Demande d’information

« * » indique les champs nécessaires

J’accepte qu’Entrechefs PME communique avec moi.**
Consulter notre politique de protection des données à caractère personnel
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

La cyberassurance, un transfert de risque mais pas un transfert de responsabilité

La_cyberassurance_un_transfert_de_risque_mais_pas_un_transfert_de_responsabilite

 
Ce texte a été rédigé par un expert de notre réseau : Alexandre Blanc, chef de la sécurité de l’information chez VARS propulsé par Raymond Chabot Grant Thornton.

Saviez-vous que les assurances traditionnelles ne couvrent pas les cyberincidents ?

L’assurance contre la perte d’exploitation permet habituellement aux entreprises de reprendre leur activité en cas d’interruption de leur production à la suite d’un incident, leur assurant de maintenir un revenu et les ressources critiques. Cependant, elle n’intègre généralement pas la couverture du cyberrisque! Il est important de contracter une cyberassurance qui prend en charge les coûts et les opérations liées à un cyberincident. Bien que ce marché soit en croissance de 30% depuis 2020, la proportion d’entreprises ayant souscrit à une assurance cyberrisque spécifique est encore trop faible.

Répondre à un incident : une opération complexe et coûteuse

Du côté opérationnel, les coûts sont composés de la perte d’exploitation liée à l’incident se traduisant par une perte financière directe. Toutefois, il y a plusieurs autres éléments opérationnels additionnels à considérer comme :

  • la communication nécessaire envers les partenaires, fournisseurs et clients, incluant les obligations légales et le contrôle des dommages à l’image;
  • les coûts liés à l’enquête, incluant les experts en sécurité et le support légal nécessaire pour accompagner l’organisation. Ce support légal requiert des compétences spécifiques dans l’environnement numérique et une connaissance approfondie des régulations encadrant le contexte spécifique de l’organisation (données médicales, militaires, identifiables, paiement, etc.) ainsi que des régulations applicables;
  • les coûts liés à la restauration ou récupération des données, si réalisable;
  • la protection des dégâts matériels induits par la cyberattaque (dommages industriels, pertes de bien périssables, etc.);
  • la protection des dommages matériels aux tiers en lien avec la cyberattaque.

Après ces considérations opérationnelles, il faut prendre en considération les impacts financiers directement liés aux fuites de données, en complément du support légal cité précédemment :

  • les amendes liées à la fuite de données privées ou sensibles et les sanctions règlementaires selon le type d’information volée (selon les types et localisations des clients et partenaires, les sanctions peuvent provenir de règlements telles que PIPEDA, CCPA, RGPD, etc.);
  • les amendes liées aux fournisseurs de paiement et bris de confidentialité induits par le piratage induisant des dommages;
  • les dommages et frais de justice en cas de poursuite par les ayants-droits à la suite d’une fuite de données, hors du contexte des impacts de la régulation (bris de licences, etc.);
  • les potentielles poursuites et dommages à plus grande échelle dans le cadre d’un détournement des comptes publics (médias sociaux et autres publications) induisant d’autres recours en dommage (diffamation, etc.)

Dans tous les cas, l’assurance pourra fournir un support financier selon la couverture choisie, mais les responsabilités ne sont jamais transférées avec le risque dans le cadre d’un incident impliquant une fuite de données sensibles.

Des incidents aux dommages irréparables dans le temps

Si la cyberassurance permet à l’organisation de couvrir ses besoins dans la réponse aux incidents, la réduction d’impact n’est que partielle. La réparation et la reprise d’activité (documentée dans votre plan de réponse aux incidents) vont permettre de relancer les opérations et de couvrir les frais immédiats. Cependant, les incidents maintenant très communs comme les attaques via rançongiciels (ransomware) ont une composante bien plus complexe impliquant le vol d’information et donnant lieu à un chantage multiple. Les réseaux criminels demandent une rançon contre une clé de décryptage et pour ne pas diffuser les données volées publiquement.  Si une organisation est capable de rétablir ses services et de survivre à l’incident avec le support de l’assurance, elle ne pourra pas arrêter le cycle de vie des données volées lors de l’incident et qui peuvent être exploitées, revendues et diffusées librement sur le dark web et autres réseaux illicites par les criminels. Cette fuite de données sensibles peut alors alimenter d’autres attaques tel que l’hameçonnage ciblé et des attaques par ingénierie sociale. Ainsi même une fois payée, la rançon n’arrête pas la diffusion des données volées  jusqu’à un an en moyenne après l’incident…

Il n’y a malheureusement pas de recours possible ici puisqu’on a affaire à des organisations criminelles internationales. Les poursuites judiciaires engagées dans votre pays sont sans effet contre les criminels opérant depuis des pays sans accords d’extradition ou de collaboration avec le vôtre.

Une posture équilibrée et des mesures de sauvegarde

Une bonne architecture de sécurité et de bonnes sauvegardes testées régulièrement peuvent prévenir la majorité de ces risques. Certains fournisseurs d’assurance couvrant le cyberrisque demandent donc  la mise en place de bonnes pratiques en sécurité de l’information et de la gouvernance des données, première conformité nécessaire afin d’être éligible à une telle souscription.

Il est critique de mettre en place des mesures préventives afin de limiter les impacts d’un incident potentiel et, d’autre part, couvrir le risque résiduel via son assurance. Construire une posture de sécurité solide est une étape nécessaire, bien moins coûteuse que la réponse à un incident et doit se faire en complément de sa couverture de cyberrisque. La plupart des assurances présentent donc des prérequis pour être définir si les entreprises y sont éligibles : une bonne posture vous permettra d’accéder à une meilleure couverture et, dans certains cas, de faire baisser vos coûts d’assurance.

L’analyse de risque doit être le guide de l’implémentation de mesures appropriées. Elle consiste en l’inventaire, physique et numérique, des contrôles de sécurités qui couvrent l’environnement de l’entreprise. On parle ici de mesures préventives.

Elles s’accompagnent de mesures de détection (et réponse) généralement sous la forme d’une ou plusieurs solutions technologiques complémentaires et indépendantes des systèmes et services à protéger.

Finalement, on trouvera les mesures correctives, telles que la restauration des sauvegardes ou l’appel à la cyberassurance, pour supporter les coûts inhérents à un incident dont l’impact aura été grandement réduit grâce à la bonne posture de sécurité.

Pour aller plus loin

Découvrez le témoignage de notre membre Maxime Boyer qui a eu toute une surprise alors que plusieurs des ordinateurs de son entreprise affichaient soudain un message alarmant : les données de l’entreprise ont été cryptées et s’il veut les récupérer, il doit payer la rançon demandée.

Nos derniers articles

13 Mar 2024 Développement des affaires
Faire évoluer les milieux de travail pour favoriser la santé mentale
Lire l'article
29 Août 2023 Article
Technologies
Naviguer les règles de la protection des données : démêler le projet de Loi 25 du Québec
Lire l'article
27 Juin 2023 Développement des affaires
Entrepreneur·e·s en vacances! Outils d’expert·e·s
Lire l'article
12 Juin 2023 Article de nos membres
Histoires de chef
Allier ambition et bien-être
Lire l'article
23 Mai 2023 Article
Repreneuriat
Allier le désir de ralentir tout en assurant la pérennité de nos PME
Lire l'article
27 Fév 2023 Technologies Développement des affaires
La révolution ChatGPT : libérer le plein potentiel des chatbots en entreprise
Lire l'article
24 Fév 2023 EntreChefs PME
Changement au sein du conseil d’administration d’EntreChefs PME
Lire l'article
27 Jan 2023 Article de nos experts
Développement des affaires
2023 : une bonne année pour acheter ou vendre une entreprise?
Lire l'article
26 Jan 2023 Développement des affaires
Les femmes d’EntreChefs PME
Lire l'article
19 Déc 2022 Article
Ressources humaines
Bouger entre 9 et 5 : l’expérience de Formule ACTIZ chez Vooban
Lire l'article