Ceci est le dernier article d’une série en trois parties. Reportez-vous à la partie 2 pour obtenir des exemples d’exclusions à la cyberrassurance (et en apprendre plus sur la manière dont les assureurs et les assurés négocient ces questions), et à la partie 1 pour découvrir ce que vous devez savoir sur la couverture en cas d’interruption des activités et votre police de cyberassurance.
Face à la croissance continue du secteur de la cyberassurance et à la hausse rapide des demandes de couverture, les assureurs choisissent plus minutieusement que jamais les entités qu’ils acceptent d’assurer. Les organisations canadiennes qui se procurent une assurance remarqueront peut-être que le coût des primes a augmenté, que leur couverture est limitée et que les polices comprennent maintenant des franchises et des clauses de partage de coûts (coassurance). Vaut-il donc réellement la peine de se doter d’une cyberassurance? Nous pouvons tout de suite vous répondre que oui, mais poursuivez votre lecture pour en savoir plus. Lorsque viendra le temps pour votre entreprise de renouveler sa police d’assurance, suivez les trois étapes détaillées ci-après pour favoriser l’acceptation de votre demande et réduire vos coûts de cyberassurance.
La cyberassurance vaut-elle le coût?
La réponse est presque toujours oui.
Notre équipe d’avocats et avocates spécialisés en cyberassurance a aidé des assureurs dans le cadre de certaines des réclamations les plus importantes au Canada; elle a également fourni des conseils à nombre de propriétaires d’entreprise. Notre expérience d’une pluralité de points de vue nous a appris une leçon essentielle : à une époque où les technologies et les données sont indispensables pour les entreprises et leurs activités quotidiennes, la cyberassurance n’est plus simplement « utile » – elle est nécessaire.
Pourquoi la cyberassurance vaut-elle le coût? Voici quelques raisons :
- Vous économisez sur d’autres coûts puisque votre assureur vous fournit une large gamme de services; par exemple, il peut vous guider dans la gestion de cyberattaques, vous offrir des services de criminalistique numérique, vous épauler pour ce qui touche vos communications de crise et la restauration de vos systèmes et vous aider à gérer l’interruption de vos activités. La cyberassurance vous protège également en cas de réclamations contre votre organisation. Sachant que le coût moyen d’un cyberincident pour les organisations canadiennes était de 310 000 $ US en 2020, il est indéniable qu’il vaut la peine de se munir d’une cyberassurance.
- On observe actuellement une hausse des cyberattaques automatisées au moyen de rançongiciels, un moyen particulièrement rentable pour les malfaiteurs de s’en prendre aux petites organisations.
- 98 % des organisations canadiennes ont rapporté avoir été victimes d’attaques par rançongiciels en 2021.
- Le gouvernement canadien resserre ses règlements sur la cybersécurité et augmente le montant de ses amendes, comme le démontrent les projets de loi C-26 et C-27 déposés en juin 2022.
Maintenant que nous avons établi la valeur de la cyberassurance, penchons-nous sur les trois étapes qui vous aideront à renouveler votre contrat d’assurance et vous permettront de réduire vos coûts.
Étape 1 : Mettez en place des pratiques optimales en matière de cybersécurité
Généralement, les assureurs veulent faire affaire avec des organisations qui appliquent des pratiques de cybersécurité robustes. Notre liste de vérification sur la cyberhygiène en 11 points peut d’ailleurs vous donner une bonne idée des pratiques que recherchent les sociétés d’assurance. Par exemple :
- Authentification multifacteur pour tous les utilisateurs
- Logiciel de détection et de gestion des incidents pour protéger les terminaux
- Surveillance de la sécurité du réseau
- Formation régulière en matière de cybersécurité comprenant la simulation d’attaques
- Modification et complexité obligatoires des mots de passe
- Politiques précisant la manière et le moment de la mise à jour des logiciels et du matériel informatique
- Accès restreint aux droits d’administrateur système
- Cartographie de données illustrant avec exactitude toute l’information à disposition
- Politique de conservation des données
- Sauvegarde des données hors site
- Programme visant la protection des renseignements personnels
La plupart de ces mesures sont peu coûteuses, particulièrement pour les petites et moyennes entreprises. En 2020, un fournisseur de cyberassurance de premier plan a examiné plusieurs sources de données, notamment les réclamations des plus de 25 000 entreprises canadiennes et américaines qu’il assurait, et a conclu que des mesures gratuites ou à faible coût comme l’authentification multifacteur et la sauvegarde régulière de données à l’extérieur du réseau auraient pu prévenir la plupart des pertes subies par ces organisations. Plusieurs assureurs refusent de renouveler le contrat des organisations qui ne possèdent pas de protocoles de cybersécurité de base.
Étape 2 : Prenez les choses en main
De nombreuses organisations arrivent à composer avec les turbulences du marché en assumant une partie du risque, que ce soit en augmentant leur franchise, en acceptant des limites plus basses ou des sous-limites dans leur police d’assurance, ou encore en choisissant une franchise autoassurée (c’est-à-dire payer un montant préétabli avant que leur police entre en vigueur). Les entreprises qui adoptent cette approche peuvent se procurer une couverture pour les cyberincidents catastrophiques, tout en assumant elles-mêmes les coûts éventuels d’incidents plus mineurs.
Pour réaliser de réelles économies, assurez-vous de mettre en œuvre les pratiques de cyberhygiène mentionnées à la première étape, faute de quoi vous serez particulièrement vulnérable à des incidents coûteux, sans bénéficier de la protection adéquate. Une bonne stratégie consiste à investir dans l’amélioration de vos pratiques de cybersécurité toute somme épargnée grâce à des primes réduites.
Si vous souhaitez augmenter votre franchise ou votre franchise autoassurée, discutez-en avec votre courtier d’assurances.
Étape 3 : Remplissez votre demande attentivement
Le renouvellement de votre contrat pourrait se faire différemment cette année; vous pourriez notamment recevoir de votre courtier un nouveau formulaire de demande plus long à remplir, ou votre assureur pourrait vous poser davantage de questions. Il se pourrait également qu’un tiers spécialisé en sécurité et recruté par votre société d’assurance vous pose des questions supplémentaires ou effectue une évaluation externe afin de déterminer votre état de préparation, votre résilience et les besoins en gestion des risques associés aux cybermenaces qui guettent votre organisation.
L’examen de votre demande et tous les renseignements recueillis par votre compagnie d’assurance détermineront l’étendue de votre couverture et le montant de vos primes. Ce processus pourrait prendre de trois à six mois.
Investissez le temps et les ressources nécessaires pour satisfaire aux exigences de votre courtier et de votre assureur. Faites appel aux bonnes personnes pour obtenir les meilleures réponses possible. Veillez également à garder la trace de vos contrôles diligents en cybersécurité : organisez vos propres vérifications indépendantes, fournissez des preuves que vous suivez des recommandations crédibles et soyez toujours prêts à présenter vos plans et politiques en matière de cybersécurité au besoin.
Le marché de la cyberassurance se faisant de plus en plus difficile, la responsabilité incombe aux organisations de démontrer qu’elles méritent d’être couvertes. Si, après avoir suivi les étapes présentées dans cet article, vous ne trouvez toujours pas de police d’assurance qui vous convienne, nous espérons que vous aurez tout de même acquis une meilleure compréhension de vos besoins et serez rassurés que vous avez pris les mesures qui s’imposent pour vous protéger.
Vous devez bientôt renouveler votre contrat de cyberassurance? N’hésitez pas à communiquer avec nos spécialistes Eric et Neda pour obtenir de l’aide; ils pourront notamment vous aider à rédiger votre plan d’intervention en cas d’incident, à satisfaire aux exigences de votre liste de vérification en matière de cyberhygiène et à comprendre les risques précis que court votre organisation au chapitre de la cyberassurance.