En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

La cybercriminalité cause des dommages directs, insistent des courtiers

par Alain Castonguay | 15 avril 2022 10:05

Le risque cybernétique est désormais au sommet des priorités et les entrepreneurs le comprennent, indique Jean-Philippe Martineau, président du cabinet Ostiguy Gendron.

Selon M. Martineau, les clients qui sont déjà assurés pour ce risque doivent s’attendre à des hausses encore plus spectaculaires que ce qu’ils ont pu subir depuis le début du durcissement du marché. « Il n’y a pas assez de primes pour soutenir le volume de réclamations », dit-il.

Pour l’entreprise privée de taille moyenne, on pouvait obtenir une prime raisonnable il y a encore quelques années, confirme sa collègue Monique Gagnon, mais la sinistralité est trop élevée en ce moment. Les limites sont revues à la baisse, au maximum à 2 M$, et il faut couvrir le reste par la réassurance ou en couverture excédentaire avec la participation de plusieurs assureurs. De plus, les primes augmentent en flèche.

Un assureur de Londres lui disait avoir payé en indemnités cinq fois le volume de primes. « Il n’y en avait pas d’historique; là, les actuaires peuvent s’amuser », souligne la courtière en assurance de dommages des entreprises.

Jean-Philippe Martineau ajoute que les 2 M$ de couverture ne sont pas offerts automatiquement. L’entreprise doit prouver à l’assureur qu’elle a implanté les standards de contrôle de ses équipements informatiques, et ces conditions sont de plus en plus sévères chaque année. Pour celles qui ne les atteignent pas, il s’agit d’un cas facile de refus de proposition.

Un risque primaire

Le marché finira par s’équilibrer lorsque les entreprises accepteront d’investir massivement pour se protéger contre la cybercriminalité. Quand cet effort de prévention sera fait, les primes seront suffisantes pour payer les indemnités et le marché se stabilisera, selon M. Martineau.

Pendant des années, la couverture pour les administrateurs et dirigeants (A&D) était difficile à vendre parce que les entrepreneurs ne se sentaient pas concernés par ce risque envers un tiers lésé. Dans le cas de la cybercriminalité, ils savent désormais qu’il représente un risque avéré et réel, ajoute-t-il.

Monique Gagnon rappelle que le risque manufacturier est désormais très élevé si une cyberattaque force l’entreprise à interrompre sa production. « C’est un dommage direct, à la base », indique Monique Gagnon.

« Le dirigeant qui refuse d’envisager cette police expose ses actionnaires à un risque important », ajoute-t-elle.

Certains entrepreneurs à qui Mme Gagnon offrait cette protection depuis des années, et qui la refusaient, lui demandent maintenant des propositions. Dans deux cas, les entrepreneurs ont indiqué avoir été influencés par des témoignages d’autres amis entrepreneurs ayant subi une telle attaque cybernétique.

Parallèlement à la guerre que mène la Russie en Ukraine, on a aussi vu une recrudescence des cyberattaques russes envers les pays qui supportent son voisin dans sa lutte contre l’invasion de l’armée de Vladimir Poutine.

« Il faut vendre le risque “cyber” comme un produit d’assurance directe de dommages, comme un “first party damage”. Le risque est devenu plus concret, et le produit est plus populaire », ajoute M. Martineau.

Prévention

Les courtiers doivent présenter la police au client, mais pas en premier lieu, renchérit M. Martineau. « Chaque entreprise devrait avoir des normes minimales de protection en prévention du risque cybernétique. Si l’entreprise n’a pas instauré de contrôles adéquats en cette matière, ça ne donne rien de monter son dossier, la proposition ne sera même pas analysée », indique M. Martineau.

Le cabinet offre à ses clients une heure de consultation gratuite avec une firme d’experts externe afin que les entreprises puissent obtenir un premier diagnostic de leur plan de protection contre le crime cybernétique. « On le fait avant même de soumettre une proposition à l’assureur », dit-il.

« Si, en remplissant la proposition, il y a trop de cases où le client a coché non, il n’y aura pas de proposition », renchérit Mme Gagnon.

Autres courtiers

Dans son rapport prospectif sur 2022 publié à la fin de janvier, Marsh consacrait un chapitre entier à la question de la cybersécurité. « Il devient de plus en plus complexe de souscrire le risque, car ce n’est plus de savoir si j’aurai une réclamation, mais quand j’en aurai une », indique Suzanne Brisebois, vice-présidente principale, ingénierie et construction de Marsh Canada.

L’exclusion du risque cybernétique de la police en responsabilité des administrateurs et dirigeants (A&D) est ainsi plus fréquente. Dans certains cas, l’exclusion est absolue. « L’intention de la couverture A&D n’est pas de couvrir ce risque cybernétique. Par contre, il y a des exclusions qui sont très restrictives selon nous, mais elles découlent de la hausse des réclamations. Des assureurs ont ainsi ajouté cette exclusion dans la couverture A&D et le courtier doit expliquer cela aux entreprises », précise Karl J. Bélanger, vice-président principal et directeur de comptes de HUB International Québec.

Les polices classiques doivent évoluer pour prendre en considération ces nouveaux risques et les conseils d’administration en sont conscients, ajoute-t-il. Le risque cybernétique exige désormais une couverture distincte.

La cybersécurité demeure un produit très difficile à placer en assurance commerciale, confirme Catherine Lanctôt, vice-présidente principale et directrice régionale, groupe services financiers et services clients d’Aon Canada. Selon ce que lui rapportent ses collègues, le marché demeure très dur avec une grande correction des conditions de souscription, de tarification et des capacités.

Cet article est un Complément au magazine de l'édition d'avril 2022 du Journal de l'assurance.