Maryse Rivard

La cybersécurité est au cœur des préoccupations des chefs de petites et moyennes entreprises (PME) et les courtiers d’assurance ont tout intérêt à sensibiliser les entreprises clientes à se doter d’une protection en la matière.

« Tout ce qui touche à la cybersécurité, c’est un enjeu majeur pour les cabinets, autant comme PME que comme professionnels de l’assurance », indique Maryse Rivard, vice-présidente de Synex Assurance, courtière du cabinet Deslauriers et Associés et présidente du Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ). 

« On se doit d’offrir la garantie à nos assurés. C’est un nouveau produit, ce ne sont pas tous les cabinets qui sont à l’aise de l’offrir, et l’on sait qu’on a l’obligation professionnelle de vraiment cerner les besoins de notre client », ajoute-t-elle. 

Un mémoire 

En novembre 2023, le RCCAQ a produit un mémoire dans le cadre des travaux parlementaires sur le projet de loi 38 soumis par le ministère de la Cybersécurité et du Numérique (MCN).

Présentée le 1er novembre 2023 à l’Assemblée nationale du Québec, la Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives, devenue le chapitre 28 des lois de 2023, a été sanctionnée le 6 décembre 2023. 

Le RCCAQ y citait des chiffres d’une étude commandée par les courtiers canadiens à la firme KPMG. On y rappelait que, selon Coveware, 43 % des cyberattaques mondiales visent les PME. Or, selon Accenture, 14 % des PME sont correctement préparées à se défendre contre les cybermenaces. 

En matière de cybersécurité, les PME doivent réfléchir en pensant aux personnes, aux processus d’affaires et à la technologie, indique Mme Rivard. Il faut préparer un plan d’intervention, faire des simulations avec des tests d’hameçonnage, sensibiliser les employés et collaborer avec les firmes spécialisées pour faire des tests d’intrusion. 

Pour une campagne nationale 

Eric Manseau

Le RCCAQ a tenu à soumettre ce mémoire pour demander au gouvernement de faire la promotion de la cybersécurité dans le secteur privé. Même si la proposition sortait du cadre de la loi, il ne regrette pas cette intervention. « Il y a là un enjeu tellement important ; le Ministère devrait aussi se préoccuper et sensibiliser les PME en matière de cybersécurité », indique Éric Manseau, directeur général du Regroupement. 

« Il pourrait élargir son rôle au-delà des organisations publiques et faire en sorte de sensibiliser les PME et les organisations privées », ajoute-t-il. Le RCCAQ a profité de son passage sur la colline parlementaire en mai 2024 pour rencontrer les représentants du MCN. 

L’idée d’une campagne nationale sur la cybersécurité a été renouvelée. Le RCCAQ a aussi transmis l’étude commandée par l’Association des courtiers d’assurance du Canada (ACAC) à KPMG sur le marché canadien de la cyberassurance. 

Datée d’août 2023, l’étude intitulée Cyberrisques et cyberassurance : gérer les cyberrisques dans un écosystème en constante évolution comprend trois sections principales. Le premier aborde les risques actuels et émergents. La deuxième résume l’évolution du marché de l’assurance contre la cybercriminalité. La troisième vise à outiller les courtiers pour qu’ils puissent mieux servir leurs clients. 

Les pirates utilisent des moyens de plus en plus sophistiqués pour tromper les firmes ciblées, selon Maryse Rivard. Outre les rançongiciels qui servent à détrousser les victimes d’une brèche, la fraude par transfert de paiement est le dommage direct le plus courant. La couverture d’assurance permet de limiter ces pertes liées à l’ingénierie sociale, où le pirate obtient des données sensibles qui lui permettent de détourner les fonds promis à un fournisseur, par exemple. 

Maryse Rivard raconte le cas d’un client qui a été victime d’une fraude de ce type. L’entrepreneur avait refusé la couverture par écrit. Après avoir été victime d’une fraude de 400 000 euros, il a décidé d’assurer ce risque pour un an, puis il a cessé de le faire, jugeant la prime trop coûteuse.

« Je suis le courtier de mes clients, pas leur mère », note Mme Rivard en rappelant que son devoir de conseil s’arrête quand le client bien informé décide tout de même de refuser la garantie. 

L’étude de KPMG souligne que « le plus vite, c’est le mieux » lorsque le client doit faire une réclamation. La découverte d’un incident réel ou soupçonné doit être signalée le plus rapidement possible au courtier. Les assureurs veulent être informés rapidement afin d’activer leurs services pour contenir l’incident et prévenir les pertes. 

Des arguments 

Lorsqu’ils se font offrir une assurance contre le risque cybernétique, les chefs de PME refusent la couverture pour quatre raisons principales, résume Éric Manseau :

1) les entreprises sont trop petites pour être ciblées ; 

2) la qualité de leur équipe en technologies de l’information (TI). « Mais 80 % des brèches proviennent des erreurs humaines », note M. Manseau ; 

3) la police générale couvre déjà leur risque ; 

4) en cas de sinistre, l’assureur ne voudra pas payer. Or, les chiffres montrent plutôt que les assureurs ont perdu de l’argent pendant des années parce que les sommes en indemnités dépassaient largement les primes perçues. Le marché a réagi et les assureurs ont augmenté les primes, limité les garanties et imposé des conditions d’accès. 

À cet égard, Maryse Rivard cite le cas d’une entreprise ayant des établissements un peu partout au Canada, avec un chiffre d’affaires de 100 millions de dollars (M$). Le prime cyber est de 40 000 $ pour une limite de 5 M$. « Je trouve cela quand même raisonnable », dit-elle.

Le coût moyen d’une brèche de sécurité au Canada était d’ailleurs estimé à 5 M$ en 2022, selon KPMG citant les chiffres d’IBM

Dans un dossier de brèche où Maryse Rivard est intervenue, où la perte s’est chiffrée à 500 000 $, il y a eu une fuite de renseignements personnels associant le nom, les coordonnées personnelles et le numéro d’assurance sociale de 30 000 personnes. « Il a fallu écrire à toutes ces personnes. C’est de l’ouvrage de gérer ça », dit-elle en notant que l’assurance permet aussi de couvrir ces dommages aux tiers. 

« C’est le même principe que l’assurance contre le feu. Je vous souhaite de payer la prime durant toute votre vie sans jamais avoir à faire une réclamation. En cas de feu, l’assurance couvre le préjudice financier, mais ça n’effacera jamais le trouble vécu à la suite d’un incendie », conclut Mme Rivard. 

Cet article est un Complément au magazine de l'édition de juin 2024 du Journal de l'assurance.