Au Canada, le coût moyen d’une atteinte à la protection des données a atteint un niveau record au cours de la dernière année, soit 6,75 millions de dollars par incident[1]. Ce montant, qui représente une augmentation par rapport aux 6,35 millions de dollars de l’an dernier, est même plus élevé que celui des États-Unis.

Cette hausse de coûts, en grande partie attribuable aux politiques de télétravail instaurées en raison de la COVID-19, a entraîné des changements importants dans l’ensemble du marché de l’assurance. En fait, bien qu’une augmentation globale du risque ait été constatée par de nombreuses compagnies d’assurance, la cyberassurance a été l’une des lignes de couverture les plus durement touchées en raison de la fréquence et de la gravité de ses sinistres. Le début de la pandémie a généré un terrain propice à la montée de la cybercriminalité, présentant ainsi un défi aux assureurs et causant des répercussions sur le marché de la cyberassurance, tant pour 2021 que pour les années à venir. 

En tant que fournisseurs et protecteurs de Plan Data for a Pension Trusteed Board ou de Plan Administration Office, la protection des données constitue désormais une préoccupation importante compte tenu du volume élevé de données sensibles gérées. Il est plus important que jamais de connaître les risques, la façon dont l’industrie de l’assurance les gère et les mesures que peut prendre votre organisation pour atténuer son exposition. 

Le marché de la cyberassurance est unique 

Comme la cyberassurance demeure une ligne de couverture relativement nouvelle, le processus de souscription est toujours en développement. Contrairement aux assureurs de biens et de responsabilité, les cyberassureurs n’ont pas la chance de consulter les données historiques pour tenter d’anticiper le prochain sinistre. De plus, le coût des demandes de règlement relatives aux cyberrisques augmente à un rythme alarmant. Le cyberassureur mondial CFC Underwriting a déclaré que les coûts de ses demandes de règlement se sont révélés cinq fois plus élevés en 2020 qu’en 2019[2]. De plus, un récent communiqué du Bureau du surintendant des institutions financières (« BSIF ») indique que, parmi les institutions financières canadiennes sous le régime des lois fédérales, les ratios de pertes ont augmenté de plus de 400 % en 2020 par rapport à 2019[3].

Les incidents de rançongiciel à grande échelle entraînent des répercussions importantes

À mesure que les polices de cyberassurance seront mises en œuvre à compter de 2021, plusieurs incidents de rançongiciel de grande envergure survenus récemment resteront gravés dans l’esprit des assureurs, y compris l’incident de la brèche de SolarWinds à la fin de 2020 et les vulnérabilités constatées dans les versions de Microsoft Exchange au printemps 2021. Les auteurs de la menace ont pu accéder au système de SolarWinds et déployer un logiciel malveillant dissimulé dans une mise à jour du correctif logiciel envoyée à 18 000 clients. Dans le cas de Microsoft, après avoir relié les vulnérabilités entre elles, les auteurs de la menace pouvaient accéder au serveur Microsoft Exchange d’une entreprise, voler des courriels et implanter des logiciels malveillants de façon à accroître l’accès au réseau de l’entreprise. À l’heure actuelle, on découvre encore l’étendue des dommages et les souscripteurs font des pieds et des mains pour établir l’ampleur de leur exposition. En plus des incidents susmentionnés, des attaques de rançongiciels contre deux assureurs mondiaux au deuxième trimestre de 2021 ont entraîné le paiement d’une rançon de 40 millions de dollars par un des assureurs[4]. 

Malheureusement, ce type d’incident important est de plus en plus fréquent. Chaque incident majeur oblige les assureurs à réévaluer leur appétit pour le risque relativement à certaines catégories d’entreprises et d’industries.

Le marché de la cyberassurance évolue 

Par conséquent, les cyberassureurs réagissent. À l’heure actuelle, la souscription fait l’objet d’un examen minutieux. Cela signifie que d’importantes restrictions sur la couverture, une limitation de la capacité et une augmentation des primes et des franchises sont imposées. Enfin, de nombreux assureurs insistent pour adopter une solide posture de sécurité du réseau. 

Dans le contexte des menaces à la cybersécurité actuel, la planification devient essentielle. Protégez votre organisation grâce aux cinq pratiques exemplaires suivantes :

1. SAUVEGARDEZ VOS DONNÉES RÉGULIÈREMENT.

En cas d’incident de rançongiciel, vous souhaiterez accéder rapidement à vos données de sauvegarde. En règle générale, vous devriez réaliser une sauvegarde le plus souvent possible. Chaque entreprise est différente; toutefois si vos données varient considérablement d’heure en heure, optez pour une sauvegarde en temps réel. 

2. LANCEZ UNE RECHERCHE DE VIRUS SUR UNE BASE RÉGULIÈRE.

Vérifiez l’ensemble de votre infrastructure de réseau, y compris les bases de données. Cette pratique revêt une importance particulière pour les organisations comptant plusieurs gestionnaires ou emplacements de TI.

3. FORMEZ VOS EMPLOYÉS.

Apprenez à vos employés à reconnaître et à supprimer les courriels d’hameçonnage et ceux contenant des logiciels malveillants sans les ouvrir. Cette étape cruciale exige la mise en place d’une culture descendante axée sur la reconnaissance à l’échelle de l’organisation. Elle ne peut pas être sous la seule responsabilité du département des TI.

4. MAINTENEZ UN PLAN D’INTERVENTION À JOUR EN CAS D’INCIDENT.

Bien que vous puissiez être en mesure de remettre votre réseau en état de marche après une attaque de rançongiciel, il se peut que le pirate informatique y ait accédé en premier. Dans ce cas, vous devrez prendre une décision rapide : Payerez-vous la rançon? Négocierez-vous? Assurez-vous d’être prêt en répondant à ces questions avant qu’une atteinte ne survienne et prenez les mesures suivantes dès maintenant : 

• Identifiez les principaux intervenants qui joueront un rôle dans votre réponse, notamment :
  1. À l’interne : Représentants des affaires juridiques, des RH et des TI, et porte-parole
  2. À l’externe : Courtier en cyberassurance, avocat externe et courtier en cryptomonnaie (les pirates peuvent exiger un paiement en bitcoins)
• Veillez à réduire au minimum le tort causé aux finances et à la réputation de votre organisation.
  1. Décidez si vous offrirez des services de surveillance du crédit ou mettrez sur pied un centre d’appels pour répondre aux préoccupations des clients.
• Maintenez une solide couverture de cyberassurance qui offre en plus des ressources pertinentes en cas d’atteinte aux données. Renseignez-vous auprès de votre courtier quant aux ressources qui peuvent vous aider à payer une rançon en bitcoins, à mener une enquête en informatique judiciaire et à mettre en œuvre des procédures de notification.

5. ACHETEZ UNE CYBERASSURANCE.

La plupart des entreprises disposent d’une police d’assurance générale qui couvre des risques tels que les dommages à la propriété et l’interruption de leurs activités découlant de risques couverts ou de crimes. Toutefois, les polices d’assurance traditionnelles excluent généralement les cyberrisques ou n’offrent qu’une couverture limitée pour ce type de menace. L’assurance responsabilité en matière de cyberattaque permet de combler les lacunes laissées par ces exclusions et donne accès à des ressources, ainsi qu’à des experts, pour vous aider à atténuer les pertes découlant d’un incident de cybersécurité.

Compte tenu du contexte en constante évolution, il importe de comprendre l’état du marché de l’assurance, de mettre en œuvre des mesures clés de protection des réseaux et de souscrire à une cyberassurance. Un courtier d’assurance chevronné peut vous aider à gérer et à surmonter le milieu complexe de la cyberassurance, en plus d’aider votre organisation à se protéger contre les nouvelles cybermenaces.