Selon les données obtenues par le Portail de l’assurance, les incidents de cybersécurité touchant les institutions financières, les sociétés d’évaluation du crédit et les assureurs du Québec ont augmenté de 50 % en 2022 comparativement à l’année précédente.
En prévision de l’atelier portant sur le rôle des courtiers en matière d’assurance contre le risque cybernétique, qui se tenait le 13 avril dernier dans le cadre de la Journée de l’assurance de dommages, le Portail a obtenu des statistiques de l’Autorité des marchés financiers concernant le nombre de cyberincidents survenus chez les entreprises assujetties ou chez les fournisseurs de services technologiques auxquels les mêmes sociétés ont confié des services en impartition.
Dans les institutions financières, les sociétés d’évaluation du crédit et les assureurs du Québec, on a dénombré 10 incidents en 2021, et 15 incidents en 2022.
Selon l’Office québécois de la langue française, l’attaque de force brute est une « cyberattaque qui consiste à trouver un mot de passe ou une clé cryptographique en essayant systématiquement et successivement toutes les combinaisons possibles ».
Des mythes à défaire
Les dirigeants d’entreprises se rebutent souvent devant l’importance des montants qu’ils doivent investir en primes d’assurance en matière de risque cybernétique. Dans certains cas, ils estiment peu probable d’être visés par une brèche de sécurité ou une rançon qui les forcerait à suspendre les activités de l’entreprise.
Dans un blogue récent publié dans le site de la société Coveware, l’assureur britannique CFC énumère quelques-uns des mythes reliés à la cyberassurance. Le courtier doit trouver les arguments pour défaire ces mythes :
- « On n’a pas besoin de la police, on investit dans notre sécurité informatique interne. »
Même si on installe des caméras de sécurité et des gicleurs, l’entreprise se procure quand même une police d’assurance de dommages contre le feu, le vol ou le vandalisme. Même si la cybersécurité est une prévention nécessaire, il est virtuellement impossible de se protéger contre 100 % des pirates informatiques qui veulent profiter d’une brèche pour s’introduire dans le système ;
- « On n’est pas exposé au risque, car toute notre sécurité informatique est sous la responsabilité d’un fournisseur. »
Même si la sécurité informatique est donnée en impartition, si le fournisseur est victime de la brèche et que les données compilées par l’entreprise sont l’objet d’une violation de confidentialité, cette dernière aura des problèmes avec les autorités réglementaires. En plus, si la brèche provoque une interruption momentanée des activités, ce dommage n’est pas indemnisé par la police classique en assurance de dommages des entreprises ;
- « On ne collecte pas de données personnelles, alors on n’a pas besoin d’une assurance pour ça. »
Toutes les entreprises qui utilisent l’Internet pour communiquer avec leurs clients ou leurs fournisseurs sont susceptibles d’être attaquées par une demande de rançon ou un transfert frauduleux des fonds. La forme la plus classique de cette dernière est « l’arnaque du président ». Aucune de ces deux formes de cyberattaques ne comprend une violation de la confidentialité des renseignements personnels, mais elles peuvent représenter des dommages importants, lesquels peuvent être assurables ;
- « Mes autres produits d’assurance couvrent les garanties offertes par la cyberassurance. »
La plupart des contrats standards en assurance des entreprises comportent une exclusion si le dommage est relié à un incident de cybersécurité. Les contrats visent d’abord la protection des biens immobiliers et mobiliers, et non pas les actifs numériques ou les risques intangibles. La fraude d’ingénierie sociale comme celle de « l’arnaque du président » n’est pas couverte non plus par la police régulière en dommages.
Incident au Groupe Cloutier
Le 18 avril dernier, Groupe Cloutier Services financiers a expédié par courrier électronique à sa clientèle un avis rapportant un incident de confidentialité.
Le Portail de l’assurance a pris connaissance de ce courriel. L’entreprise y explique les mesures qu’elle a prises à la suite de cet événement. L’incident a eu lieu le 16 février 2023 et cette brèche a pu « entraîner la compromission par un tiers non autorisé de certaines données se trouvant sur nos systèmes ».
« Avec l’aide d’experts en cybersécurité, nous avons immédiatement procédé à une enquête afin d’investiguer l’incident et déterminer l’étendue des renseignements personnels concernés. C’est au terme de cette enquête que nous avons pris la décision de vous transmettre le présent avis », indique le Groupe Cloutier dans son courriel.
La compagnie affirme n’avoir aucune preuve que les renseignements personnels ont été mal utilisés. Groupe Cloutier informe néanmoins les clients qu’il offre à ses frais un abonnement de 24 mois au service de protection contre le vol d’identité avec Equifax. Un code d’activation a été indiqué dans ce même courriel.
La société offre également l’option du gel de sécurité, ce qui bloque temporairement la transmission des renseignements personnels détenus par les agences de crédit comme Equifax ou TransUnion aux entreprises ou personnes qui désirent consulter ce dossier de crédit.
Une alerte de sécurité peut également être activée auprès de ces mêmes agences afin d’obliger la personne ou l’entreprise qui consulte le dossier de crédit à faire des vérifications supplémentaires auprès du consommateur pour s’assurer que l’on traite avec la bonne personne.
Le courriel énumère enfin un certain nombre de mesures préventives à adopter de la part des clients touchés par la brèche.
Toutes les demandes d’entrevue faites par le Portail auprès des dirigeants du Groupe Cloutier sont restées sans réponse.
Cet agent général fournit des services à plus de 1 000 conseillers en sécurité financière à travers le Québec.