En l’absence d’un cyberformulaire standard, utilisez ces conseils en matière de couverture sur un marché en pleine évolution
Les cyberattaques continuent de susciter tant d’inquiétude dans les entreprises du monde entier que les directeurs d’entreprise les classent au premier rang des risques auxquels ils sont actuellement confrontés.[1] Avec des menaces comme les rançongiciels qui continuent de se multiplier dans le monde entier,[2] la situation de la cyberassurance reste incertaine, dans un marché qui se durcit.
À cela s’ajoutent les conditions générales incohérentes des polices de cyberassurance, qui peuvent différer d’un assureur à l’autre. Il peut être difficile de déterminer ce qui est couvert, car de nombreuses polices ne comportent pas de définitions standard.[3]
Dans le même temps, les cyberassureurs cherchent à fournir une couverture tout en s’adaptant à un environnement de risque en constante évolution, mais ils sont confrontés à leurs propres risques en raison du peu d’expérience historique en matière de dommages, par rapport à des gammes plus matures comme les biens, qui disposent de décennies de demandes d’indemnisation à analyser.[4]
Pour les acheteurs d’assurance, les incohérences entre les polices et la nature changeante du marché de la cyberassurance signifient qu’il est plus important que jamais de travailler avec un courtier qui comprend le langage des polices ainsi que les différences et les incohérences d’une cyberassurance à l’autre. Voici ce que vous devez savoir pour comprendre ce qui est couvert et comment obtenir des solutions de transfert du risque pour atténuer le cyberrisque :
Les cyber-risques évoluent rapidement
Bien que la cyberassurance existe depuis plus d’une décennie, elle n’avait pas attiré beaucoup l’attention jusqu’à tout récemment. Le taux de participation était de 47 % en 2020, comparativement à 26 % en 2016.[5]
Alors que les cybermenaces augmentaient et que les assureurs produisaient des polices pour répondre à la demande croissante, ils avaient tendance à élaborer ces dernières selon leur capacité et leur intérêt. En cours de route, diverses solutions sont apparues.
Le passage au travail à distance et la numérisation accrue de nombreuses entreprises au cours des 18 derniers mois n’ont fait qu’accentuer les risques liés au numérique. Les assureurs de cyber-risques ont signalé une hausse de 336 % du nombre de réclamations du début de 2019 jusqu’à la fin 2020. Les attaques par rançongiciels ont été importantes récemment et les coûts associés à ces attaques devraient atteindre 20 milliards de dollars cette année.[6]
Les assureurs ont pris note du nombre croissant de pertes, ce qui a amené nombre d’entre eux à augmenter les tarifs, à réduire la couverture ou à modifier les modalités des polices.
La nature de votre entreprise détermine votre couverture
Pour les entreprises qui cherchent à souscrire une cyberassurance, la nature de l’entreprise et les risques qui y sont associés auront certainement une incidence sur la couverture. Les entreprises qui cherchent à gérer l’exposition aux risques liés à l'exploitation, par exemple, devraient rechercher des polices offrant une couverture pour les interruptions d’activités liées aux réseaux et qui incluent une défaillance des systèmes, une cyberextorsion et une restauration des actifs numériques, entre autres facteurs.
Les organisations qui cherchent à couvrir les risques liés à la protection des renseignements personnels et à la sécurité des réseaux doivent s’assurer que leurs polices de cyberassurance couvrent la bonne responsabilité, sans oublier les amendes et pénalités réglementaires, ainsi que les dépenses liées à un événement d’atteinte à la protection des données comme les centres d’appels ou les services de surveillance du crédit, pour les clients dont les renseignements pourraient avoir été exposés. Une structure complète de polices de cyberassurance devrait comprendre une section spécialisée traitant à la fois du risque opérationnel et de la couverture des risques liés à la protection des renseignements personnels et à la sécurité des réseaux. Travaillez avec votre courtier pour vous assurer que vos couvertures correspondent à votre profil de risque.
Cependant, le marché actuel de la cyberassurance est en train de subir une érosion pour certains des domaines de couverture, en raison de l’expérience des assureurs en matière de réclamations ou de leur découverte que les contrôles des risques de nombreux acheteurs ne sont pas aussi rigoureux qu’ils l’auraient espéré. Certains assureurs de cyber-risques réduisent les limites ou ce qu’ils couvrent, tandis que d’autres refusent d’assurer certains risques.[7]
Connaître votre exposition aux risques
Au bout du compte, les entreprises doivent comprendre l’incidence financière potentielle d’une cyberattaque, puis chercher à obtenir une couverture qui correspond le plus possible à leur exposition et à leur appétit pour le risque. Un courtier peut aider à quantifier le risque et à atténuer les expositions; un courtier peut aussi aider les acheteurs à comprendre ce qui est couvert. Il pourra aussi les aider à déterminer ce qui déclenchera le processus de réclamation et le plan d’intervention en cas de cyberattaque.
Bien que le marché de la cyberassurance soit relativement nouveau, un courtier bien informé peut aider à cerner les assureurs possédant une vaste expérience du sujet et une grande connaissance de ce dernier. Voici certains facteurs d’exposition que les souscripteurs voudront connaître :
- Pertes d’exploitation d’entreprises dépendantes : Les assureurs examinent minutieusement l’étendue de la couverture qu’ils offrent pour les pertes d’exploitation dans toute la chaîne d’approvisionnement cybernétique.
- Exposition à des rançongiciels : À mesure que la menace augmente, certains assureurs cherchent à plafonner la couverture en cas d’événements liés à des rançongiciels, à imposer des sous-montants de garantie ou à exclure complètement le risque.
- Exposition des fournisseurs en cas d’incident : Certains assureurs font preuve de moins de souplesse dans la couverture des dépenses associées aux fournisseurs de services d’intervention en cas d’atteinte qui n’ont pas été convenues à l’avance ou dans le cas de fournisseurs qui ne figurent pas sur la liste de fournisseurs préapprouvés. Il est judicieux de toujours faire appel à des fournisseurs d’intervention en cas d’incident approuvés par l’assureur.
Comprendre ce que les assureurs veulent voir
Les assureurs recherchent les divers moyens d’atténuer les risques en matière de cybersécurité qui ont été mis en place lorsqu’ils évaluent la couverture qu’ils peuvent offrir à une entreprise, notamment :
- Authentification à facteurs multiples
- Protection et réponse des terminaux
- Formation de sensibilisation à la cybersécurité
- Bonnes pratiques de cyberhygiène
- Réseau privé virtuel (RPV) sécurisé
- Plan d’intervention en cas d’incident
- Comptes de service Active Directory
- Sauvegarde et préparation de la continuité des activités
- Filtrage des courriels
Ceux qui n’auront pas considéré ces questions pourront difficilement se procurer une cyberassurance. Si c’est votre cas, il est temps de travailler avec les fournisseurs de technologies de l’information pour atténuer les risques et mettre l’entreprise dans une position où le transfert des risques au marché de l’assurance devient envisageable. Un courtier peut faciliter ce positionnement en aidant une entreprise à élaborer un plan d’intervention en cas d’incident ou à préparer une démarche de planification avant l’incident, en collaboration avec son assureur.
Instaurer une culture de cybersécurité :
Pour aider les entreprises à obtenir une cyberassurance, il est essentiel de mettre en place une culture de cybersécurité.
Cela comprend, entre autres choses, une stratégie proactive d’atténuation des cyber-risques, un plan d’intervention en cas d’incident, une formation régulière des employés et des exercices d’intervention en cas de menace. Alors que les assureurs s’inquiètent de plus en plus des attaques de rançongiciels, les entreprises devraient également être prêtes à montrer les mesures qu’elles ont mises en place pour contrer la menace.
Les entreprises devraient être en mesure de fournir des politiques de protection de la vie privée établies et mises à jour régulièrement et de faire la preuve qu’elles sont conscientes des cyber-risques associés à des contrats conclus avec des tiers, des fournisseurs de services et des chaînes d’approvisionnement.
Enfin, à mesure que les cyber-risques évoluent, il est important de communiquer régulièrement avec les assureurs pour comprendre les modalités des polices et les exclusions pouvant découler d’autres secteurs d’assurance, comme les crimes, les biens, les risques divers et la responsabilité civile générale.
[1] Sondage mondial sur la gestion du risque 2021 (en anglais)
[2] Ransomware attempt volume sets record, ZDNet (en anglais)
[3] “Cyber Insurance: Insurers and Policyholders Face Challenges in an Evolving Market,” Government Accountability Office (en anglais)
[4] The Growth and Challenges of Cyber Insurance, Federal Reserve Bank of Chicago (en anglais)
[5] Cyber Insurance: Insurers and Policyholders Face Challenges in an Evolving Market (en anglais)
[6] Équilibrer le risque et les possibilités par de meilleures décisions
[7] Aperçu de la cyberassurance d’Aon (en anglais)
***
Le présent article a été préparé à des fins d’information seulement et provient de sources jugées fiables. Toutefois, Aon n’en garantit pas l’exactitude, l’exhaustivité, la pertinence, ni la convenance pour toute fin que ce soit, ni pour toute partie de l’article, et n’assume aucune responsabilité pour toute perte subie de quelque façon que ce soit par toute personne qui s’y fie. Avant de prendre une décision en fonction des renseignements contenus dans le présent article, il est recommandé de consulter un conseiller professionnel afin d’obtenir un examen approfondi de la situation. Dans tous les cas, tout destinataire du présent article est entièrement responsable de l’utilisation qu’il en fait.
Les renseignements contenus dans cet article ont été compilés à partir des renseignements dont nous disposions le 1er juin 2021.
À propos d’Aon : Aon plc (NYSE : AON) est le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés de 120 pays génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.
Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
© Aon plc., 2021. Tous droits réservés.