(Photo: 123RF)
Desjardins, Capital One, Revenu Québec… Une série d’événements récents en cybersécurité qui ont de quoi inquiéter le grand public, mais aussi les dirigeants d’entreprises.
Pour se protéger, est-ce qu’une cyber-assurance est la solution? Offertes depuis quelques années, elles peuvent assister la reprise des affaires en cas de cyberattaque, en plus de couvrir les frais de défense en cas de poursuite, de même qu'une perte de revenus et les dommages causés par les rançongiciels (cyberextorsion).
«Les événements récents ont éveillé une sensibilité accrue des Québécois aux cyber-risques», affirme Me Jean-François de Rico, Associé chez Langlois Avocats. «L’intérêt pour la cyber-assurance est marqué chez les PME pour leurs risques informatiques, mais aussi chez les plus grandes entreprises, pour s’assurer que leurs fournisseurs soient assurés.»
Pour les risques informatiques, «Il n’y a plus de 'ce n’est pas grave'. J’ai vu des projets interrompus parce que les fournisseurs n’étaient pas disposés à changer leurs mesures de sécurité, ajoute Me de Rico. Tous les contrats ont des engagements quant à la sécurité; le niveau des exigences en cybersécurité est maintenant plus élevé. Surtout que dans le domaine, le caractère adéquat des mesures nécessaires est une cible mouvante».
C’est pourquoi il est essentiel de bien évaluer avec son courtier la protection désirée, et quel risque on est prêt à assumer. «Le processus de souscription à une cyber-assurance est plus laborieux que pour d’autres lignes d’affaires. Il faudra indiquer s’il y a un responsable TI, un pare-feu, un plan de contingence... Les questions sont très longues. Depuis quelques années, les mesures se resserrent; dans certains cas, si un seul critère n’est pas couvert, les assureurs ne s’engageront pas.», explique Josée Levesque, Directrice principale, responsabilité professionnelle chez Lussier Dale Parizeau.
Une fois la demande acceptée, la prime sera alors déterminée en fonction du risque. S’il est possible de se procurer une cyber-assurance peu coûteuse, cette dernière pourrait ne pas couvrir la réclamation demandée, si un employé a volontairement fuité des données, par exemple.
Un rapport de 2015 de l’Institut d’assurance du Canada sur les Cyber-risques indique que s’il est facile d’évaluer les coûts d’un accident de voiture ou d'un incendie, ce n’est pas le cas pour les dommages causés par un cybercrime. Surtout qu’il faut parfois du temps avant qu’une entreprise réalise qu’elle a été victime.
Une cyber-assurance pourra couvrir certains frais directs comme le coût d’interruption des affaires, l’embauche d’un négociateur en cas de demande de rançon, le travail des techniciens qui vont se déplacer sur les lieux, mais aussi ceux d’un avocat ou d’un «breach coach», le chef d’orchestre qui va coordonner le travail des experts qui vont résoudre la faille. «Dans le cas d’une réclamation qui doit aller en cour, avoir un 'breach coach' qui est un représentant légal peut-être un avantage, pour garantir le secret professionnel», précise Mme Levesque. Il faudra aussi une couverture pour la responsabilité civile de l'entreprise, pour rembourser les dommages aux clients et aux fournisseurs.
«Les produits d'assurance proposés s’améliorent constamment, précise Mme Levesque. Certains assureurs offrent maintenant un audit de sécurité, ou vont laisser un certain temps aux entreprises pour se conformer aux normes».
Reste que prendre une cyber-assurance n’est pas une protection en soi. «Ceux qui veulent utiliser l’informatique à des fins criminelles seront toujours un pas devant nos meilleurs systèmes. Il est important de rester à jour. Une assurance n’est un transfert de risque; elle ne remplace pas les bonnes pratiques», explique Mme Levesque.
Cyber-assurance ou pas?
Dans le rapport L'incidence du cybercrime sur les entreprises canadiennes de 2017, publié par Statistique Canada, on indiquait que le quart des grandes entreprises déclarait avoir une assurance cyber-responsabilité; 14% des moyennes entreprise et seulement 7% des petites entreprises étaient assurées. Est-ce que plus d’entreprises devraient l’être?
Selon Jean-François Thériault, Associé principal et chef des opérations chez CIO sur demande, une petite entreprise aux ressources financières limitées devrait d’abord investir dans ses processus avant de considérer une assurance. «La meilleure assurance, c’est la proaction. Dans un immeuble, on peut prendre des assurances ou mettre des gicleurs. On prend une cyber-assurance quand on doute que nos processus peuvent faillir, ou qu’on craint les poursuites.»
La firme propose aux PME des consultations avec des dirigeants d'expérience en informatique, pour les aider à relever les défis liés à la croissance. «Les entreprises sont occupées à gérer leur entreprise, elles ne sont pas sensibilisées à la cybersécurité, ce n’est pas perçu comme très important.»
Mais simplement considérer une assurance pourrait être utile. «Passer au travers du processus de sélection pour une cyber-assurances pourrait éveiller l’entrepreneur sur l’importance d’investir en cybersécurité», selon M. Thériault.
Mais à moins d’y être obligé, les incitatifs à s’assurer et même à porter attention à sa sécurité informatique sont encore limités. Au Québec, les normes actuelles ne rendent toujours pas obligatoire la déclaration des failles de cybersécurité si les affaires d’une entreprise sont seulement dans la province.
Dans le rapport sur l’incidence du cybercrime, on indiquait que seulement 10% des entreprises touchées par un incident de cybersécurité ont signalé l'incident à un service de police. «Le besoin de réviser la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels est criant. Le moment est opportun pour le gouvernement de revisiter la question», affirme Me de Rico.
