Mise en situation
Est-ce que les dirigeants d’entreprises sont correctement outillés pour réagir aux crises devant de nouveaux risques sociaux-économiques ? Le Journal de l’assurance en collaboration avec RSA Assurance ont réuni quelques experts, le 16 aout dernier, pour discuter des risques émergents et importants en matière de responsabilité des entreprises.
Les participants
Daniel Vena, courtier, responsable du secteur immobilier chez BFL Canada, aussi producteur et chargé de clientèles.
Bernard Deschamps, courtier, président du Groupe Ultima.
Michel Bergeron, responsable des institutions financières au Québec chez EY.
Mathieu Gagnon, vice-président au développement des affaires de Vézina Assurances.
Marco Iannuzzi, associé chez GPL Assurance, spécialiste de la gestion de risques des professionnels, notamment les risques financiers.
Les entreprises du Québec portent-elles attention à leur responsabilité corporative ? Si c’est le cas, ça ne parait pas dans la façon dont elles protègent leurs actifs dans l’éventualité de certains risques d’affaires qui sont de plus en plus fréquents. Parmi les plus graves de l’heure figure la fuite de données sur les clients et sa conséquence, l’atteinte à la réputation de l’entreprise.
Le risque cybernétique est devenu plus évident. Autrefois, en matière d’informatique, on visait à couvrir d’abord les pertes reliées à l’interruption des affaires découlant de la paralysie d’un système. On voit désormais des entreprises victimes de pirates qui les rançonnent après avoir introduit un virus dans leur système.
Bien que les risques sociaux-économique qui menacent les entreprises augmentent, Mathieu Gagnon souligne que cela ne déclenche pas automatiquement l’achat de protection.
Trois conditions sont requises pour accroitre le volume d’affaires en assurance, dit-il : une offre des assureurs pour des produits mieux adaptés, des risques davantage perçus par les entreprises et des cas croustillants de sinistres publiés dans les médias et qui frappent l’imaginaire.
Malgré tout, le risque est réel, affirme Michel Bergeron. « Toute entreprise est tenue par la loi d’aviser sa clientèle de la fuite possible de renseignements personnels alors même qu’elle ne sait pas toujours ce qui lui a été volé comme information ! Elle a une vérification diligente à faire avant de rendre cela public. Ça peut représenter des couts importants », dit-il.
Mathieu Gagnon explique que les polices les plus riches peuvent comprendre jusqu’à sept modules de couverture. La police offerte varie donc selon la nature des activités de l’entreprise. « Certaines entreprises vont avoir beaucoup de données clients, d’autres pas. Dans d’autres cas, les entreprises peuvent détenir beaucoup de données sur des tiers », dit-il. Peu importe, une entreprise doit reconnaitre qu’il s’agit d’un risque crucial et qu’elle doit le transférer à l’assureur, soutient-il.
Il y a encore peu d’assureurs qui offrent le produit, et le travail de souscription est très lourd. Les courtiers devront facturer des honoraires en conséquence, souligne M. Gagnon.
Le cybernétique encore nouveau comme risque, ajoute Daniel Vena, les différences entre les garanties sont très grandes d’un assureur à l’autre! Graduellement, le marché devient plus mature et les garanties offertes se retrouvent partout. « Quand un nouveau risque s’ajoute et qu’un nouveau produit est souscrit, ça prend quelques années aux assureurs pour s’ajuster », ajoute-t-il.
Effectivement, des écarts considérables persistent dans la couverture du risque cybernétique, tant dans les franchises et les primes que dans les conditions d’admissibilité à la réclamation, note Marco Iannuzzi. « On trouve encore des souscripteurs qui ne comprennent pas toutes les ramifications d’une police. » Il souligne que des assureurs ont parfois sous-estimé le volume et l’ampleur des réclamations associées à cette garantie.
Le cyberrisque est déjà compris dans plusieurs polices qui couvrent les biens de l’entreprise, poursuit-il, et inclura la couverture des pertes reliées à l’interruption des activités. Mais cela n’inclut pas toujours la protection contre le piratage des données et les demandes de rançons. Marco Iannuzzi rappelle que toute entreprise dont les employés utilisent leurs outils intelligents (téléphone, tablette) pour se mettre en réseau est une cible potentielle.
Tous les courtiers sont cependant unanimes : ils sentent un enthousiasme montant chez les assureurs de produire des couvertures de plus en plus nombreuses pour de plus en plus d’entreprises diverses.
Bernard Deschamps affirme que l’entreprise peut être poussée à la faillite si elle n’a pas la capacité financière de supporter les couts reliés à la fraude informatique. Le fait d’être assuré « n’empêche pas les dommages non plus ». Ça mitige les couts. Une entreprise sera au moins indemnisée pour ses efforts à récupérer des données et à communiquer avec les clients », dit-il.