Démystifier la cyberassurance

Dans le domaine de la cybersécurité, il n’est pas rare d’entendre que la question à se poser n’est pas si notre entreprise sera victime d’une cyberattaque, mais plutôt quand elle en sera victime. En effet, aucune entreprise n’est à l’abri d’une cyberattaque, peu importe sa taille ou son secteur d’activité.  

Lorsqu’on parle de risque, on parle souvent d’assurance. Toutefois, il faut faire bien attention puisque la majorité des polices d’assurance classiques sont silencieuses ou excluent expressément les cyberrisques. Dans cet article, nous tenterons de démystifier la cyberassurance en la définissant, en établissant pour qui elle est utile et en détaillant ce qu’elle peut couvrir ou non.  

C’est quoi? 

La cyberassurance offre une protection pour les entreprises contre les cyberrisques. Elle couvre notamment les pertes financières directes ou indirectes pouvant résulter d’un incident de sécurité ou de confidentialité. Par exemple, la cyberassurance peut couvrir les frais liés à une compromission des boîtes courriel d’une entreprise, d’un rançongiciel, d’un virus, d’une fraude informatique, etc.  

La cyberassurance comporte habituellement trois principaux volets1 :  

  1. Une couverture de première partie :  elle s’appliquera lorsqu’une brèche de sécurité survient à l’interne, et ce, même si elle a été causée par un fournisseur de services tiers.  
  2. Une couverture de tierce partie : elle a pour objectif de protéger l’entreprise en cas de poursuite pour une brèche de sécurité survenue chez un client ou un tiers. 
  3. Une couverture en cas d’erreurs et omissions : s’appliquera dans la situation où une entreprise fait l’objet de poursuite pour ne pas avoir conseillé ses clients adéquatement, pour avoir commis une erreur dans l’exécution de ses services, pour ne pas avoir respecté les délais prévus, etc.  

Pour qui? 

Dès qu’une entreprise a recours à la technologie et à Internet pour rendre ses services, elle est à risque d’être exposée à des cyberrisques. C’est pour cette raison que la très grande majorité des entreprises, peu importe leur taille, peuvent avoir recours à une cyberassurance. 

En considérant la multiplication des cyberattaques dans les dernières années, il n’est pas rare de voir certains clients exiger qu’une entreprise soit couverte par une cyberassurance avant de faire affaire avec cette dernière. Le fait d’être couvert par une cyberassurance peut donc constituer un avantage compétitif dans le marché actuel.  

Pourquoi? 

Obtenir une cyberassurance n’est pas toujours un processus simple. Cela requiert parfois beaucoup de travail, notamment afin de communiquer toute l’information nécessaire à l’assureur. Pour collecter l’information nécessaire à la détermination de la police d’assurance adéquate pour répondre au besoin de votre entreprise, les assureurs demandent habituellement de remplir un questionnaire détaillant les activités ainsi que les mesures de sécurité en place. Cela nécessite la mise en œuvre de ces mesures ainsi qu’une connaissance approfondie de celles-ci. Si l’entreprise n’a pas de mesures de sécurité suffisantes, il est possible qu’elle ne soit pas en mesure de trouver un assureur ou que ses primes soient très élevées. Il est donc primordial de s’assurer d’avoir des mesures de sécurité suffisantes en place. 

Bien que le processus d’obtention d’une cyberassurance peut parfois être complexe, il y a plusieurs avantages à la détenir. En effet, les conséquences d’une cyberattaque engendrent des coûts importants et une cyberassurance peut en limiter les impacts.  

En sachant que les polices ne sont pas standardisées et que le besoin peut varier d’une entreprise à l’autre, voici quelques exemples de ce qu’elles peuvent couvrir :  

  • La perte de revenus découlant d’une cyberattaque 
    Une entreprise victime d’une cyberattaque peut se voir dans l’incapacité de rendre ses services habituels à ses clients. Que ce soit parce que ses systèmes informationnels ne sont plus accessibles ou parce que sa production est interrompue, ce temps d’arrêt ou de ralentissement lors de la gestion de l’incident peut faire en sorte de faire perdre beaucoup de revenus à l’entreprise en question. 
  • La restauration des systèmes et des données 
    Une brèche de sécurité occasionne parfois la nécessité de restaurer ou de reconstituer les données de l’entreprise avec les copies de sauvegarde qu’elle détient. Les systèmes informatiques peuvent également être touchés et leur restauration peut être nécessaire. Cela peut prendre un certain temps et occasionner des frais pour l’entreprise. Ces frais peuvent tous être couverts par une cyberassurance.  
  • Le paiement d’une rançon 
    Dans certaines circonstances, il peut arriver qu’une entreprise décide de payer la rançon demandée pour retrouver l’accès à ses données. D’ailleurs, un récent sondage a indiqué que l’année dernière, environ 70% des organisations ont fait le choix de payer la rançon demandée pour reprendre du service et éviter les impacts réputationnels2. La cyberassurance peut donc couvrir une partie ou la totalité du montant déboursé et même les coûts liés aux négociations avec les personnes malveillantes. 
  • La gestion de l’incident 
    Il est bien connu qu’un incident de sécurité requiert beaucoup de ressources, tant humaines que financières. La gestion de l’incident peut parfois nécessiter le recours à des professionnels externes comme des experts en sécurité, des spécialistes des relations publiques, des avocats, etc. Les honoraires de ces professionnels peuvent s’accumuler rapidement et constituer des frais importants pour l’entreprise. 
  • La notification et le soutien 
    La notification d’un incident de sécurité ou de confidentialité aux personnes concernées, la divulgation aux commissaires à la protection de la vie privée le cas échéant ainsi que le soutien offert aux personnes concernées peuvent également représenter des frais majeurs pour une entreprise victime d’une cyberattaque. En fonction de la nature et de l’ampleur de l’incident, certaines entreprises rendront disponible une ligne téléphonique afin de répondre aux questions des personnes concernées, offriront un suivi des dossiers de crédit ou toute autre mesure permettant de minimiser le préjudice. La cyberassurance peut venir en aide à l’entreprise pour les frais qui découlent de ces démarches.  
  • La défense 
    En cas de cyberattaque, il peut arriver que les personnes concernées ou vos clients entament des poursuites contre votre entreprise. La cyberassurance peut couvrir les coûts associés à votre défense et même couvrir les dommages-intérêts que l’entreprise devra payer.   

De plus, il est important de préciser qu’une cyberassurance ne couvre pas de manière automatique tous les types de cyberattaques ou tout ce qui peut en découler. Par exemple, une attaque par ingénierie sociale, le remplacement de matériel technologique ou les impacts réputationnels résultant d’une cyberattaque peuvent ne pas être couverts et constituer des surplus. C’est pourquoi il est important de s’assurer de bien comprendre ce que la police prévoit et de connaître les surplus possibles pour être en mesure d’en faire la demande si désirée.   

Enfin, certains risques ne sont tout simplement pas couverts par une cyberassurance. C’est notamment le cas d’une perte de valeur de la propriété intellectuelle de l’entreprise à la suite d’une brèche de sécurité, une perte de revenus anticipés, le coût de mise en œuvre de mesures de sécurité plus efficaces qu’avant l’incident et d’autres situations pouvant être couvertes par d’autres types de police d’assurance comme les dommages corporels ou matériels ou la responsabilité contractuelle.  

Conclusion 

Il est évident qu’une cyberassurance peut constituer une aide financière importante pour les entreprises afin de les aider à se relever des conséquences liées à une cyberattaque. Toutefois, elle ne constitue malheureusement pas une solution miracle.  

Plusieurs conséquences d’une cyberattaque sont difficilement quantifiables, comme l’impact réputationnel lié à de mauvaises pratiques de cybersécurité ou la perte de talents potentiels qui ne souhaiteront pas joindre une entreprise ayant fait la une des journaux en raison de leur négligence en matière de sécurité. C’est pourquoi une assurance ne remplacera jamais les bonnes pratiques en cybersécurité. Elles doivent d’ailleurs être démontrées afin d’obtenir une cyberassurance. Pour obtenir plus d’informations à ce sujet ou pour vous assurer d’avoir les mesures de sécurité adéquates en place, n’hésitez pas à contacter nos experts chez MONDATA! 


1 First-Party vs. Third-Party Cyber Liability Insurance | TechInsurance, consulté le 6 octobre 2021. 
2 Sept organisations sur dix ont payé lorsqu’elles ont été victimes de rançongiciels | ICI Radio-Canada.ca (ampproject.org), consulté le 5 octobre 2021. 

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.