Les entreprises, grandes et petites, doivent commencer à prendre la cybercriminalité au sérieux et comprendre qu’il s’agit d’un crime grave et pernicieux qui peut leur coûter des dizaines de millions de dollars, en plus d’anéantir leur réputation commerciale, signale Bryan Hurd, vice-président d’Aon. Ses propos ont été formulés lors d’un récent webinaire.

« Nous devons cesser de nous dire que [la cybercriminalité] est le fait de gamins cachés dans leur sous-sol ou d’une petite bande de pirates. Il s’agit en réalité d’une industrie de plusieurs milliards de dollars, a-t-il déclaré dans un récent séminaire en ligne. C’est un écosystème nuisible d’envergure internationale qui rassemble des centaines de milliers de personnes dans des milliers d’organisations malveillantes, et il cible toutes les strates d’une entreprise. Il n’y a pas d’organisation trop petite pour ne pas être visée : ce petit groupe de criminels se promène sur le Web en tâtant les poignées de porte comme ils essaieraient celles de voitures stationnées ; c’est particulièrement le cas lorsqu’il s’agit de petits clients. »

Nul doute qu’il existe aussi une élite de pirates internationaux qui, elle, vise les plus grandes entreprises, les banques et les assureurs. En fait, il y a un pirate pour chaque envergure d’entreprise, estime le spécialiste.

Risque de réputation

Si l’argent est un enjeu clé en matière de cybercriminalité, la réputation de la victime est tout aussi importante, a-t-il ajouté. Les pirates qui parviennent à s’introduire dans le système informatique d’une entreprise peuvent y glaner de l’information sur un fournisseur ou un partenaire, qui se retrouve alors également touché.

« Ce n’est pas tant la technologie qu’ils utilisent qui compte ; il y a surtout une question de confiance à l’interne », prévient M. Hurd. Un employé bien intentionné peut être amené à commettre une gaffe monumentale tout à fait involontairement, puis craindre de signaler le tout à son supérieur.

Il explique que toute entreprise doit avoir une marche à suivre en cas d’attaque par rançongiciel. Elle doit avoir sous la main les coordonnées de la firme d’intervention en cas d’incidents informatiques, ainsi qu’une liste de collègues et de cadres — voire de clients et d’organismes de réglementation — qu’un employé peut joindre s’il pense que l’entreprise a été piratée.

Rançongiciel

Dans le cas des rançongiciels, les pirates procèdent généralement en deux étapes : ils essaient d’abord d’obtenir la solution de déchiffrement qui leur donnera accès aux données de l’entreprise, puis ils publient l’information volée et la revendent. Selon M. Hurd, les pirates conservent parfois les données durant quelques mois avant de les offrir sur le marché noir. 

M. Hurd a relaté avoir eu des cas où des entreprises, canadiennes et américaines, ont ainsi été exposées à des coûts se situant entre 5 et 20 millions de dollars.

Récemment, le Bureau d’assurance du Canada (BAC) a publié une enquête mentionnant que plus de 40 % des petites entreprises ont subi des cyberattaques. Les assureurs ont ainsi versé plus de 106 millions de dollars en indemnités de cyberresponsabilité au cours du seul premier semestre de l’année en cours, principalement pour des rançongiciels. Or, la cybersécurité est absente des postes budgétaires de près de la moitié des petites entreprises canadiennes.

Cyberassurance

L’intégration d’une cyberassurance à une police n’est toutefois pas aussi simple qu’on le pense, nuance Brian Rosenbaum, vice-président principal et directeur national des sinistres, à la société Aon.

En fait, il fut un temps où les polices d’assurance de dommages n’abordaient pas vraiment la nature des éléments déclencheurs de dommages matériels ou de pertes d’exploitation — par exemple un incendie, une inondation ou un cybercrime, précise-t-il.

À un certain moment, rappelle-t-il, l’industrie de l’assurance a imposé que la plupart des polices excluent les « attaques cybernétiques ». Par la suite, les assureurs se sont mis à souscrire divers cyberrisques en particulier.

L’industrie s’adapte constamment aux règles en matière de cybersécurité, qui changent elles aussi tout le temps. La façon dont une entreprise couvrira la cybercriminalité peut être extrêmement compliquée, car diverses polices sont en cause.

« On ne pouvait pas remettre cette couverture dans la police si on n’était pas un bon risque ; et si on le faisait, elle était généralement limitée », sans compter que le client avait des primes beaucoup plus élevées à payer, a déclaré M. Rosenbaum.

Possibilité de coassurance

Certains assureurs évoqueront la possibilité de coassurance en matière de cybercriminalité, a affirmé Catherine Roe, première vice-présidente et directrice régionale de l’Ontario chez Aon. D’autres assureurs vont mettre des restrictions en place.

Mme Roe a déclaré que les assureurs tentent de trouver un moyen de collaborer avec les entreprises en matière de cyberrisque tout en préservant une certaine rentabilité. Elle a toutefois ajouté qu’elle ne croit pas que l’industrie trouve une solution universelle avant un certain temps.