On parle beaucoup des multinationales, des hôpitaux et des universités qui subissent des violations de données importantes dans les médias, mais les petites et moyennes entreprises sont elles aussi à risque de subir des cyberattaques. La différence, c’est qu’elles ont généralement moins de moyens de défense que leurs homologues de plus grande taille.
Quel que soit le type de cyberattaque que vous pourriez subir — par exemple si un logiciel malveillant met votre site Web hors service, si un pirate prend vos données en otage à l’aide d’un rançongiciel ou encore si une intrusion dans votre système met en danger les renseignements personnels de vos clients —, l’incident pourrait mettre votre entreprise sur la touche et la facture pour vous remettre sur les rails pourrait être élevée.
Malgré cela, beaucoup de propriétaires de petites entreprises sous-estiment les risques qui les guettent, pensent qu’ils n’ont pas besoin d’une assurance des cyberrisques, ou encore croient à tort que leur police d’assurance responsabilité civile complémentaire couvre les cyberrisques.
En réalité, l’absence de stratégie de sécurité — et de protection adéquate — peut entraîner des coûts importants. Si vous découvrez que vous êtes victime d’une cyberattaque, vous devrez rapidement mettre en œuvre un plan d’intervention pour réduire le plus possible la période d’interruption de vos activités et vous rétablir le plus vite possible.
Les conséquences d’une cyberattaque peuvent se faire sentir pendant longtemps. Par exemple, en cas de vol de données, même après avoir recouvré l’accès aux renseignements touchés, vous aurez encore du travail à faire, par exemple, réparer votre réseau et vous occuper des poursuites en justice. Ce travail pourrait durer des jours, des semaines, voire des mois.
Par où commencer
Quand vient le moment d’élaborer une stratégie d’intervention en cas de cyberattaque, de nombreux chefs d’entreprise ne savent pas par où commencer. Le Centre canadien pour la cybersécurité est l’une des ressources vers laquelle il est possible de se tourner. Elle propose des contrôles de cybersécurité pour les petites et moyennes entreprises, comme l’élaboration d’un plan d’intervention en cas d’incident, l’application automatique de correctifs aux applications, l’activation de logiciels de sécurité, la configuration des appareils pour assurer la sécurité et le recours à une authentification forte.
Instaurer des contrôles de cybersécurité est important, mais avoir un programme d’intervention l’est tout autant. Un tel programme devrait comprendre un ensemble de politiques, de contrôles et de processus de sécurité pour aider votre entreprise à se protéger contre les cyberrisques, à faire face aux incidents et à s’en remettre après coup.
Même si vous n’avez pas d’expert en cybersécurité au sein de votre personnel, il est quand même important que vous formiez une équipe d’intervention en cas de cyberattaque et que vous définissiez les rôles et les responsabilités de chaque membre. L’équipe devrait à la base avoir une taille restreinte afin de pouvoir faire preuve de flexibilité en cas d’incident (mais vous pouvez toujours y ajouter des membres, selon vos besoins et vos différents secteurs d’activités).
Les petites et moyennes entreprises qui ne disposent pas des ressources nécessaires à l’interne peuvent faire appel à des intervenants externes, par exemple dans des domaines tels que le soutien informatique, l’assistance juridique, les ressources humaines et les relations avec les médias.
Si vous faites appel à des enquêteurs spécialisés, à des conseillers en sécurité ou à d’autres tiers, sachez à l’avance qui contacter et comment les joindre en cas d’urgence. Prévoyez aussi un budget pour cela.
Vous devrez aussi désigner un responsable au sein de votre équipe d’intervention. Par exemple, en cas d’attaque par rançongiciel, qui sera la personne chargée de gérer l’intervention? Saura-t-elle quoi faire et qui appeler? A-t-elle les coordonnées de conseillers juridiques, du service de police et d’enquêteurs spécialisés? Sait-elle avec qui communiquer chez votre courtier d’assurance?
De plus, il est important que les principaux intervenants aient l’autorité nécessaire pour prendre des décisions immédiates. Par exemple, vous pourriez avoir un employé de votre service des finances dans votre équipe d’intervention et lui conférer l’autorité nécessaire pour prendre des décisions budgétaires rapides si vous devez faire appel à un enquêteur spécialisé ou à d’autres experts en cas d’atteinte à votre sécurité.
Pourquoi l’assurance des cyberrisques joue un rôle clé
L’assurance des cyberrisques devrait être incluse dans votre stratégie d’intervention en cas de cyberattaque, et votre courtier d’assurance devrait faire partie de votre équipe d’intervention. Cette assurance est conçue pour soutenir votre entreprise si vous êtes victime d’une violation de données et qu’en conséquence, vos activités sont interrompues, vos systèmes informatiques sont corrompus ou encore vous faites face à une demande de rançon pour récupérer des données volées.
L’assurance des cyberrisques peut couvrir les éléments suivants :
- Les pertes d’exploitation
- Les frais d’intervention en cas d’incident
- Les frais pour le recouvrement des données
- La responsabilité civile
- Les amendes imposées par les autorités
Sans une assurance adaptée à votre situation, en cas de cyberattaque, vous pourriez devoir assumer des frais d’intervention et de réparation, des pertes de revenu associées à l’interruption de vos activités, des frais juridiques et des amendes.
Protégez-vous avec la bonne assurance
Comme on ne sait jamais ce qui peut arriver dans le monde numérique, il est impératif que votre entreprise soit assurée en cas de sinistre. Au-delà des conséquences financières, les atteintes à la sécurité et à la protection des données peuvent avoir de graves répercussions sur votre réputation auprès de votre clientèle. Pour découvrir d’autres façons de vous protéger, vous et votre entreprise, consultez notre page consacrée à l’assurance des cyberrisques dès aujourd’hui.
