Vous avez sans doute entendu parler des histoires sur les répercussions de l’atteinte à la protection des données visant Target qui est survenue l’année dernière. Cet incident a touché plus de 110 millions de clients. Récemment, Home Depot a aussi été la cible d’une atteinte à la sécurité visant les cartes de crédit de ses clients. Malgré ces deux cas très médiatisés, bon nombre de propriétaires d’entreprise ne sont toujours pas certains s’ils sont protégés contre ce genre d’attaque, alors que d’autres pensent qu’ils n’ont pas vraiment besoin d’une protection de ce genre.
Nous aimerions dissiper certaines idées fausses concernant la protection contre les cyberrisques.
« Je crois être déjà protégé contre les cyberrisques grâce à mon assurance de la responsabilité civile. »
Supposons que l’ordinateur portatif ou le téléphone intelligent que vous utilisez au travail est volé. Bien que l’appareil en question soit souvent couvert par une assurance, il n’en est pas de même des répercussions découlant des données perdues ou compromises qui ne sont pas couvertes par votre assurance de la responsabilité civile des entreprises.
Voici quelques raisons pour lesquelles les cyberrisques ne sont pas couverts par d’autres assurances :
- Les données ne sont pas considérées comme étant des biens corporels; elles sont donc exclues d’une police d’assurance des biens.
- La perte de revenu de l’entreprise découlant d’un virus informatique, d’un logiciel malveillant ou d’un déni de service (DDS) ne sera pas couverte par une assurance traditionnelle en cas d’interruption des activités puisqu’elle n’est pas considérée comme étant un dommage matériel direct.
- Les frais d’extorsion, les frais pour répondre à un incident et les frais liés aux procédures réglementaires ne sont pas couverts dans une police traditionnelle de la responsabilité civile générale ou une assurance des biens.
- L’assurance de la responsabilité civile des entreprises exclut également les dommages découlant de la perte ou de la corruption de données électroniques.
« Nous ne sommes pas une entreprise multinationale, donc nous ne sommes pas vraiment à risque. »
Une assurance des cyberrisques ne protège pas seulement contre les pirates informatiques. Elle offre une protection contre les erreurs humaines et les pertes causées par les employés. Près de la moitié des incidents de sécurité sont attribuables à l’erreur humaine. De plus, les multinationales ne sont pas les seules victimes des atteintes à la protection des renseignements personnels. Environ 31 % des atteintes signalées touchent des entreprises de moins de 100 employés et près de 70 % des entreprises canadiennes ont été victimes d’un incident lié à la protection des renseignements personnels au cours des deux dernières années1.
« Je suis certain que je peux gérer moi-même ces attaques sans me procurer une assurance spéciale. »
Avant de rejeter toute protection contre les cyberrisques, posez-vous d’abord les questions suivantes : avez-vous un plan de réponse à un incident, un plan de reprise après sinistre et un plan de continuité des activités? Bon nombre d’entreprises n’en ont pas. Un aspect peu abordé des atteintes à la protection des données est l’atteinte à la réputation dont peut souffrir l’entreprise. Il faut tenir compte du fait que 89 % des Canadiens éviteront de faire affaire avec une entreprise qu’ils jugent avoir des problèmes de protection des renseignements (il suffit de penser à la baisse spectaculaire des ventes dans les magasins Target après l’incident de sécurité). Si un incident lié à la protection des renseignements personnels n’est pas géré de façon adéquate, il peut avoir un effet dévastateur sur la survie de l’entreprise.
Si vous avez encore des questions sur la protection contre les cyberrisques, communiquez avec votre courtier. Il pourra vous aider à déterminer vos besoins pour vous assurer que votre entreprise est protégée.
1 SOURCE: Rapport d’enquête sur le cybercrime au Canada intitulé Study of the Impact of Cyber Crime on Businesses in Canada, International Cyber Security Protection Alliance