Qu’est-ce que l’assurance contre les cybers risques et quelle couverture mon entreprise a-t-elle réellement besoin?

Les cyber risques sont bien réels et les dommages sur nos entreprises sont souvent très grands. Depuis 2020, les petites et moyennes entreprises se font offrir un nouveau type d’assurance pour celles-ci. Qu’est que l’assurance cyber risques?

Dans cet article nous allons répondre à cette question et vous donner une liste d’actions que vous pouvez prendre pour ne payer que pour la couverture dont vous avez besoin.

Une cyberattaques sur un assureur

Le 12 décembre 2020, Promutuel, une compagnie d’assurance établie, a subi une cyberattaque qui en date de la rédaction de cet article handicapait toujours leurs opérations et son service à la clientèle. Est-ce qu’elle avait elle-même une police d’assurance contre les cyber risques? Est-ce que votre entreprise devrait aussi en avoir une?

Réf : Le Nouvelliste 13 javier 2021

DEFINITION : Assurance contre les cybers RISQUES

C’est une assurance pour protéger votre entreprise des pertes financières dû au coût des cybers dangers et de la perte d’information sur la vie privée de ses clients ou de ceux de ses partenaires. 

Les cybers attaques sont une des quatre principales sources de cybers risques qui comprend le vol d’identité,  la violation de données et la dégradation de votre capacité d’opérer. 

Les cybers attaques

La cyberattaque est le terme le plus large des quatre. Il comprend toute perturbation des opérations, vol ou destruction de données provenant ou affectant les ressources informatiques d’une entreprise.

Le vol d’identité

Lié à la fraude du fournisseur, le vol d’identité pour en entreprise est quand les renseignements d’identification du propriétaire sont utilisés pour obtenir un prêt de manière frauduleuse ou pour commettre des actes criminels. L’arnaque et hameçonnage sont les moyens les plus souvent employés pour ce que l’on nomme souvent la fraude du président.

La violation de données

Ce genre de situation est souvent très médiatisé et fait l’objet d’amandes gouvernementales en forte augmentation. Aussi associé à la protection de la vie privée, la violation de données est quand des données de l’entreprise sont perdues, volées ou divulguées accidentellement. La source peut être externe comme une cyberattaque, mais peu aussi provenir de l’interne.

Le gouvernement s’implique

Le 12 juin 2020, le Gouvernement Québécois a déposé un projet de loi révisant les amandes pour la protection des renseignements personnels. Actuellement en Étude détaillée en commission, cette loi qui devrait être adoptée sous peu imposera des amendes à la société jugée délinquante de 15 000 $ à 25 millions ou d’un montant de 4 % du chiffre d’affaires de l’entreprise si ce montant est plus élevé. Est-ce que nos entreprises seront encore plus à risque avec cette loi? Certainement.

Réf :  Projet de loi 64 de l’assemblé Nationale du Québec

 La cyber extorsion

Associée à la dégradation intentionnelle des opérations de votre entreprise, elle résulte soit de l’introduction d’un virus ou d’un logiciel malveillant sur votre réseau, ou d’une attaque par déni de service (Distributed Denial of Service, DDOS). Son objectif est d’interrompre vos opérations par représailles ou pour obtenir un paiement de rançon.

Quelle couverture contre les cyber risques avez-vous besoin pour votre entreprise?

L’assurance contre le cyber risque ne protège pas l’entreprise contre les cyber risques, mais offre des fonds pour que celle-ci se remette après un sinistre.  Plus vous minimisez le potentiel de ce genre de sinistres et l’impact qu’ils peuvent avoir sur votre organisation, moins élevée devra être votre couverture.
Comment un système d’alarme, de protection d’incendie ou un système pour couper l’entrée d’eau en cas de détection de fuite, la sécurisation de vos TI peut réduire votre prime d’assurance pour cyber risque.

5 questions pour mesurer la couverture requise

Tirées d’une soumission faite en 2020, voici cinq questions posées par un assureur québécois à une PME.

  • Avez-vous mis en place des protections pare-feu et des logiciels antivirus ou des logiciels qui détectent des programmes malveillants?
  • Mettez-vous en marche les mises à jour automatiques de votre système d’exploitation et installez-vous les mises à jour critiques sur les logiciels que vous utilisez pour vos opérations?
  • Protégez-vous le matériel électronique (ordinateurs, laptops, téléphones cellulaires, tablettes, etc.) utilisé pour vos activités professionnelles au moyen de mots de passe?
  • Faites-vous des vérifications au moins tous les trente jours et avez-vous un point de récupération datant de moins de 30 jours de vos systèmes?
  • Je confirme qu’à ma connaissance, il n’y a pas de faits ni de circonstances raisonnablement susceptibles d’entraîner une allégation d’atteinte à la vie privée contre mon entreprise en raison d’une violation non autorisée de renseignements personnels protégés?

Généralement, une assurance risque peut comporter trois types de garanties. Vous pouvez agir sur chacune d’elles pour réduire le risque à assurer.

Les garanties et comment en réduire le coût.

Les garanties de cyber dommages

Définition : Elles protègent les activités de l’entreprise contre les pertes d’exploitation et les surcoûts de fonctionnement.
Réduction du risque : Mise en place d’un plan de résilience qui réduit le temps requis pour la remise en opération après attaque ou sinistre.
Exemple de solution :

Service de Continuité et Reprise

Les garanties de cyber responsabilité

Définition : Elles prennent en charge les sinistres liés aux atteintes à la sécurité informatique et aux données personnelles.
Réduction du risque : Implantation d’un centre de surveillance sécurité, la fortification des systèmes et la formation continue du personnel.
Exemple de solution :

Service de Centre d'Opérations de Sécurité (en anglais : SOC)

Les garanties pour la gestion de crise

Définition : Elles servent à préserver l’activité de l’entreprise en cas de sinistre, ainsi que sa réputation auprès de ses clients et collaborateurs. En cas de tentative d’extorsion, elles peuvent également prendre en charge certains coûts de négociation.
Réduction du risque : Mise en place d’un plan de virtualisation des systèmes et de protection contre l’encryptage des données de sauvegarde.
Exemple de solution :

Technologies de Continuité
Accueil / PÉRIMÈTRE, blogue sur la CYBER SÉCURITÉ et les TI pour la PME / General / Qu’est-ce que l’assurance contre les cybers risques et quelle couverture mon entreprise a-t-elle réellement besoin?