Sélection de la langue

Votre petite entreprise a-t-elle besoin d’une cyberassurance?

par le Bureau d’assurance du Canada

Pour cet article de blogue, Pensez cybersécurité s’est associé au Bureau d’assurance du Canada (BAC), qui, comme nous, comprend l’importance de la cybersécurité pour les entreprises et les individus. Ce blogue présente leur point de vue quant à la cyberassurance et nous les remercions pour leur partenariat dévoué envers la cybersécurité des Canadiens et Canadiennes.

Le taux de cybercriminalité est à la hausse et ne représente plus uniquement une menace pour les grandes entreprises. Selon un rapport d’IBMNote 1, le coût total moyen d’une atteinte à la protection des données pour les entreprises canadiennes en 2022 s’élevait à environ 7,3 millions de dollars. Puisque les grandes entreprises sont en mesure d’investir dans des systèmes de sécurité élaborés, les cybercriminels ciblent désormais les petites entreprises qui sont souvent moins bien préparées face aux cyberattaques. La demande en matière de cyberassurance continue d’augmenter, tout comme la fréquence et la gravité des cyberattaques. Sans programme de cybersécurité en place, les petites entreprises peuvent avoir du mal à obtenir une couverture de cyberassurance adéquate.

Savoir ce que recherchent les compagnies d’assurance avant de commencer à magasiner votre police peut vous aider à obtenir la couverture dont votre entreprise a besoin. Voici un aperçu des principes de base de la cyberassurance et ce que vous pouvez faire pour faciliter l’obtention d’une police d’assurance.

Qu’est-ce que la cyberassurance et que couvre-t-elle?

La cyberassurance est un produit spécialisé destiné à aider les entreprises à mieux gérer les pertes causées par les menaces liées aux réseaux informatiques, telles que les atteintes à la protection des données et la cyberextorsion.

La cyberassurance peut couvrir plusieurs cyberincidents, notamment :

  • les atteintes à la protection des données confidentielles : la perte et l’accès non autorisé à des données confidentielles ou personnelles;
  • la cyberextorsion : une demande de paiement sous la menace de restreindre votre accès ou de compromettre vos données; par exemple, une attaque par rançongiciel;
  • les perturbations technologiques : une panne technologique ou uneattaque par déni de service, qui empêche l’accès à vos services en ligne.

La cyberassurance peut vous aider à couvrir certains coûts encourus à la suite d’une cyberattaque, notamment pour la représentation juridique, la divulgation aux parties concernées, l’embauche d’une firme pour enquêter sur la cause de la cyberattaque et la récupération des données endommagées ou corrompues.

Les polices de cyberassurance les plus courantes au Canada sont des polices indépendantes qui sont spécifiques aux cyberrisques auxquels fait face votre entreprise. Toutefois, pour des besoins particuliers, certains propriétaires d’entreprises peuvent opter pour un avenant qui permet d’ajouter, de supprimer ou d’exclure une couverture de cyberassurance, au besoin.

Qu’est-ce qu’une compagnie d’assurance a besoin de savoir sur votre entreprise?

Lorsque vous faites une demande de cyberassurance, les assureurs évaluent le risque de votre entreprise de subir une cyberattaque. Les questions qu’un représentant d’assurance peut vous poser sont les suivantes :

  • Comment décririez-vous vos activités? (Par exemple, le nombre d’employés, des informations sur vos clients et une analyse de vos revenus.)
  • À quand remonte le dernier audit de sécurité et de confidentialité effectué au sein de votre entreprise et est-ce que toutes les recommandations ont été mises en œuvre?
  • Disposez-vous d’un chef de la protection des renseignements personnels ou d’un dirigeant principal de l’information?
  • Quelles informations recueillez-vous et est-ce nécessaire de les recueillir? (Petit conseil : envisagez de réduire le nombre de données que vous recueillez pour minimiser votre exposition à une atteinte à la vie privée.)
  • Quelles mesures de sécurité avez-vous mises en place pour empêcher l’accès à vos installations et à vos systèmes?
  • Quel est le budget annuel alloué à l’ensemble des contrôles de cyberprotection au sein de votre entreprise?

En général, si vous pouvez démontrer que vous avez mis en œuvre de solides stratégies de gestion des risques, les assureurs peuvent être en mesure de vous offrir une couverture à une prime inférieure, par rapport aux entreprises qui présentent un risque plus élevé.

Commencez par autoévaluer vos pratiques actuelles en matière de cybersécurité

Vous pouvez élaborer un programme de cybersécurité durable et efficace en procédant à une autoévaluation de votre situation actuelle. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) vous donne accès aux ressources suivantes pour améliorer votre infrastructure essentielle de cybersécurité :

  • Sensibilisation : il est important que votre entreprise sensibilise ses employés à la cybersécurité. Veillez à ce que vos employés aient accès à une formation personnalisée en matière de cybersécurité afin de mieux connaître leurs responsabilités et ainsi contribuer à la gestion des risques concernant les systèmes, les actifs, les données et les capacités de votre entreprise.
  • Prévention : assurez-vous que des mesures de protection sont mises en place pour toutes les données et tous les systèmes qui sont essentiels à la prestation des services de votre entreprise. Par exemple, appliquez l’authentification multifactorielle sur tous les comptes et appareils pour empêcher l’accès aux données par des utilisateurs non autorisés.
  • Détection : développez des procédures et utilisez des outils de gestion des alertes pour détecter les atteintes et alerter la direction dès qu’un incident de cybersécurité se produit. La détection des incidents permettra de réduire la propagation à d’autres appareils et données pour une réponse et une récupération efficace.
  • Intervention : créez un plan d’intervention en cas d’un incident qui comprend des stratégies de confinement et d’atténuation, la divulgation aux personnes concernées et l’examen des journaux d’audit pour comprendre la raison fondamentale de la cyberattaque (certains coûts reliés à ces activités seront probablement couverts par votre police de cyberassurance).
  • Rétablissement : restaurez les zones et les services qui ont été endommagés au cours de l’incident de cybersécurité et répertoriez les stratégies de reprise informatique pour mieux répondre aux éventuelles cyberattaques.

(Remarque : il ne s’agit pas d’une liste exhaustive des stratégies en matière de cybersécurité. Vous devriez considérer de faire appel à un spécialiste de la cybersécurité pour discuter de l’éventail complet des stratégies qui s’offrent à vous.))

Conclusion

Les cyberattaques étant de plus en plus fréquentes, les entreprises, surtout celles qui ont une présence en ligne et qui s’adonnent au commerce électronique, ne peuvent plus se permettre d’ignorer les risques. Les propriétaires de petites entreprises sont invités à contacter leur représentant en assurance. Celui-ci pourra vous aider à déterminer si la cyberassurance convient à votre entreprise et à vous doter de la bonne couverture d’assurance selon les risques auxquels fait face votre entreprise.

N’oubliez pas qu’une police de cyberassurance ne représente qu’une facette de la stratégie globale d’atténuation des risques, et qu’elle ne remplace pas la cyberrésilience de votre entreprise. Visitez Cyber.gc.ca pour en savoir plus sur la protection de votre entreprise contre les cyberrisques et IBC.ca pour obtenir plus de renseignements sur la cyberassurance.


Note de bas de page

  1. 1

    IBM (2022). How much does a data breach cost in 2022?

Date de modification :