Malgré le qualificatif qui les accompagne, les « cyberrisques silencieux » font beaucoup parler d’eux dans le secteur de l’assurance des entreprises.
Qu’entend-on par « cyberrisques silencieux » ?
La notion de cyberrisques silencieux, ou « non affirmatifs », désigne les pertes liées aux cybertechnologies qui découlent de polices d’assurance non spécifiquement conçues pour couvrir les cyberrisques. Le cyberrisque n’est pas explicitement inclus dans ces polices, mais n’en est pas explicitement exclu non plus, ce qui crée de l’ambiguïté et peut faire en sorte que la couverture devienne matière à interprétation. Une police de cyberassurance autonome, par contre, définit clairement ce qui est couvert (couverture affirmative). C’est le cas des polices d’assurance relatives à la vie privée, aux pertes d’exploitation et aux extorsions, pour ne nommer que celles-là.
Pourquoi les « cyberrisques silencieux » soulèvent-ils des préoccupations ?
Bien que les cyberrisques silencieux ne constituent pas un nouveau concept, ils attirent davantage l’attention depuis la montée du cybercrime et du coût des attaques. En termes simples, les entreprises n’ont pas les moyens de se contenter d’une cyberprotection inadéquate ou ambiguë.
Selon l’étude « Cost of Cybercrime » réalisée par Accenture et le Ponemon Institute en 2019, le coût moyen du cybercrime pour une entreprise canadienne s’élevait à 12,1 M$ en 2018.1 À l’échelle internationale, six entreprises sur sept (85 %) ont fait l’objet de cyberattaques d’ingénierie sociale et d’hameçonnage en 2018 et les trois quarts (76 %) ont subi des attaques provenant du Web. Cybersecurity Ventures prévoit que le coût du cybercrime à l’échelle mondiale, qui se chiffrait à 3 billions de dollars en 2015, atteindra les 6 billions de dollars d’ici 2021.2
De plus, la plus récente enquête mondiale de PwC sur la fraude et les crimes économiques révèle que le cybercrime fait partie des trois formes de crimes ayant entraîné le plus de perturbations dans presque toutes les industries visées par l’enquête.3
Dans la foulée de l’augmentation de la fréquence, de l’ampleur et des coûts des attaques, les préoccupations entourant les cyberrisques silencieux s’accentuent. Il est plus important que jamais que les titulaires de police comprennent leur couverture pour éviter de se retrouver dans une posture où ils croient détenir des garanties adéquates alors que ce n’est peut-être pas le cas. Une police cyber autonome peut les aider à réduire toute éventuelle lacune à l’égard de leur protection.
Y a-t-il une réglementation sur les cyberrisques silencieux ?
Le Royaume-Uni a été le premier grand marché à prendre une position ferme sur les cyberrisques silencieux. L’an dernier, la Prudential Regulation Authority (qui fait partie de la Banque d’Angleterre) a demandé au Lloyd’s de Londres et à l’industrie de l’assurance dans son ensemble de veiller à la gestion des cyberrisques affirmatifs et non affirmatifs (silencieux). Par la suite, le Lloyd’s a annoncé qu’il rendait obligatoire l’ajout de précisions dans toutes les polices non affirmatives à l’égard de la cyberprotection en excluant ou en accordant une couverture affirmative.
De plus, du côté des titulaires de polices, l’agence de notation internationale A.M. Best a dit « s’attendre à ce que les entreprises se montrent proactives et franches à l’égard de leur propre évaluation et de leur propre mesure de leurs risques de cyberresponsabilité, ainsi que de l’accumulation des risques de cet ordre les concernant ».4
Bien qu’aucune réglementation n’ait encore été déposée en la matière au Canada, les assureurs se penchent sur des façons d’intégrer des garanties par l’entremise de toutes les polices, et non seulement des polices visant expressément les cyberrisques.
Que peuvent faire les compagnies d’assurance pour éviter les lacunes de couverture éventuelles ?
Les courtiers et les souscripteurs d’assurance des biens des entreprises doivent être plus conscients des enjeux liés aux cyberévénements. Cela commence par des évaluations des risques détaillés pour comprendre clairement les vulnérabilités particulières d’une organisation.
Par exemple, une usine industrielle peut avoir conscience de ses risques d’explosion de chaudière, mais ce type d’événement pourrait aussi survenir dans le cadre d’une cyberattaque. L’usine pourrait être ciblée par un cybervirus qui désactiverait les systèmes de commande de sécurité essentiels liés à la procédure opérationnelle d’une chaudière, exposant ainsi l’installation à une éventuelle explosion. Cela pourrait entraîner une importante perturbation des opérations quotidiennes de l’usine, sans parler de la gravité des risques pour la sécurité de la population.
L’éducation est un facteur clé pour tous les courtiers et tous les souscripteurs, qu’ils soient spécialisés en RC à l’égard des biens ou dans d’autres types de risques : administrateurs et dirigeants, délits, environnement et autres segments d’assurance des entreprises.
L’augmentation des cyberrisques se poursuit et dans cette optique, la nécessité de se procurer des garanties explicites se fait aussi plus pressante. Les polices cyber autonomes contribuent à réduire les éventuelles lacunes de couverture. Si vous n’êtes pas certain que vos opérations sont entièrement couvertes, communiquez avec votre courtier dès aujourd’hui.
Sources
1The Ninth Annual Cost of Cybercrime Study 2019 d’Accenture et du Ponemon Institute
22020 Official Annual Cybercrime Report de Cybersecurity Ventures commandité par le groupe Herjavec
3Enquête mondiale de 2020 sur la fraude et les crimes économiques de PwC
4Moorcraft, B. (26 novembre 2018). What is silent cyber risk? Consulté le 19 mai 2020
