À l’heure des attaques de WannaCry et NotPetya, la cybersécurité redevient un sujet de l’heure. Des inquiétudes se posent quant aux solutions que propose l’industrie aux entreprises. Sont-elles suffisantes ? Possiblement pas, répondent des experts de tout acabit.
Deux courtières en assurance de dommages, Anne Martel, coprésidente du cabinet Martel & Martel, et Suzanne Brisebois, directrice, responsabilité professionnelle et courtier en assurance de dommages des entreprises, chez Lussier Dale Parizeau, disent douter que les produits d’assurance auxquels souscrivent les entreprises canadiennes les protègent suffisamment. Plusieurs facteurs l’expliquent, ajoutent-elles.
D’abord, les chefs d’entreprise accusent un manque important d’information ou d’intérêt envers la cybersécurité. « Tout propriétaire, président, PDG et haut cadre doit être à l’affut de cette problématique. Ces personnes détiennent toutefois très peu d’information ou n’ont pas d’intérêt face aux menaces qui les guettent. On commence tout juste à en parler. Les personnes concernées trouvent que c’est loin d’eux et qu’elles ne seront pas réellement touchées. Le courtier d’assurance doit leur en parler. C’est pour cette raison que nous ajoutons cette protection contre les cyberrisques à toutes nos polices pour les entreprises », explique Anne Martel.
Données de grande valeur
Mme Brisebois relève un autre enjeu majeur qui se pose devant le manque d’information que détiennent les chefs d’entreprises : la valeur de leurs données. « L’intangibilité des données fait en sorte que les entrepreneurs n’ont pas tendance à les comptabiliser comme un actif. Elles ont pourtant une grande valeur. »
Elle estime qu’il coute 150 $ en temps pour refaire un seul dossier complet de données. C’est pour cette raison que Mme Brisebois suggère que les entreprises évaluent la valeur de toutes leurs données et l’incluent dans leur bilan financier.
De plus, Mme Brisebois relate qu’elle s’est parfois butée à des départements de technologie de l’information qui sont réticents à donner l’accès aux systèmes de sécurité informatique de l’entreprise pour faciliter la souscription. « Certains départements informatiques d’entreprises offrent une grande résistance parce qu’ils veulent garder leur budget pour se protéger eux-mêmes, plutôt qu’une partie soit prise pour se procurer un produit d’assurance. Ils voient l’assurance comme une dépense et non pas comme un investissement dans la sécurité. »
Les couts complexes et le long processus de souscription, au cours duquel les souscripteurs doivent poser beaucoup de questions et reçoivent l’aide d’un spécialiste qui analyse les infrastructures informatiques, sont souvent des obstacles à une protection adéquate. Il peut être difficile pour un courtier novice de naviguer à travers le caractère technique du produit, du langage précis et des exclusions différentes d’un assureur à l’autre.
« Le cyber, c’est nouveau. Certains courtiers ne sont pas nécessairement à l’aise puisque ça implique une proposition volumineuse. Il faut beaucoup d’informations pour bien tarifer la police. Aussi, les polices sont tellement différentes d’un assureur à l’autre qu’il peut être difficile de faire la comparaison entre deux pour voir laquelle est meilleure. » (NDLR : dans le jargon de l’assurance, le terme cyber est de plus en plus utilisé pour référer au produit de cyberrisque.)
Ce ne sont pas la mesure des aspects habituels de la tarification — soit des actifs, de la portée des clients, des fournisseurs, des partenaires d’affaires, entre autres — qui s’avère être la tâche la plus ardue dans le processus, mais plutôt de définir la limite de protection qui pose problème pour les compagnies d’assurance, explique Mme Brisebois. « L’historique de pertes est incomplet en raison de la nouveauté du produit. Il est difficile d’établir les limites de protection. »
Limites largement inadéquates
Anne Martel évalue qu’une limite adéquate pour une entreprise d’envergure au Québec se situe dans les centaines de millions de dollars. Actuellement, les limites offertes par les assureurs canadiens tournent généralement autour de 25 000 $ à 50 000 $.
« Ces montants couvriraient à peine les pertes d’exploitation d’une entreprise québécoise plus ou moins importante. En 2017, nous sommes à l’aube d’un besoin criant. Les produits à notre disposition sont largement inadéquats ! On nous a dit il y a deux ans que les garanties allaient être améliorées. Ce n’est pas arrivé. Le risque est présent », se désole-t-elle.
Jean-François Gagnon, avocat associé chez Langlois Avocats, donne son point de vue juridique sur la question. Il souligne que les limites d’assurance sont un choix d’entreprise. « Il faut penser à la prime et à la capacité du marché. Ça ajoute une certaine complexité au produit. »
La réponse des assureurs
Pour répondre à cette demande, Intact Assurance offre à ses clients l’option de rehausser les limites selon leurs besoins spécifiques, souligne Maude Savard-Kokinski, conseillère principale, communications externes, chez l’assureur. Cette option reflète bien l’évolution constante nécessaire du produit, dit-elle.
« Tous les jours, de nouveaux virus et potentielles failles font leur apparition. En règle générale, les produits de base ne suffisent pas à protéger complètement la majorité des entreprises. Nous observons de plus en plus d’attaques qui ne visent pas le vol des données ou l’atteinte à la confidentialité, mais plutôt la paralysie des opérations des entreprises. Ce genre de pertes demande une couverture plus spécialisée. »
Toutefois, bien que le type d’attaque change constamment, les résultats sont souvent les mêmes, nuance Patrick Cruikshank, directeur, responsabilité professionnelle chez Northbridge. « Le cyber évolue rapidement. Les changements de comportements envers la technologie et son adoption qui continue de croitre mettront une certaine pression pour que les produits contre les cyberrisques évoluent aussi. Il faut faire attention de ne pas se faire prendre par les tendances et les tactiques. Il faut garder à l’œil le résultat des attaques, pas les moyens utilisés. »
Un marché largement sous-exploité
Sur le marché mondial, le produit de cybersécurité existe depuis qu’Internet s’est démocratisé il y a plus de 15 ans, affirme Suzanne Brisebois, de Lussier Dale Parizeau. Par contre, au Canada, la protection n’a que quelques années. Le marché y est très peu exploité, dit-elle.
Pour protéger les entreprises, les assureurs ont deux approches : la police monoligne, ou par avenant à une police commerciale ou responsabilité professionnelle, selon les besoins du client. La première couvre tous les cyberrisques que ce soit l’extorsion, les menaces, la sécurité des réseaux, notamment.
« On voit surtout la police monoligne chez les plus grandes entreprises, où les données sont importantes ou qui détiennent un site transactionnel. À ce moment, elles sont intéressées à se procurer un produit plus complet », explique Mme Brisebois.
Les plus petites entreprises, quant à elles, nécessitent plus souvent un avenant à une police d’assurance entreprise ou responsabilité professionnelle, qui ne couvre pas tout, mais protège les besoins de base. « On voit de nouveaux entrants sur le marché. La plupart des compagnies d’assurance offrent ou préparent un produit contre les cyberrisques. Tout le monde se lance dans le marché parce que c’est un produit à la mode, mais peu d’assureurs canadiens se spécialisent réellement dans le cyber », analyse Mme Brisebois.
Revenir à l’essence de l’assurance
Anne Martel, de Martel & Martel, avance que pour bien couvrir les risques, il faut revenir à l’essence même de l’assurance. « Nous sommes au début d’une nouvelle ère. Le produit cyber demande de revenir à la base de l’assurance, et de bâtir de nouveaux produits qui n’existent pas. Ils ont d’ailleurs eux-mêmes de la difficulté à évaluer le risque financier tant c’est nouveau. On a un produit, il va évoluer au fil du temps, comme tous les autres produits d’assurance. »
Me Jean-François Gagnon, de Langlois Avocats, abonde dans le même sens. « Au Canada et au Québec, il s’agit d’un marché émergent et qui n’est clairement pas à maturité. Les produits ne sont pas encore homogènes, le Bureau d’assurance du Canada (BAC) n’a d’ailleurs pas de modèle de formulaire disponible. Il y a beaucoup de divergences dans les garanties offertes. »
Les assureurs les plus actifs dans le marché sont Allianz, Liberty, Travelers, ainsi que les Américains AIG et Chubb, note Suzanne Brisebois. Elle calcule que le marché canadien de l’assurance cybersécurité accuse un retard entre cinq à dix ans par rapport à celui des États-Unis.
« Il y a plusieurs cabinets de courtage qui font énormément de polices cyber, tandis qu’ici on compte certains spécialistes. Il faut dire que nos voisins du Sud sont particulièrement sensibles aux poursuites et recours collectifs », ajoute-t-elle.