Les cyberrisques silencieux: Connaître les limites de votre couverture contre les cyberrisques

La fréquence et la gravité des cyberattaques sont en hausse, ce qui fait de l’assurance cyberrisques un élément essentiel de l’approche des entreprises en matière de cyberrésilience. Pourtant, les idées fausses concernant la couverture contre les cyberrisques sont répandues, ce qui pourrait priver certaines organisations de la couverture qu’elles croient avoir.

L’évolution numérique rapide qui prévalait avant 2020 a été considérablement accélérée par la pandémie de la COVID-19. Le recours accru au travail à distance et aux activités en ligne se poursuit et augmente l’exposition des entreprises aux cyberrisques, ainsi que la propension des criminels à en profiter. En outre, les organisations sont en train d’évoluer vers le numérique. L’utilisation accrue des technologies intelligentes continuera à offrir aux acteurs de la menace des possibilités supplémentaires. En effet, le coût annuel de la cybercriminalité au niveau mondial pourrait atteindre 10 500 milliards $ d’ici 2025, contre 3 000 milliards $ en 2015.^[1]

Récemment, les attaques par rançongiciels ont fait la une des journaux, les cyberattaques ayant connu une augmentation de 400 % de leur fréquence, du début de 2018 à la fin de 2020.^[2]

Toutefois, malgré ce risque croissant, de nombreuses organisations ne souscrivent toujours pas d’assurance cyberrisques autonome. Ils se fient plutôt aux protections d’assurance des biens et risques divers classiques, dont certaines peuvent ne pas accorder expressément une protection contre les cyberrisques ou peuvent même les exclure. En cas de sinistre, cette assurance contre les cyberrisques silencieux pourrait ne pas régler la réclamation. De nombreux risques particuliers peuvent ne pas être couverts, ce qui donne lieu à des différends entre l’assuré et l’assureur.

L’impact des attaques de rançongiciels

Selon un récent rapport du Government Accountability Office des États-Unis, le taux de souscription à une assurance cyberrisques est passé de 26 % en 2016 à 47 % en 2020.^[3] Malgré cette croissance, plus de la moitié des acheteurs d’assurance n’intègrent toujours pas d’assurance cyberrisques autonome dans leur programme de gestion des risques.

Pour de nombreuses organisations, la menace croissante que posent les rançongiciels et les actualités qu’elle génère justifient qu’elles envisagent enfin une assurance cyberrisques autonome. Auparavant, bon nombre d’entre elles croyaient peut-être à tort que la nature de leur entreprise ou leur taille les mettait à l’abri des cyberattaques parce qu’elles ne manipulaient pas de renseignements personnels ou de données sur les cartes de crédit de leurs clients, par exemple, ou parce qu’elles avaient l’impression que les auteurs de menaces penseraient qu’elles étaient trop petites et ne méritaient pas qu’on s’y intéresse.

Maintenant, les attaques de rançongiciels montrent clairement que ces entreprises pourraient faire face à d’autres risques très réels : la menace d’une interruption des activités, la perte de clients, des atteintes à la réputation et plus encore. Les entreprises ne peuvent plus s’appuyer sur la présomption qu’elles sont assurées contre les cyberattaques simplement parce que ces derniers ne sont pas expressément exclus dans un contrat d’assurance des biens et risques divers.

Activités risquées, mauvaise stratégie

S’en remettre à une couverture contre les cyberrisques silencieux peut non seulement être risqué, mais se révéler être une stratégie fondamentalement erronée. De nombreux assureurs sont préoccupés par la concentration des cyberrisques dans des secteurs d’assurance qui ne sont pas conçus pour y faire face. Parallèlement, ils font l’objet de pressions de la part des organismes de réglementation et de notation pour s’attaquer à la question des cyberrisques silencieux.

En réponse à cette situation, et à mesure que la fréquence et la gravité des cyberattaques s’accentuent, il est de plus en plus fréquent que les assureurs excluent expressément la couverture numérique des polices d’assurance des biens et risques divers classiques. Dans ce cas, les cyberrisques silencieux pourraient simplement cesser d’exister lors du prochain ou des deux prochains renouvellements d’assurance.

Réflexion sur l’assurance autonome

L’assurance cyberrisques ne couvre peut-être pas tous les risques associés aux cyberattaques, mais elle en couvrira plusieurs. Dans le cas des petites organisations qui ne disposent pas d’un budget important pour la cybersécurité, travailler avec un courtier et un assureur des cyberrisques peut donner accès à une expertise, à la capacité de comparer les efforts en matière de cybersécurité et à des fournisseurs qui peuvent les aider à atténuer les cyberrisques ou à réagir à une attaque.

Pour passer des cyberrisques silencieux à une protection autonome, il est important de réfléchir à la façon dont cette protection s’inscrit dans le programme d’assurance plus large de l’organisation et dans son effort de gestion des risques.

Au Canada et aux États-Unis, le libellé des contrats d’assurance cyberrisques tend à différer d’un assureur à l’autre. L’acheteur devrait donc travailler avec un courtier en assurance cyberrisques compétent qui peut les aider à veiller à ce que l’assurance qu’ils souscrivent couvre les risques qu’ils avaient l’intention d’assurer.

Le marché tendu actuel de l’assurance concerne également le marché des assurances cyberrisques autonomes. De nombreux gestionnaires de risques voudront peut-être entreprendre une étude de quantification des risques avant d’effectuer leur achat afin de déterminer les montants de garantie qui conviennent à l’approche globale de l’organisation à l’égard du coût total du risque.

Entrée dans la boucle des cyberrisques

Face à la croissance et à l’évolution des cyberrisques, l’assurance cyberrisques est devenue un élément que les entreprises doivent prendre en considération de la même manière qu’elles pensent à souscrire une assurance des biens et risques divers pour protéger leur activité. De plus, les cybermenaces doivent retenir l’attention de la direction, voire du conseil d’administration, alors que l’organisation cherche à adopter une approche coordonnée pour gérer les cyberrisques parmi les diverses parties prenantes.

Ce regard sur l’ensemble de l’organisation implique d’évaluer les risques, de déterminer la menace qui pèse sur le bilan de l’entreprise, puis de décider de la meilleure façon de faire face à l’exposition aux cyberrisques en atténuant et en transférant les risques.

L’assurance cyberrisques n’est toutefois qu’une partie de la solution pour contrer les cybermenaces. En fait, la gestion efficace des cyberrisques n’est pas un processus linéaire, mais plutôt circulaire. De fait, les organisations qui font les choses correctement entrent dans une boucle de cybersécurité continue.

De nombreuses organisations entrent en jeu à l’étape de l’intervention en cas d’incident, après avoir subi une attaque.

Cependant, peu importe à quelle étape une organisation entre dans la boucle, le fait de la respecter aide l’organisation à s’adapter à la nature changeante de la menace et à obtenir les meilleurs résultats.

Renforcement de la cyberrésilience

Les cyberattaques ne cessant de se multiplier et d’évoluer, il est essentiel que les gestionnaires de risques, les directeurs de la sécurité de l’information et les directeurs principaux de l’information travaillent en étroite collaboration avec leurs courtiers pour élaborer un programme de cybersécurité bien équilibré fondé sur la boucle des cyberrisques, tout en réduisant leur dépendance à l’égard des cyberrisques silencieux.

Ce faisant, ils doivent porter leurs efforts à l’attention des cadres supérieurs et du conseil d’administration afin d’en faire une priorité à l’échelle de l’organisation qui s’attaquera aux cyberrisques par-delà les cloisonnements. Les organisations qui le feront seront les mieux placées pour assurer leur cyberrésilience.

^{[1] Cybercrime To Cost the World $10.5 Trillion Annually by 2025 (en anglais)}

^{[2] Rapport 2021 d’Aon sur les cyberrisques}

^{[3] Cyber Insurance : Insurers and Policyholders Face Challenges in an Evolving Market, U.S. Government Accountability Office (en anglais)}

^{Le présent article a été préparé à des fins d’information seulement et provient de sources jugées fiables. Toutefois, Aon n’en garantit pas l’exactitude, l’exhaustivité, la pertinence, ni la convenance pour toute fin que ce soit ni pour toute partie de l’article, et n’assume aucune responsabilité pour toute perte subie de quelque façon que ce soit par toute personne qui s’y fie. Avant de prendre une décision en fonction des renseignements contenus dans le présent article, il est recommandé de consulter un conseiller professionnel afin d’obtenir un examen approfondi de la situation. Dans tous les cas, tout destinataire du présent article est entièrement responsable de l’utilisation qu’il en fait.}

^{Les renseignements contenus dans cet article ont été compilés à partir des renseignements dont nous disposions le 1er juin 2021.}

^{À propos d’Aon : Aon plc (NYSE : AON) est le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés de 120 pays génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.}

^{Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.}

Les cyberrisques silencieux: Connaître les limites de votre couverture contre les cyberrisques

L’impact des attaques de rançongiciels

Activités risquées, mauvaise stratégie

Réflexion sur l’assurance autonome

Entrée dans la boucle des cyberrisques

Renforcement de la cyberrésilience

Votre effectif est-il résilient ou fatigué?

La cybercriminalité se concentre encore sur l’art de pirater les humains

Résilience de l’Internet des objets. La sécurité repose entre vos mains

Sites de rencontre pour les élites. Face au risque

Adopter l’approche Zero Trust. Voir grand, commencer petit, agir vite

Quel est le coût total des cyberrisques?

La cybersécurité, ça dépend de vous

Suivez ces étapes essentielles pour survivre au jeu des mots de passe

Utilisez ces conseils pour renforcer votre rôle en tant que première ligne de la cyberdéfense

Cibler la famille à la recherche de personnes fortunées

Hypertrucage et cyberespionnage : Est-ce vraiment votre patron au téléphone?

Dix mesures essentielles à mettre en œuvre pour prévenir et détecter les menaces liées aux rançongiciels

Examen du marché de l’assurance responsabilité professionnelle et cyberrisques | Mi-année 2022

Élaborez une évaluation des risques stratégiques pour comprendre et gérer les risques émergents

Quatre étapes pour contribuer à réduire la volatilité du marché de l’assurance des biens

Atténuer les risques liés à la chaîne d’approvisionnement grâce à l’assurance contre les perturbations commerciales

Favoriser l’inclusion : comment la conception des programmes d’avantages sociaux peut unifier une main-d’œuvre diversifiée

Renforcer la résilience de la main-d’œuvre est le résultat d’investissements dans la santé et le bien-être des employés

Pourquoi prendre soin de la collectivité est l’affaire de tous.

Deux étapes essentielles pour améliorer les résultats de la tarification ESG