Skip to main content

Les cyberrisques silencieux: Connaître les limites de votre couverture contre les cyberrisques

La fréquence et la gravité des cyberattaques sont en hausse, ce qui fait de l’assurance cyberrisques un élément essentiel de l’approche des entreprises en matière de cyberrésilience. Pourtant, les idées fausses concernant la couverture contre les cyberrisques sont répandues, ce qui pourrait priver certaines organisations de la couverture qu’elles croient avoir.

L’évolution numérique rapide qui prévalait avant 2020 a été considérablement accélérée par la pandémie de la COVID-19. La dépendance accrue au télétravail et au commerce en ligne a accentué l’exposition des entreprises aux cyberrisques, ainsi que l’empressement des criminels à en tirer parti. En effet, on a estimé à 945 milliards de dollars le coût total de la cybercriminalité à l’échelle mondiale en 2020, soit près du double des 500 milliards de dollars enregistrés en 2018.[1]

Récemment, les attaques de rançongiciels ont fait la une des journaux. Les coûts opérationnels associés aux rançongiciels devraient atteindre 20 milliards de dollars cette année, alors que les assureurs des cyberrisques ont signalé un bond de 336 % du nombre de réclamations de 2019 à 2020.[2]

Toutefois, malgré ce risque croissant, de nombreuses organisations ne souscrivent toujours pas d’assurance cyberrisques autonome. Ils se fient plutôt aux protections d’assurance des biens et risques divers classiques, dont certaines peuvent ne pas accorder expressément une protection contre les cyberrisques ou peuvent même les exclure. En cas de sinistre, cette assurance contre les cyberrisques silencieux pourrait ne pas régler la réclamation. De nombreux risques particuliers peuvent ne pas être couverts, ce qui donne lieu à des différends entre l’assuré et l’assureur.

 

L’impact des attaques de rançongiciels

Selon un récent rapport du Government Accountability Office des États-Unis, le taux de souscription à une assurance cyberrisques est passé de 26 % en 2016 à 47 % en 2020.[3] Malgré cette croissance, plus de la moitié des acheteurs d’assurance n’intègrent toujours pas d’assurance cyberrisques autonome dans leur programme de gestion des risques.

Pour de nombreuses organisations, la menace croissante que posent les rançongiciels et les actualités qu’elle génère justifient qu’elles envisagent enfin une assurance cyberrisques autonome. Auparavant, bon nombre d’entre elles croyaient peut-être à tort que la nature de leur entreprise ou leur taille les mettait à l’abri des cyberattaques parce qu’elles ne manipulaient pas de renseignements personnels ou de données sur les cartes de crédit de leurs clients, par exemple, ou parce qu’elles avaient l’impression que les auteurs de menaces penseraient qu’elles étaient trop petites et ne méritaient pas qu’on s’y intéresse.

Maintenant, les attaques de rançongiciels montrent clairement que ces entreprises pourraient faire face à d’autres risques très réels : la menace d’une interruption des activités, la perte de clients, des atteintes à la réputation et plus encore. Les entreprises ne peuvent plus s’appuyer sur la présomption qu’elles sont assurées contre les cyberattaques simplement parce que ces derniers ne sont pas expressément exclus dans un contrat d’assurance des biens et risques divers.

 

Activités risquées, mauvaise stratégie

S’en remettre à une couverture contre les cyberrisques silencieux peut non seulement être risqué, mais se révéler être une stratégie fondamentalement erronée. De nombreux assureurs sont préoccupés par la concentration des cyberrisques dans des secteurs d’assurance qui ne sont pas conçus pour y faire face. Parallèlement, ils font l’objet de pressions de la part des organismes de réglementation et de notation pour s’attaquer à la question des cyberrisques silencieux.

En réponse à cette situation, et à mesure que la fréquence et la gravité des cyberattaques s’accentuent, il est de plus en plus fréquent que les assureurs excluent expressément la couverture numérique des polices d’assurance des biens et risques divers classiques. Dans ce cas, les cyberrisques silencieux pourraient simplement cesser d’exister lors du prochain ou des deux prochains renouvellements d’assurance.

 

Réflexion sur l’assurance autonome

L’assurance cyberrisques ne couvre peut-être pas tous les risques associés aux cyberattaques, mais elle en couvrira plusieurs.

Par conséquent, pour passer des cyberrisques silencieux à une protection autonome, il est important de réfléchir à la façon dont cette protection s’inscrit dans le programme d’assurance plus large de l’organisation et dans son effort de gestion des risques.

Dans le cas des petites organisations qui ne disposent pas d’un budget important pour la cybersécurité, travailler avec un courtier et un assureur des cyberrisques peut donner accès à une expertise, à la capacité de comparer les efforts en matière de cybersécurité et à des fournisseurs qui peuvent les aider à atténuer les cyberrisques ou à réagir à une attaque.

Au Canada et aux États-Unis, le libellé des contrats d’assurance cyberrisques tend à différer d’un assureur à l’autre. L’acheteur devrait donc travailler avec un courtier en assurance cyberrisques compétent qui peut les aider à veiller à ce que l’assurance qu’ils souscrivent couvre les risques qu’ils avaient l’intention d’assurer.

Le marché tendu actuel de l’assurance concerne également le marché des assurances cyberrisques autonomes. De nombreux gestionnaires de risques voudront peut-être entreprendre une étude de quantification des risques avant d’effectuer leur achat afin de déterminer les montants de garantie qui conviennent à l’approche globale de l’organisation à l’égard du coût total du risque.

 

Entrée dans la boucle des cyberrisques

Face à la croissance et à l’évolution des cyberrisques, l’assurance cyberrisques est devenue un élément que les entreprises doivent prendre en considération de la même manière qu’elles pensent à souscrire une assurance des biens et risques divers pour protéger leur activité. De plus, les cybermenaces doivent retenir l’attention de la direction, voire du conseil d’administration, alors que l’organisation cherche à adopter une approche coordonnée pour gérer les cyberrisques parmi les diverses parties prenantes.

Ce regard sur l’ensemble de l’organisation implique d’évaluer les risques, de déterminer la menace qui pèse sur le bilan de l’entreprise, puis de décider de la meilleure façon de faire face à l’exposition aux cyberrisques en atténuant et en transférant les risques.

L’assurance cyberrisques n’est toutefois qu’une partie de la solution pour contrer les cybermenaces. En fait, la gestion efficace des cyberrisques n’est pas un processus linéaire, mais plutôt circulaire. De fait, les organisations qui font les choses correctement entrent dans une boucle de cybersécurité continue.

La boucle des cyberrisques comprend quatre étapes : l’évaluation, la quantification, l’assurance et la préparation aux interventions en cas d’incident lié aux cyberrisques. De nombreuses organisations entrent en jeu à l’étape de l’intervention en cas d’incident, après avoir subi une attaque. Cependant, peu importe à quelle étape une organisation entre dans la boucle, le fait de la respecter aide l’organisation à s’adapter à la nature changeante de la menace et à obtenir les meilleurs résultats.

 

Renforcement de la cyberrésilience

Les cyberattaques ne cessant de se multiplier et d’évoluer, il est essentiel que les gestionnaires de risques, les directeurs de la sécurité de l’information et les directeurs principaux de l’information travaillent en étroite collaboration avec leurs courtiers pour élaborer un programme de cybersécurité bien équilibré fondé sur la boucle des cyberrisques, tout en réduisant leur dépendance à l’égard des cyberrisques silencieux.

Ce faisant, ils doivent porter leurs efforts à l’attention des cadres supérieurs et du conseil d’administration afin d’en faire une priorité à l’échelle de l’organisation qui s’attaquera aux cyberrisques par-delà les cloisonnements. Les organisations qui le feront seront les mieux placées pour assurer leur cyberrésilience.


[1] The Hidden Costs of Cybercrime, McAfee; The Cybersecurity 202 : Global losses from cybercrime rocketed to nearly $1 trillion in 2020, Washington Post (en anglais)

[2] Rapport 2021 d’Aon sur les cyberrisques

[3] Cyber Insurance : Insurers and Policyholders Face Challenges in an Evolving Market, U.S. Government Accountability Office (en anglais)


Le présent article a été préparé à des fins d’information seulement et provient de sources jugées fiables. Toutefois, Aon n’en garantit pas l’exactitude, l’exhaustivité, la pertinence, ni la convenance pour toute fin que ce soit ni pour toute partie de l’article, et n’assume aucune responsabilité pour toute perte subie de quelque façon que ce soit par toute personne qui s’y fie. Avant de prendre une décision en fonction des renseignements contenus dans le présent article, il est recommandé de consulter un conseiller professionnel afin d’obtenir un examen approfondi de la situation. Dans tous les cas, tout destinataire du présent article est entièrement responsable de l’utilisation qu’il en fait.

Les renseignements contenus dans cet article ont été compilés à partir des renseignements dont nous disposions le 1er juin 2021.

À propos d’Aon : Aon plc (NYSE : AON) est le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés de 120 pays génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.

Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.

© Aon plc., 2021. Tous droits réservés.