Saviez-vous que les assurances traditionnelles ne couvrent pas les cyberincidents ?
L’assurance contre la perte d’exploitation permet habituellement aux entreprises de reprendre leur activité en cas d’interruption de leur production à la suite d’un incident, leur assurant de maintenir un revenu et les ressources critiques. Cependant, elle n’intègre généralement pas la couverture du cyberrisque! Il est important de contracter une cyberassurance qui prend en charge les coûts et les opérations liées à un cyberincident. Bien que ce marché soit en croissance de 30% depuis 2020, la proportion d’entreprises ayant souscrit à une assurance cyberrisque spécifique est encore trop faible.
Répondre à un incident : une opération complexe et coûteuse
Du côté opérationnel, les coûts sont composés de la perte d’exploitation liée à l’incident se traduisant par une perte financière directe. Toutefois, il y a plusieurs autres éléments opérationnels additionnels à considérer comme :
- la communication nécessaire envers les partenaires, fournisseurs et clients, incluant les obligations légales et le contrôle des dommages à l’image;
- les coûts liés à l’enquête, incluant les experts en sécurité et le support légal nécessaire pour accompagner l’organisation. Ce support légal requiert des compétences spécifiques dans l’environnement numérique et une connaissance approfondie des régulations encadrant le contexte spécifique de l’organisation (données médicales, militaires, identifiables, paiement, etc.) ainsi que des régulations applicables;
- les coûts liés à la restauration ou récupération des données, si réalisable;
- la protection des dégâts matériels induits par la cyberattaque (dommages industriels, pertes de bien périssables, etc.);
- la protection des dommages matériels aux tiers en lien avec la cyberattaque.
Après ces considérations opérationnelles, il faut prendre en considération les impacts financiers directement liés aux fuites de données, en complément du support légal cité précédemment :
- les amendes liées à la fuite de données privées ou sensibles et les sanctions règlementaires selon le type d’information volée (selon les types et localisations des clients et partenaires, les sanctions peuvent provenir de règlements telles que PIPEDA, CCPA, RGPD, etc.);
- les amendes liées aux fournisseurs de paiement et bris de confidentialité induits par le piratage induisant des dommages;
- les dommages et frais de justice en cas de poursuite par les ayants-droits à la suite d’une fuite de données, hors du contexte des impacts de la régulation (bris de licences, etc.);
- les potentielles poursuites et dommages à plus grande échelle dans le cadre d’un détournement des comptes publics (médias sociaux et autres publications) induisant d’autres recours en dommage (diffamation, etc.)
Dans tous les cas, l’assurance pourra fournir un support financier selon la couverture choisie, mais les responsabilités ne sont jamais transférées avec le risque dans le cadre d’un incident impliquant une fuite de données sensibles.
Des incidents aux dommages irréparables dans le temps
Si la cyberassurance permet à l’organisation de couvrir ses besoins dans la réponse aux incidents, la réduction d’impact n’est que partielle. La réparation et la reprise d’activité (documentée dans votre plan de réponse aux incidents) vont permettre de relancer les opérations et de couvrir les frais immédiats. Cependant, les incidents maintenant très communs comme les attaques via rançongiciels (ransomware) ont une composante bien plus complexe impliquant le vol d’information et donnant lieu à un chantage multiple. Les réseaux criminels demandent une rançon contre une clé de décryptage et pour ne pas diffuser les données volées publiquement. Si une organisation est capable de rétablir ses services et de survivre à l’incident avec le support de l’assurance, elle ne pourra pas arrêter le cycle de vie des données volées lors de l’incident et qui peuvent être exploitées, revendues et diffusées librement sur le dark web et autres réseaux illicites par les criminels. Cette fuite de données sensibles peut alors alimenter d’autres attaques tel que l’hameçonnage ciblé et des attaques par ingénierie sociale. Ainsi même une fois payée, la rançon n’arrête pas la diffusion des données volées jusqu’à un an en moyenne après l’incident…
Il n’y a malheureusement pas de recours possible ici puisqu’on a affaire à des organisations criminelles internationales. Les poursuites judiciaires engagées dans votre pays sont sans effet contre les criminels opérant depuis des pays sans accords d’extradition ou de collaboration avec le vôtre.
Une posture équilibrée et des mesures de sauvegarde
Une bonne architecture de sécurité et de bonnes sauvegardes testées régulièrement peuvent prévenir la majorité de ces risques. Certains fournisseurs d’assurance couvrant le cyberrisque demandent donc la mise en place de bonnes pratiques en sécurité de l’information et de la gouvernance des données, première conformité nécessaire afin d’être éligible à une telle souscription.
Il est critique de mettre en place des mesures préventives afin de limiter les impacts d’un incident potentiel et, d’autre part, couvrir le risque résiduel via son assurance. Construire une posture de sécurité solide est une étape nécessaire, bien moins coûteuse que la réponse à un incident et doit se faire en complément de sa couverture de cyberrisque. La plupart des assurances présentent donc des prérequis pour être définir si les entreprises y sont éligibles : une bonne posture vous permettra d’accéder à une meilleure couverture et, dans certains cas, de faire baisser vos coûts d’assurance.
L’analyse de risque doit être le guide de l’implémentation de mesures appropriées. Elle consiste en l’inventaire, physique et numérique, des contrôles de sécurités qui couvrent l’environnement de l’entreprise. On parle ici de mesures préventives.
Elles s’accompagnent de mesures de détection (et réponse) généralement sous la forme d’une ou plusieurs solutions technologiques complémentaires et indépendantes des systèmes et services à protéger.
Finalement, on trouvera les mesures correctives, telles que la restauration des sauvegardes ou l’appel à la cyberassurance, pour supporter les coûts inhérents à un incident dont l’impact aura été grandement réduit grâce à la bonne posture de sécurité.
Pour aller plus loin
Découvrez le témoignage de notre membre Maxime Boyer qui a eu toute une surprise alors que plusieurs des ordinateurs de son entreprise affichaient soudain un message alarmant : les données de l’entreprise ont été cryptées et s’il veut les récupérer, il doit payer la rançon demandée.