En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Cyberrisques : une menace toujours grandissante

Visibilité360, version PDF à partager

par Hubert Roy | 20 janvier 2021 09:46

Photo: Marjorie Poirier

Des cyberattaques ayant visé des assureurs de dommages ont retenu l’attention à la fin de 2020, au moment même où s’accélère la menace que posent les cyberrisques.

Catherine Bertheau, vice-présidente et responsable du développement des services cybernétiques pour Aon dans l’Est du Canada, souligne que les cyberrisques prennent de l’ampleur depuis cinq ans. La menace s’est accélérée dans les 18 derniers mois, a-t-elle aussi confié dans une entrevue au Portail de l’assurance, réalisée avant que des assureurs soient ciblés par des cyberpirates.

Qu’est-ce qui a changé au fil des ans ? Les actifs des organisations, dit M^me Bertheau. Ils ne sont plus uniquement physiques. Ils reposent davantage sur la propriété intellectuelle, entre autres actifs plus intangibles.

Quand on y ajoute une monnaie virtuelle, comme le bitcoin, on se trouve en présence du crime parfait, dit M^me Bertheau. Pourquoi ? Parce qu’on peut le commettre à partir de n’importe où dans le monde.

« C’est un crime très propre. C’est quelque chose qui a toujours fait rêver le crime organisé. Comme les entreprises sont plus numériques, c’est la tempête parfaite », dit-elle.

Il y a encore cinq ans, les cybercriminels ne faisaient que jeter leur ligne dans l’eau pour voir quel poisson mordrait, rappelle M^me Bertheau. Leur approche n’était pas ciblée. Ils ne faisaient que monnayer les dommages qu’ils pouvaient causer à un réseau.

« Maintenant, leurs attaques sont très ciblées et complexes. Quand ils ciblent une grosse organisation, ils regardent ses réseaux sociaux, tout en tentant de voler les identifiants des gens à l’interne. Ils attendent et se promènent dans les réseaux informatiques en infiltrant aussi les systèmes de sauvegarde. Ils peuvent attendre des semaines, voire des mois, avant de lancer une attaque. Ils sont capables d’extorquer beaucoup d’argent. Ce n’est pas quelque chose qu’on voyait il y a 12 à 24 mois », dit la spécialiste d’Aon.

Double extorsion et chiffrement : les tendances de l’heure

Les entreprises ne peuvent plus miser sur les sauvegardes de leurs serveurs, dit M^me Bertheau. Les cybercriminels vont plus loin. Ils chiffrent non seulement les systèmes informatiques des entreprises, mais aussi leurs fameuses copies de sécurité.

« Pendant ce temps, le pirate aura réussi à exfiltrer de l’information ultraconfidentielle en jouant dans les réseaux. Pas juste de l’information sur les clients, mais aussi sur la propriété intellectuelle de l’entreprise. »

Pour faire monter les enchères, les pirates vont même jusqu’à bâtir leur propre site Web où, toutes les heures, ils publient des renseignements confidentiels volés à l’entreprise, relate M^me Bertheau. « C’est plus facile pour les voleurs d’utiliser l’information de cette façon que de la monnayer sur le dark Web [Web invisible] », précise-t-elle.

L’incidence de la pandémie

La pandémie de COVID-19 a changé un aspect de la tactique des pirates informatiques. Le principal vecteur d’entrée des cybercriminels dans les entreprises est le courriel, dit M^me Bertheau, grâce à un employé qui télécharge un lien malveillant.

« Avec le confinement, les employés ont été mobilisés à la maison rapidement. Les systèmes de sécurité n’ont pas nécessairement suivi. Ils sont devenus plus poreux. On voit plus de phishing [hameçonnage] depuis le début de la pandémie. C’est peut-être là, le futur du cybercrime, dit-elle. Si on donne un ordinateur portable aux employés, que vont-ils télécharger ? »

Adoption rapide des assureurs

M^me Bertheau souligne que les assureurs ont rapidement suivi le pas et offrent davantage de couvertures de cyberassurance. Le taux de pénétration est plus bas au Canada qu’aux États-Unis, mais c’est avant tout lié à une méconnaissance du produit, croit M^me Bertheau.

Certains litiges portés devant les tribunaux pour débattre de l’inclusion des cyberrisques dans les polices de base ont toutefois fait évoluer les choses. Tout comme les demandes formulées par le Lloyd’s aux assureurs canadiens pour savoir s’ils couvraient ce risque ou non dans leurs polices traditionnelles.

« Ça a amené une meilleure adoption du produit de cyberassurance. Des risques sont maintenant mieux couverts. Il y a aussi une meilleure recevabilité des réclamations. On voit d’ailleurs que le ratio de pertes des assureurs en cyberrisques augmente. Les assureurs ont toutefois une meilleure information en main, ce qui fait que la souscription et la tarification sont plus souples. C’est devenu une protection très abordable, bien que la tarification soit à la hausse », dit M^me Bertheau.

La clé : adopter de bonnes pratiques

Cette souplesse des assureurs, la spécialiste d’Aon la voit aussi dans le fait qu’ils ne demandent pas une feuille de route parfaite pour accepter de couvrir les cyberrisques d’une entreprise. Pas besoin d’avoir investi une fortune en TI pour obtenir une couverture, ajoute-t-elle. « Les assureurs veulent avant tout que les bases soient couvertes », précise-t-elle.

L’assureur demandera ainsi à une entreprise cliente si elle est bien consciente de ce qu’elle veut protéger. « Quels bijoux de la Couronne faut-il préserver à tout prix en matière de propriété intellectuelle ? Quelle est l’information que l’entreprise a sur ses réseaux et qu’elle doit absolument conserver confidentielle ? »

Beaucoup d’éléments sont à considérer, dit M^me Bertheau, mais ce sont avant tout des fondations à mettre en place, comme avoir un accès RPV si des employés travaillent de la maison. « Ce n’est pas couteux à implanter. Il faut toutefois y penser. Le processus de souscription ne doit pas être un montage financier. Ce sont seulement de meilleures pratiques d’affaires. »

Elle donne d’ailleurs en exemple l’un de ses clients qui a souscrit une couverture de cyberassurance et qui a aussi dressé une liste de choses à faire dans la prochaine année pour améliorer ses processus.

Gare au RGPD

Le durcissement du marché a-t-il eu un effet sur le segment de la cyberassurance ? Pas vraiment, dit M^me Bertheau. Le Règlement général sur la protection des données (RGPD) adopté en Europe pourrait avoir beaucoup de répercussions, précise-t-elle, tout comme certaines lois américaines.

Pourquoi ? Parce que les incidents majeurs subis jusqu’à maintenant n’ont pas généré de grands recours collectifs. Un règlement comme le RGPD pourrait changer la donne, dit-elle.

« Les pertes qu’on voit jusqu’à maintenant sont rapidement calculées et comptabilisées. Les couts se calculent en semaines et en mois. Ça reste simple à déterminer pour un assureur. Avec des recours collectifs, c’est différent », laisse-t-elle entendre.

Elle note néanmoins qu’il y a encore beaucoup de capacités en cyberassurance, ainsi que de nouveaux venus – chose rare dans plusieurs autres segments de l’assurance des entreprises.