Alors que la menace apparait toujours plus réelle pour toute entreprise connectée à Internet, le marché de la cyberassurance n’a pas encore atteint sa pleine mesure au Canada comme au Québec. En cause, la réticence des petites entreprises et un environnement législatif pas totalement favorable.[caption id="attachment_14390" align="aligncenter" width="590"]Capture d'écran: map.ipviking.com Le système de NORSE CORP. rend compte en temps réel des cyberattaques dans le monde.
Capture d'écran: map.ipviking.com[/caption]

Le 18 septembre dernier, le détaillant américain Home Depot indiquait avoir été victime d’une cyberattaque de grande ampleur. Au total, ce ne sont pas moins de 56 millions de cartes de débit et de crédit qui auraient été « mises en péril », dans ce qui constitue à ce jour l’une des plus grandes cyberattaques de ce type. Les clients canadiens et mexicains de la compagnie ayant été concernés, la facture promet d’être salée pour Home Depot. Ses pertes sont estimées à près de 62 millions de dollars américains (M$ US), dont 27 M$ US seront couverts par l’industrie de l’assurance, le reste étant à sa charge.

Des attaques de ce genre, il s’en produit tous les jours dans le monde, et tous les jours au Canada. Selon une récente étude du cabinet PwC, il y a eu 42,8 millions de cyberattaques (près de 120 000 par jour) dans le monde en 2013, le nombre d’incidents déclarés ayant augmenté de près de 50 % par rapport à 2012.

Le Canada n’échappe pas à la règle, puisque 69 % des entreprises disent avoir subi une cyberattaque en 2012. C’est ce que révèle un rapport de l’International Cyber Security Protection Alliance (ICSPA) qui se base sur des données recueillies auprès de 520 entreprises canadiennes. Ainsi, en 2012, on répertoriait 16,5 attaques par entreprise, pour un cout moyen de 15 000 $ par entreprise.

Ces chiffres mettent en avant l’ampleur d’un phénomène de plus en plus répandu, qui ne vise pas uniquement les très grandes entreprises ou certains organismes d’État de premier plan. Le cyberrisque concerne aujourd’hui avant tout les petites et moyennes entreprises, ces dernières étant plus vulnérables aux attaques extérieures, car moins équipées en matière de protection de leur système informatique.

« Dans le cas de l’attaque massive qu’a connue Target en 2013, la brèche n’avait pas pour origine Target, mais un détaillant avec qui l’entreprise avait fait affaires, un entrepreneur en climatisation, explique Alexis Héroux, courtier en assurance de dommages à BFL Canada et spécialiste en matière de gestion et d’assurance des cyberrisques. C’est cette entreprise qui a été piratée, car elle avait un accès privilégié au réseau Target. C’est par ce biais-là que le virus a pu être introduit dans le réseau de Target. »

Le risque n’est donc pas forcément là où on l’attend le plus. « On parle des attaques contre les grosses entreprises justement parce qu’elles sont grosses, mais les petites sont des cibles bien plus faciles pour les pirates, poursuit M. Héroux. Si ces derniers mènent une attaque à des fins économiques, ils se consacrent plutôt à de petites ou moyennes entreprises pour leur soutirer de l’argent. Les grosses attaques ne servent en général qu’à l’image et à la réputation d’un groupe de pirates, mais ce n’est pas ce qui leur rapporte le plus. »

Pour Matthew Davies, directeur, responsabilité professionnelle chez Chubb du Canada, « le cyberrisque, ce n’est pas seulement une personne qui va tenter de rentrer dans le système informatique d’une compagnie. Il comprend aussi toute une gamme de risques liés à la perte d’information causée, par exemple, par le vol d’un ordinateur portable, d’une clé USB, d’une tablette ou encore d’un téléphone intelligent. Un ordinateur portable, par exemple, pourrait ne jamais être retrouvé ni par son propriétaire ni par une personne mal intentionnée… »

Alors que les assureurs proposent aujourd’hui de plus en plus de produits pour répondre à des risques bien réels, le marché de la cyberassurance est pourtant loin d’avoir atteint son plein potentiel. Selon une récente étude publiée par le courtier Marsh, on estime, en 2014, à 2 milliards de dollars américains (G$ US) le marché des États-Unis alors qu’il n’était encore que de 1G $US en 2013, ce qui représente une augmentation de 50 % du montant des primes en un an. Au Canada, le marché affiche aussi un grand potentiel, même si certains facteurs freinent son expansion.

« Il existe encore des poches de résistance, mais les choses sont en train d’évoluer. Les clients sont de plus en plus sensibilisés aux cyberattaques, souligne Luc Labonté, vice-président des entreprises à Conway Jacques courtiers d’assurance. De plus, un grand nombre d’assureurs sont en train de développer leur offre. Ceux qui traitent avec les grandes entreprises sont en général en avance et proposent plus de produits. Ceux qui traitent principalement avec des particuliers proposent plutôt des offres concernant la violation de données. Il ne faut pas oublier que la moitié des assureurs proposent des produits qui existent depuis plus de 25 ans! »

Même les courtiers devraient s’assurer


Bruno Fortin, président du cabinet J. Gérard Fortin & Associés, constate lui aussi l’émergence d’un marché qui n’est « pas encore mature ». Selon lui, « la cyberassurance devrait concerner toutes les entreprises qui sont connectées à Internet. Même les cabinets de courtage devraient être assurés, car ils possèdent des informations confidentielles sur leurs clients. Pourtant, si 5 % des cabinets sont équipés, c’est déjà beaucoup! »

Un constat confirmé par la lecture du rapport d’ICSPA, puisque seulement 22 % des 520 entreprises canadiennes interrogées ont recours à un ou plusieurs processus d’évaluation des risques, alors que 69 % n’ont pas encore de procédures officielles à suivre en cas de cyberattaque.

« Les entreprises sont un peu réticentes à payer pour ce genre de protection. De plus, les tarifs ne sont pas encore totalement adaptés aux petites entreprises, poursuit Bruno Fortin. Si ces produits étaient proposés comme une option intégrée à une police générale, ils deviendraient alors plus accessibles, car ils n’entraineraient pas de frais liés à la souscription d’un contrat spécifique. On peut comparer la situation à celle de la garantie des frais juridiques qui était chère il y a encore quelques années. Aujourd’hui, c’est une garantie qui est de plus en plus appréciée de nos clients. »

Processus de vente plus long


Jean-François Beaulieu, chef de la direction des ventes à Hub International, souligne lui aussi une certaine réticence au sujet des risques relativement nouveaux pour les entreprises. « Le processus de vente au client est plus long, car il s’agit d’une police encore peu connue. C’est un peu comme la police pour les administrateurs et dirigeants d’une entreprise. Au milieu des années 1990, peu de dirigeants souscrivaient ce genre de police alors qu’aujourd’hui, 50 % des dirigeants en souscrivent. »

 

Toutefois, il semblerait que les récentes attaques de grande envergure contre Target ou Home Depot aient une influence certaine sur la prise de conscience du risque et sur la nécessité de souscrire une police. Selon un sondage réalisé en octobre dernier par KPMG auprès d’un panel de dirigeants d’entreprises, 50 % d’entre eux se disent plus concernés par la cybersécurité après les récentes attaques à grande échelle.

« Les entreprises qui proposent des paiements sur Internet en achètent de plus en plus, les grandes entreprises en souscrivent aussi de plus en plus même si ce n’est pas forcement elles qui en ont le plus besoin, poursuit M. Beaulieu. Les petites entreprises n’en achètent pas alors que c’est elles qui sont le plus à risque. Elles se disent que les attaques ne concernent que les grandes entreprises. Or, certaines d’entre elles possèdent des données très sensibles comme des dossiers médicaux qui intéressent grandement les pirates. De plus, ces petites entreprises sont assez mal protégées d’un point de vue informatique, alors que les grandes entreprises ont souvent des pare-feu efficaces. »

Pour de nombreux acteurs, un des freins actuels pour une expansion rapide du marché de la cyberassurance réside dans le fait que l’environnement légal est constamment en train de changer au Canada concernant la protection de la vie personnelle et de la confidentialité des clients.

« L’une des difficultés majeures pour vendre ces polices-là, à la différence des États-Unis notamment, c’est qu’il n’y a pas encore d’obligations, pour les entreprises, de communiquer lorsqu’elles ont été victimes de brèches. Ce n’est le cas ni au Québec ni en Ontario. Or, le seul fait d’aviser les gens coute très cher, un cout de l’ordre de 200 $ par personne à aviser. Le jour où cela deviendra obligatoire, cela transformera le marché », conclut Jean-François Beaulieu.

Une tarification au cas par cas


Un autre problème concerne le cout de ces couvertures, notamment pour les petites et moyennes entreprises. Betty Hornick est responsable du développement des produits chez Aviva. Elle connait bien la problématique de la tarification des risques.

 

« En 2002, le marché a commencé à se développer au niveau des grandes corporations, mais les produits étaient trop chers pour les petites entreprises qui étaient pourtant exposées. Dix ans après, en 2012, Aviva a lancé un produit accessible, avec une prime autour de 100 $, mais avec une limite de garantie très faible, de l’ordre de 25 000 $. Et en 2016, nous allons sortir un nouveau produit avec une limite plus élevée. »

Il faut dire que la tarification est rendue difficile pour les assureurs tant le risque diffère d’une société à une autre, d’un secteur d’activité à un autre. Généralement, assureurs et courtiers rangent les sociétés dans trois grandes catégories : « sans risque », « à risque limité », et « à risque élevé ». Il peut même y avoir parfois une quatrième catégorie, celle du « risque trop élevé » qui pousse parfois l’assureur à refuser de proposer une couverture.

« Aviva refuse d’assurer des entreprises qui détiennent trop d’informations personnelles sur leurs clients, prévient Mme Hornick. On refuse systématiquement les hôpitaux, les banques, les gros détaillants comme Target ou Home Depot, les entreprises qui détiennent des données médicales sur leurs patients, ou encore certains services de gouvernement. »

Pour Elizabeth Diotte, directrice régionale des opérations à Travelers Canada, « la tarification s’opère au cas par cas, chaque entreprise étant différente. Elle dépend de la taille de l’entreprise, de son secteur d’activité, ou encore du volume de données qu’elle possède. Il existe aussi une mauvaise perception des clients concernant la tarification de ce risque. Beaucoup de clients pensent que ces couvertures sont très couteuses. Ils sont souvent surpris par le prix. Il s’agit d’un produit assez sophistiqué, compliqué à comprendre par les clients. Ces derniers pensent donc que c’est cher, alors que ce n’est pas le cas. »