Démystifier les assurances cyberrisques

Publié le 09/11/2021 à 10:00

Démystifier les assurances cyberrisques

Publié le 09/11/2021 à 10:00

Par Philippe Jean Poirier

Alain Tardif, conseiller principal en stratégie, en marketing et en offres aux entreprises chez Desjardins Assurances. (Photo: courtoisie)

SPÉCIAL PME. Environ un dirigeant de PME canadienne sur quatre (24 %) a affirmé cet été être couvert par une assurance contre les cyberrisques, 64 % ont répondu que non et 12 %… ne le savaient pas. C’est le portrait ombragé qui ressort d’un sondage Léger du Bureau d’assurance du Canada (BAC) effectué auprès 300 dirigeants de PME. Introduction à un produit d’assurance qui demeure nébuleux pour plusieurs entrepreneurs.

Jean-Philippe Racine, président fondateur du Groupe CyberSwat, donne depuis cinq ans une formation sur l’assurance cyberrisques aux courtiers membres du Regroupement des cabinets de courtage d’assurance du Québec. Toutefois, selon lui, ce type d’assurance est encore loin d’être arrivé à maturité. « Les définitions des produits ne sont pas normalisées comme le sont celles des secteurs de l’assurance automobile ou habitation, note-t-il. Une entreprise victime d’une attaque par rançongiciel peut penser que sa police couvre le paiement d’une rançon, alors que, dans les faits, elle ne couvre que les frais de “retour à la normale”. »

Avant de contracter une assurance cyberrisques, l’expert en cybersécurité conseille donc aux entrepreneurs de s’informer sur la nature et la portée de chaque catégorie d’indemnisation prévues à leur contrat. Plusieurs types de frais sont potentiellement remboursables. En effet, se relever d’un cyberincident nécessite souvent de recourir à un large éventail d’expertises, provenant de firmes en cybersécurité (pour colmater une brèche ou des mesurer les dégâts), en technologies de l’information (pour relancer des systèmes), en communication (pour notifier des gens dont les données ont été compromises) et de cabinet d’avocats (pour être conseillé durant une négociation avec des rançonneurs).

Ainsi, la facture en ressources externes peut grimper très vite. Et c’est sans compter les frais liés aux pertes d’exploitation de l’entreprise. Dans le sondage du BAC évoqué plus haut, 41 % des PME ayant été victimes d’une cyberattaque disent avoir subi des dommages s’élevant à 100 000 $ et plus.

 

Choisir entre police standard et monoligne

Les PME qui désirent se protéger contre les cyberrisques ont deux choix : prendre un avenant à cet effet dans leur police d’assurance standard, si celui-ci est offert par leur assureur ou souscrire à une police monoligne (stand alone, en anglais) conçue exclusivement pour couvrir les cyberrisques. Parmi les PME sondées par le BAC, 22 % affirment avoir un avenant et 15 % une assurance monoligne.

Conscients de ce nouveau genre de risque, certains assureurs généralistes offrent désormais une protection complémentaire à l’intérieur de leur contrat d’assurance commerciale standard. C’est le cas de Desjardins Assurances, dont la « garantie optionnelle » se décline en deux volets : la compromission de données et l’attaque informatique. « Notre protection a été conçue pour répondre aux besoins des PME présentes dans certains secteurs d’activités précis, notamment l’immobilier, les services professionnels, le commerce de détail », énumère Alain Tardif, conseiller principal en stratégie, en marketing et en offres aux entreprises chez Desjardins Assurances.

Plutôt abordable — les primes annuelles vont de 100 $ à 500 $, selon la couverture choisie —, l’assurance cyberrisques de Desjardins a cependant un plafond de réclamation globale limité à 350 000 $. L’assureur ne pose « aucune question » d’admissibilité pour le volet attaque informatique et « de trois à quatre questions » pour les couvertures les plus complètes du volet de la compromission des données, ajoute Alain Tardif.

L’autre choix des PME est de souscrire à une police dite « monoligne ». Ce type de produit a l’avantage d’offrir une gamme de couvertures très élevées, soit d’un à plusieurs millions de dollars (M$), mais celles-ci s’accompagnent d’une facture conséquente. La prime annuelle peut effectivement s’élever à plusieurs milliers de dollars, selon la nature de l’entreprise et la couverture recherchée. Et les documents sont souvent rédigés uniquement en anglais lorsque la police est offerte par des grossistes hors Québec.

Les critères d’admissibilité sont aussi généralement beaucoup plus restrictifs que ceux d’un avenant de police standard, prévient Luc Benoit, courtier en assurances dommages spécialisé en cyberrisques à Assurances Provencher Verreault. « Le formulaire de souscription compte plusieurs questions sur les mesures de cybersécurité en place dans l’entreprise. Un seul incident survenu par le passé peut suffire à rendre l’entreprise non éligible à la police. » Les prérequis de cybersécurité les plus fréquents sont l’activation de l’authentification double facteur, un programme de formation périodique des employés et l’instauration d’un système de sauvegarde de données « immuable », donc inaltérable par des cyberpirates, mentionne Luc Benoit.

 

Un marché en évolution

Les assureurs canadiens sont loin de faire de l’argent avec ce genre de produits. Ils versent actuellement plus d’indemnités en cyberresponsabilité qu’ils ne perçoivent de primes pour cette protection : 106,6 M$ contre 94,15 M$ au deuxième trimestre de 2021, selon les données du Bureau du surintendant des institutions financières.

« Les assureurs n’avaient pas anticipé une telle hausse des piratages informatiques dans leurs modèles actuariels », explique Jean-Philippe Racine. L’expert en cybersécurité constate que les assureurs ont déjà commencé à augmenter leurs primes et à resserrer les critères d’admissibilité de leurs polices.

À la une

Nvidia dévoile une «superpuce» beaucoup plus performante

Mis à jour le 18/03/2024 | AFP

«Je voudrais vous présenter une très, très grande GPU.»

Bourse: Nvidia a pulvérisé les attentes, mais quelle sera la suite?

23/02/2024 | Denis Lalonde

BALADO. Après un gain d'environ 240% sur un an, est-il trop tard pour investir dans le titre de Nvidia?

Apple en discussion pour adopter l'IA de Google dans ses iPhone

18/03/2024 | AFP

Apple pourrait intégrer le système d'intelligence artificielle interactive Gemini AI sur ses appareils.