsable TI, un pare-feu, un plan de contingence... Les questions sont très longues. Depuis quelques années, les mesures se resserrent; dans certains cas, si un seul critère n’est pas couvert, les assureurs ne s’engageront pas.», explique Josée Levesque, Directrice principale, responsabilité professionnelle chez Lussier Dale Parizeau.

Une fois la demande acceptée, la prime sera alors déterminée en fonction du risque. S’il est possible de se procurer une cyber-assurance peu coûteuse, cette dernière pourrait ne pas couvrir la réclamation demandée, si un employé a volontairement fuité des données, par exemple.

Un rapport de 2015 de l’Institut d’assurance du Canada sur les Cyber-risques indique que s’il est facile d’évaluer les coûts d’un accident de voiture ou d'un incendie, ce n’est pas le cas pour les dommages causés par un cybercrime. Surtout qu’il faut parfois du temps avant qu’une entreprise réalise qu’elle a été victime.

Une cyber-assurance pourra couvrir certains frais directs comme le coût d’interruption des affaires, l’embauche d’un négociateur en cas de demande de rançon, le travail des techniciens qui vont se déplacer sur les lieux, mais aussi ceux d’un avocat ou d’un «breach coach», le chef d’orchestre qui va coordonner le travail des experts qui vont résoudre la faille. «Dans le cas d’une réclamation qui doit aller en cour, avoir un 'breach coach' qui est un représentant légal peut-être un avantage, pour garantir le secret professionnel», précise Mme Levesque. Il faudra aussi une couverture pour la responsabilité civile de l'entreprise, pour rembourser les dommages aux clients et aux fournisseurs.

«Les produits d'assurance proposés s’améliorent constamment, précise Mme Levesque. Certains assureurs offrent maintenant un audit de sécurité, ou vont laisser un certain temps aux entreprises pour se conformer aux normes».

Reste que prendre une cyber-assurance n’est pas une protection en soi. «Ceux qui veulent utiliser l’informatique à des fins criminelles seront toujours un pas devant nos meilleurs systèmes. Il est important de rester à jour. Une assurance n’est un transfert de risque; elle ne remplace pas les bonnes pratiques», explique Mme Levesque.

Cyber-assurance ou pas?

Dans le rapport L'incidence du cybercrime sur les entreprises canadiennes de 2017, publié par Statistique Canada, on indiquait que le quart des grandes entreprises déclarait avoir une assurance cyber-responsabilité; 14% des moyennes entreprise et seulement 7% des petites entreprises étaient assurées. Est-ce que plus d’entreprises devraient l’être?

Selon Jean-François Thériault, Associé principal et chef des opérations chez CIO sur demande, une petite entreprise aux ressources financières limitées devrait d’abord investir dans ses processus avant de considérer une assurance. «La meilleure assurance, c’est la proaction. Dans un immeuble, on peut prendre des assurances ou mettre des gicleurs. On prend une cyber-assurance quand on doute que nos processus peuvent faillir, ou qu’on craint les poursuites.»

La firme propose aux PME des consultations avec des dirigeants d'expérience en informatique, pour les aider à relever les défis liés à la croissance. «Les entreprises sont occupées à gérer leur entreprise, elles ne sont pas sensibilisées à la cybersécurité, ce n’est pas perçu comme très important.»

Mais simplement considérer une assurance pourrait être utile. «Passer au travers du processus de sélection pour une cyber-assurances pourrait éveiller l’entrepreneur sur l’importance d’investir en cybersécurité», selon M. Thériault.

Mais à moins d’y être obligé, les incitatifs à s’assurer et même à porter attention à sa sécurité informatique sont encore limités. Au Québec, les normes actuelles ne rendent toujours pas obligatoire la déclaration des failles de cybersécurité si les affaires d’une entreprise sont seulement dans la province. 

Dans le rapport sur l’incidence du cybercrime, on indiquait que seulement 10% des entreprises touchées par un incident de cybersécurité ont signalé l'incident à un service de police. «Le besoin de réviser la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels est criant. Le moment est opportun pour le gouvernement de revisiter la question», affirme Me de Rico.


image

Gestion du changement

Mardi 17 septembre


image

Gestion de l’innovation

Mercredi 18 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Forum Contrats publics

Mardi 11 février

Sur le même sujet

Pourquoi je m'intéresse moins aux financières

BLOGUE INVITÉ. Les financières ont été payantes pendant plusieurs années après la crise. C'est moins le cas maintenant.

Petits rectificatifs (et gentils coups de gueule)

26/06/2019 | Daniel Germain

Le chroniqueur peut faire un choix de mots qu'il regrette. Comme cette fois-là... Rectifions .

À la une

Bourse: Wall Street voit rouge, Toronto est à un sommet record

Mis à jour le 16/09/2019 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Brent a bondi de 14,6 %, sa plus forte progression depuis que le contrat a été formalisé en 1988.

Titres en action: Aramco, Coca-Cola, Facebook...

16/09/2019 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Les Bourses européennes reculent face aux tensions pétrolières

16/09/2019 | AFP

Les investisseurs ont «forcément été pris un petit peu de court sur le retour du risque géopolitique», dit une analyste.