Selon une étude de GoSecure, entreprise montréalaise qui se spécialise dans la protection des organisations en matière de sécurité virtuelle, 71 % des entreprises québécoises ne sont pas en mesure de distinguer l’assurance générale de l’assurance cybernétique. Pire, seules 18 % d’entre elles possèdent une véritable assurance contre les cyberrisques.
Révélés à l’occasion du Colloque sur les enjeux et perspectives du marché de l'assurance, les résultats de cette étude s’appuient sur les réponses de 22 entreprises québécoises, parmi lesquelles 7 PME (chiffre d’affaires inférieur à 100 M$), 10 entreprises de taille moyenne (entre 100 et 500 M$) et 5 multinationales (plus de 500 M$).
« Énormément d’éducation à faire »
L’étude révèle aussi que dans le cas où les entreprises souscrivent une police spécifique à ce type de risques, aucune d’elles ne disposent d’une couverture suffisante pour couvrir l’ensemble des frais de notification (autour de 200 $ par dossier). Dans le cas d’une attaque impliquant 100 000 ou un million de dossiers, l’addition peut pourtant s’avérer colossale…
« Il y a énormément d’éducation à faire de ce côté-là, prévient Pascal Fortin, PDG de GoSecure. Mieux comprendre les produits cyber, pour les clients, c’est très important. Les dirigeants d’entreprise pensent qu’à partir du moment où ils ont un contrat d’assurance générale avec une option cyber, ils sont couverts. Non, l’assurance générale et l’assurance contre les cyberrisques, ce sont deux produits différents. »
Parmi les recommandations avancées par M. Fortin, il est donc indispensable que les clients comprennent mieux les produits virtuels. De plus, il recommande que les polices d’assurance prévoient une plus large couverture des frais d’experts techniques.
Inefficacité des contrôles
« À la suite d’une attaque, les clients sont souvent exposés à des refus de la part de leur assureur, soit en raison de leur propre négligence, soit du fait de l’inefficacité des contrôles en matière de détection ou de prévention », souligne par ailleurs Pascal Fortin qui regrette également que la réponse des assureurs soit souvent inadéquate. Il faut que les entreprises disposent, en interne, de leurs propres plans de réponse aux incidents, préconise-t-il.
Enfin, il ne faut pas perdre de vue qu’il s’agit là d’un risque mondial, qui nécessite de « comprendre des problématiques globales que l’on va analyser à un niveau local ».
Et M. Fortin de livrer un message à l’attention de l’industrie de l’assurance. « La protection contre le cyberrisque est un défi, une responsabilité pour les assureurs », conclut-il.