Actuellement, les cyberrisques positionnent l’industrie de l’assurance dans un brouillard opaque.
Évaluer et prévoir les couts pour bien couvrir les dommages est difficile pour les experts. Tout comme prévoir les dommages et les répercussions qu’un tel sinistre peut engendrer sur une entreprise, sur son chiffre d’affaires et sa réputation.
« Les assureurs et les courtiers doivent aviser les entreprises que dans leur police individuelle, dans bien des cas, il n’y a pas assez d’argent pour tout couvrir les dommages qu’une violation dans la base de données peut causer. Se refaire une réputation dépendamment de la taille de l’entreprise peut couter des centaines de milliers de dollars. En plus de tout ça, il faut compter les avocats pour nous défendre s’il y a des poursuites, réparer les dommages », a expliqué un lanceur d’alerte.
Bien que les assureurs soient plus clairs à l’égard de ce qu’ils couvrent et ne couvrent pas en matière de cyberrisque, il leur manque encore beaucoup de composantes pour bien évaluer et souscrire la protection qui y est associée, explique Catherine Bertheau, cheffe du développement des affaires chez Aon pour les cybersolutions, dans l’est du Canada. « La souscription est en évolution, mais il manque de viande autour de l’os », a-t-elle mentionné lors de la Journée de l’assurance de dommages 2020.
Car pour couvrir les cyberrisques, les assureurs doivent prévoir les attaques et les dégâts qu’elles occasionnent, précise Mme Bertheau. « La souscription se nourrit de données, mais il y a un déficit en matière de cyberrisques. Le manque de visibilité sur les dommages réels que causent les brèches de sécurité pour les organisations et le taux de pénétration faible rend la souscription plus complexe. »
D’ici quelques années, un taux d’adoption plus fort pour les vraies polices d’assurance cyber et une couverture claire sur les polices traditionnelles, permettra une meilleure lecture des dommages encourue en cas d’attaque systémique, croit Mme Bertheau.
Les grandes entreprises ont les moyens de faire face à une crise découlant d’une brèche de données. Ce n’est toutefois pas le cas des PME, affirme Marco Michaud, vice-président du Groupe Millenium Micro, un regroupement de plus de 250 fournisseurs informatiques qui vise à assurer une présence locale partout au Canada.
« Plus de la moitié des attaques sont dirigées vers les PME. C’est donc une fausse croyance populaire de se dire que les grandes entreprises sont plus à risque. Dans la plupart des cas, ce sont des robots qui attaquent. Ils ne font pas de discrimination sur la taille avant de se lancer. Il le découvre une fois qu’ils ont infiltré le système », dit-il.
Les criminels mènent la danse
Les différents experts en cybercriminalité s’entendent pour dire que les cyberbrigands sont rapides et se renouvellent constamment. « Ce qui est vrai maintenant ne le sera pas dans 6 mois. Il peut s’écouler des mois avant de savoir qu’on est affecté par une brèche. Réparer les dommages et savoir comment colmater la brèche peut prendre autant, sinon plus de temps. On a des acteurs motivés qui continuent d’attaquer et d’essayer de pénétrer les systèmes. Ils trouvent toujours des moyens encore plus sophistiqués », ajoute Catherine Bertheau.
Elle ajoute que la menace change de façon constante et se présente de façon différente. « On est toujours un pas en arrière. Dès qu’on a l’information sur la vulnérabilité et qu’on en avise nos clients, il est souvent trop tard. Les cyberbandits sont déjà passés à autre chose, tandis qu’il nous faudra des mois à réparer les dommages », poursuit-elle.
Dans certains cas, les pirates informatiques sont des gens voulant simplement arrondir leur fin de mois. Marco Michaud souligne qu’il existe aussi des compagnies d’attaques organisées comme une compagnie en règle avec un numéro de téléphone, un service à la clientèle, un vice-président recherche et développement et un vice-président. « Ce sont des bureaux complets qui travaillent avec des outils de gestion de la clientèle (CRM) », dit-il.
