Être propriétaire d’une petite entreprise, c’est notamment connaître les différents coûts qu’implique l’exercice des activités. Si la plupart des entreprises sont parfaitement conscientes des frais mensuels liés aux loyers, aux salaires, au matériel de bureau, etc., le coût total d’une cyberattaque sur les activités de l’entreprise est encore largement inconnu dans bien des cas. Selon une étude récente menée par le Bureau d’assurance du Canada (BAC), seuls 31 % des propriétaires d’une petite ou moyenne entreprise interrogés font de la cybersécurité une priorité financière, et 73 % d’entre eux ont réduit leurs dépenses dans ce domaine. Cependant, se remettre d’une cyberattaque peut entraîner des coûts plus élevés que ne le pensent de nombreux propriétaires de petite entreprise, et les estomaquer. Dans le cadre d’un sondage du BAC réalisé en 2021, 41 % des propriétaires d’une petite entreprise qui ont été victimes d’une cyberattaque ont déclaré qu’elle leur avait coûté 100 000 $ au bas mot. Certains des frais engagés après une attaque peuvent inclure la récupération des données corrompues, la notification des personnes touchées et la mise en place d’un service de surveillance du crédit à leur intention, l’expertise informatique judiciaire et les frais juridiques. Pour le propriétaire d’une entreprise victime d’un cyberincident, le plus stressant est souvent de savoir quelles démarches entreprendre et vers qui se tourner pour obtenir de l’aide.
Heureusement, il est possible de couvrir bon nombre de ces dépenses au moyen d’une cyberassurance, de sorte que vous ne serez pas seul à faire face à ce risque.
L’assurance de cybersécurité est un produit d’assurance spécialisé destiné à protéger les entreprises contre les sinistres attribuables aux risques liés aux données et à la technologie, tels que les atteintes à la confidentialité des données, les perturbations touchant la technologie et la cyberextorsion. Ce produit procure des services à valeur ajoutée qui vous aideront à vous préparer à un cyberincident et à le gérer.
La souscription d’une police d’assurance de cybersécurité présente d’autres avantages également. Par exemple, pendant la proposition, un représentant d’assurance peut être en mesure de vous aider à mettre au jour des lacunes en matière de sécurité, vous donner des conseils et accéder à des ressources pouvant vous aider à développer une cyberrésilience et à créer un plan d’intervention et d’atténuation en cas d’atteinte à la sécurité. S’il se produit un incident, en plus de couvrir vos frais de récupération, votre assureur peut également vous mettre en relation avec des experts approuvés, tels que des conseillers juridiques et des experts en données informatiques, afin de vous aider à recenser vos options et à rétablir vos activités.
Si votre entreprise est victime d’une cyberattaque, une police d’assurance de cybersécurité peut vous apporter le soutien dont vous avez besoin pour protéger votre entreprise. Prenons l’exemple de la propriétaire d’une pharmacie, qui souscrit une police d’assurance de cybersécurité en raison des données sensibles qu’elle conserve sur ses clients et du fait que plusieurs membres de son personnel et plusieurs de ses fournisseurs ont accès au réseau de l’entreprise. À titre de propriétaire d’une petite entreprise, elle ne bénéficie que d’un accès limité aux professionnels de la technologie de l’information et elle ne sait pas trop comment s’y prendre pour se remettre d’une cyberattaque.
Malheureusement, six mois après avoir souscrit l’assurance, un nouvel employé qui n’avait pas encore reçu une formation en matière de cybersécurité est trompeusement incité à ouvrir une pièce jointe à un courriel qui a pour effet d’installer un logiciel malveillant dans le réseau. Les pirates peuvent accéder aux dossiers de la pharmacie, y compris à la date de naissance, à l’adresse et au dossier médical de centaines de clients. Après que la pharmacienne a présenté une réclamation, sa compagnie d’assurance lui conseille d’engager des experts pour mettre fin à l’atteinte à la sécurité des données, tout en conservant les preuves nécessaires à une enquête de suivi. L’assureur lui recommande également de mettre sur pied une équipe de spécialistes de l’analyse informatique des réseaux et des données afin de déterminer si des informations critiques sur la clientèle ont été extraites.
Bien que certains dossiers personnels aient fait l’objet d’une fuite, il appert en dernière analyse que les systèmes de la pharmacie ont été globalement épargnés, de sorte qu’elle peut reprendre ses activités rapidement après l’atteinte. Le coût de tous ces professionnels de la cybersécurité ainsi que les frais de récupération de ses systèmes, d’expertise et de justice auraient largement dépassé les ressources financières de la propriétaire. Lorsque la propriétaire de l’entreprise a examiné ses options en matière d’assurance de cybersécurité, elle a opté pour la police la plus complète que son budget lui permettait, de sorte que tous ces services ont été couverts. De plus, la liste des fournisseurs de services de confiance de la compagnie d’assurance lui a permis d’accélérer le processus de sélection des spécialistes adéquats, au lieu de perdre un temps précieux à déterminer les spécialistes dont elle avait besoin, puis à rechercher des personnes compétentes dans les limites de son budget.
Dans la foulée d’une cyberattaque, d’autres frais imprévus peuvent encore survenir. Par exemple, si l’incident a eu pour effet de compromettre la sécurité des renseignements sur des clients, ces derniers peuvent intenter une action en dommages-intérêts contre l’entreprise responsable de l’incident. Une police d’assurance de cybersécurité complète pourrait couvrir des services professionnels supplémentaires portant sur des questions de nature juridique. Ces services pourraient également contribuer à rétablir la réputation de l’entreprise et à regagner la confiance des clients.
Une cyberattaque est un événement complexe que peu d’entreprises peuvent gérer seules. Grâce à une police d’assurance de cybersécurité, les propriétaires d’entreprise demeurent toujours aux commandes lorsqu’il s’agit de prendre des décisions, mais le représentant d’assurance peut souvent les aider à obtenir la bonne information et à accéder aux bonnes personnes. Une police d’assurance de cybersécurité appropriée peut couvrir tout ou partie des coûts d’un cyberincident, de la prévention à la récupération en passant par le confinement.
Tous les propriétaires d’entreprise devraient revoir leurs stratégies de gestion du risque ainsi que leur assurance des entreprises courante afin de déterminer si cette dernière tient compte du niveau de leur cyberrisque. Cyber Savvy Canada, par le Bureau d’assurance du Canada, offre gratuitement une auto-évaluation en 10 questions pour aider les propriétaires d’entreprise à parfaire leurs connaissances sur les protocoles de cybersécurité que la plupart des assureurs des cyberrisques attendent d’eux et sur les moyens de réduire les cyberrisques de leur entreprise. Cette évaluation met en relief certaines des questions que les assureurs de cybersécurité peuvent poser. Elle propose également des ressources utiles, telles qu’une liste de contrôle relative à l’assurance de cybersécurité, un plan de cybersécurité type et une liste de contrôle des mesures à prendre pour protéger votre entreprise contre les cyberrisques.
À propos de l’auteur de cet article
Mahan Azimi siège à titre de directeur de la Politique en matière de risque de catastrophe au sein de l’équipe Politique en matière de risque de catastrophe et de climat du BAC, où il supervise les projets liés aux inondations, aux tremblements de terre et aux cyberrisques. Il joue également un rôle clé dans la planification stratégique et d’entreprise.
Avant d’entrer au service du BAC en 2021, Mahan a acquis une expérience précieuse en travaillant à titre d’expert-conseil au sein du gouvernement fédéral et dans le secteur privé. Mahan est titulaire d’une maîtrise en sciences politiques de l’Université de York et d’un baccalauréat ès arts de l’Université de Toronto.
)
)