Les entreprises sont plus exposées qu’elles ne le pensent aux cyber-risques. Les pirates informatiques (hackeurs) ne visent pas les grandes entreprises, mais bien les PME, car il y est plus facile de déjouer les systèmes informatiques et ainsi voler les données confidentielles de leurs clients.
Pour Alexis Héroux, courtier et gestionnaire services clients chez BFL Canada, l’enjeu des cyber-risques est appelé à prendre de plus en plus d’ampleur. Le courtier et ses assureurs doivent donc conseiller leurs clients entrepreneurs sur les mesures à prendre en cas de tels vols.
M. Héroux a d’ailleurs pris part à une conférence sur le sujet, tout récemment, devant les membres de l’Association des gestionnaires de risques et d’assurance du Québec (AGRAQ). Le Journal de l’assurance s’est ensuite entretenu avec lui.
M. Héroux souligne que la règlementation canadienne est en retard sur ce qui se fait aux États-Unis et dans l’Union européenne. Le Canada n’a pas encore défini les dommages et sanctions qu’un tribunal peut imposer à quelqu’un trouvé coupable de cybercrime.
« Une entreprise victime d’un cybercrime peut encourir plusieurs couts après le méfait. Ça peut aller jusqu’à l’interruption d’affaires », dit-il.
Deux projets de loi devraient permettre au Canada de combler une partie de son retard. Le gouvernement fédéral travaille en ce moment sur les projets de loi C-12 et C-475.
Malgré tout, chaque province exerce sa juridiction en la matière. Ainsi, l’Alberta et la Colombie-Britannique sont les seules provinces qui obligent une entreprise victime d’une brèche de sécurité dans la gestion des données de ses clients à en aviser le Commissaire à la vie privée. Le Québec possède aussi une règlementation en ce sens, mais n’oblige pas une telle déclaration.
Plus encore, la législation canadienne diffère en fonction du type d’entreprise qui est visée. On retrouve ainsi trois règlementations différentes : une pour les entreprises privées, une pour les organismes gouvernementaux et une pour le secteur médical.
« En ce moment, la responsabilité des entreprises est plus éthique qu’autre chose. Néanmoins, j’encourage les courtiers à aborder le sujet avec leurs clients entrepreneurs pour qu’il n’y ait pas de dommages à la réputation de l’entreprise. Il existe des guides pour aider les courtiers à conseiller les entrepreneurs et pour mettre en place une stratégie en cas de brèche dans la confidentialité des données », dit M. Héroux.
Il ajoute qu’être victime d’un cybercrime signifie aussi un cout pour une entreprise. Le Ponemon Institute, un organisme américain qui se spécialise dans la cybersurveillance, l’estime à 56 $ par client touché. « Ça comprend le cout de l’enquête pour retracer l’origine du crime, l’envoi de lettres recommandées aux clients touchés et la surveillance du crédit des clients. D’autres couts peuvent s’ajouter par la suite, notamment si la responsabilité de l’entreprise est remise en cause. Ça peut aller jusqu’au recours collectif », dit-il.
La complexité des cyber-risques augmente d’autant plus que l’entreprise doit répondre en fonction de la juridiction du lieu d’origine de la personne.
Prenons le cas fictif d’un étudiant du Maine qui s’est inscrit dans une université québécoise dont un pirate s’est emparé les données. L’université devrait alors répondre aux exigences de la juridiction du Maine.
« Si on traite dans d’autres provinces, États ou pays, il faut connaitre la juridiction en vigueur dans ces lieux. C’est pourquoi il est important pour un entrepreneur de trouver un courtier ou un gestionnaire de risque qui pourra l’assister en la matière. En ce moment, le message n’est pas assez propagé », croit M. Héroux.
Il ajoute que les assureurs commencent à s’intéresser à ce phénomène ; BFL en privilégie d’ailleurs six. « Mais, encore, le message n’est pas le même d’un assureur à l’autre. En tant que courtier, on peut faire une soumission à l’entrepreneur en tant que gestionnaire de risque et y greffer des avenants en responsabilité, notamment pour les administrateurs et dirigeants. Le marché est nouveau. Les assureurs veulent le percer. Le courtier doit être en mesure d’aller voir ses assureurs pour bâtir une relation de confiance avec ses clients », dit M. Héroux.
Quelles sont les entreprises cibles privilégiées par les pirates ? « N’importe quelle compagnie qui a un système informatique peut être visée. Et ça ne tient pas compte uniquement des données clients. Ils peuvent aussi viser les dossiers des employés. Si son dossier est perdu ou volé, un employé peut poursuivre son employeur pour négligence. Quant aux données de la clientèle, il est important de connaitre leur valeur », dit-il.
M. Héroux souligne aussi que les PME sont de plus en plus visées par les cybercriminels. « Un hackeur qui vise une grosse entreprise le fait plus pour la notoriété d’avoir craqué son système. Celui qui veut faire de l’argent vise les PME. Ça prend moins de temps de percer le système d’une petite entreprise qui n’a ni les fonds, ni l’infrastructure pour se protéger. En plus, le cybercriminel peut ensuite croiser les données volées avec ce qu’il trouve sur les médias sociaux », dit-il.
M. Héroux croit aussi que l’infonuagique (cloud) deviendra une cible privilégiée des pirates. « Il faut y penser, en tant qu’entrepreneur. Si mon nuage devient inactif, il peut en découler une perte financière, car je ne suis pas capable d’opérer, étant donné que je n’ai pas accès aux données qui y sont stockées », dit-il.