Pour de nombreux cabinets, une cyberassurance permet non seulement de se protéger contre les pertes financières découlant d'un cyberincident, les dommages-intérêts et les pertes d'exploitation, mais aussi de couvrir les dépenses liées à la gestion de crises et à la réalisation d'enquêtes. Toutefois, comme ce type d'assurance est relativement nouveau, évolutif et très spécialisé, les entreprises doivent redoubler de vigilance lors de la souscription ou de la reconduction.
Chetan Sehgal, associé au sein des Services-conseils en juricomptabilité, Litiges et enquêtes, donne cinq conseils utiles aux chefs d'entreprise :
1. Les vulnérabilités latentes ne sont généralement révélées qu'après une attaque réussie. Toutefois, il est possible de réaliser une évaluation des risques de votre environnement de contrôle et d'élaborer un programme de prévention, ou encore de collaborer avec un cabinet qui peut en concevoir un. Vous serez ainsi plus à même de souscrire l'assurance qui correspond le plus à vos besoins. Un partenaire en cybersécurité et en juricomptabilité comme BDO peut également réaliser une analyse coûts-avantages pour cerner vos failles de sécurité insoupçonnées et ainsi choisir une couverture qui les cible. Mieux encore, vous pourriez les corriger avant même de souscrire une assurance et éviter tout refus de couverture ou des primes exorbitantes.
« Une fois que vous aurez une vision claire de votre environnement de contrôle, vous pourrez demander des devis d'assurance à différentes compagnies pour comparer les garanties offertes et réaliser un contrôle diligent approprié de la police et de la compagnie d'assurance. »
2. Collaborer avec votre courtier ou souscripteur d'assurance pour veiller à ce que la police soit adaptée à votre type d'entreprise et que vous compreniez bien ce qui est couvert, mais surtout ce qui ne l'est pas.
« Prenez le temps d'examiner les différentes cyberassurances offertes, renseignez-vous sur la couverture et posez les bonnes questions. Lorsque vous choisissez une assurance, veillez à ce qu'elle corresponde à vos besoins. N'hésitez pas à consulter des spécialistes en cyberassurance qui connaissent votre secteur et votre région pour obtenir les conseils les plus avisés. »
3. Choisir une équipe d'intervention en laquelle vous avez confiance.
« Une violation de données peut plonger votre entreprise dans la tourmente et mettre à mal votre capacité à poursuivre vos activités. Or, faire affaire avec un souscripteur et d'autres conseillers avec lesquels vous avez établi une relation de confiance facilitera grandement la gestion de crise. Un plan d'intervention efficace en cas de cyberincident doit concorder avec les stratégies du plan d'urgence et le cadre de gestion des risques de l'entreprise. Vous devez mettre sur pied une équipe qui pourra intervenir très rapidement et qui sera composée notamment d'un conseiller juridique, de professionnels en cybersécurité, des spécialistes en réclamation ou de comptables. »
4. Comprendre les subtilités de la police. Comme les polices d'assurance ne comprennent pas toutes les mêmes garanties et que les cyberassurances sont des produits relativement nouveaux sur le marché, de nombreux souscripteurs ne connaissent pas les écueils potentiels.
« Certaines compagnies d'assurance effectuent une évaluation avant de vous offrir une police et de fixer les primes. Vous devez comprendre l'assurance que vous souscrivez ainsi que les mesures que vous devez prendre pour vous protéger. Devant l'explosion des demandes d'indemnisation liées aux cyberattaques au cours de la dernière année, les sommes assurées par les compagnies semblent diminuer, alors que les primes augmentent. »
5. Mettre en place une gamme complète de contrôles et de protections de cybersécurité.
« Certaines clauses des polices d'assurance prévoient qu'un remboursement n'est accordé que s'il peut être déterminé que les contrôles préventifs adéquats étaient en place. En outre, plus vos contrôles sont robustes, plus les risques de violation sont faibles, ce qui influe sur le montant des primes que vous payez. »
Mesures de cybersécurité réactives et préventives
Les chefs d'entreprise doivent surtout garder en tête que les cyberassurances constituent une solution réactive et n'empêchent pas les attaques. Cette lacune est d'autant plus critique que les préjudices engendrés par les cybercrimes ne se limitent pas aux pertes financières : ils nuisent également à la culture, aux opérations et à la réputation de l'entreprise.
L'assurance ne représente qu'une composante de l'arsenal de cybersécurité.
« Comme les cyberattaques surviennent de plus en plus souvent, il est important de souscrire une assurance pour recouvrer une partie de vos pertes. Cela dit, l'essentiel demeure néanmoins la prévention et la résolution des problèmes à la source, soit la correction de vos vulnérabilités susceptibles d'être exploitées. Une fois que vos données sont compromises, vous ne pouvez revenir en arrière », explique Chetan Sehgal.
Les entreprises qui redoublent d'efforts en vue de développer une stratégie adéquate pour préserver leurs réseaux, qui protègent leurs terminaux et mettent en place des mécanismes de détection en amont et d'intervention sont plus susceptibles de reprendre leurs activités après une cyberattaque, en plus de réduire leurs dommages au minimum.
BDO est là pour cerner vos besoins en matière de cyberassurance
Nous pouvons vous épauler tout au long du processus d'assurance, qu'il s'agisse d'évaluer les pertes subies après un incident ou de déterminer les garanties qu'il vous faut.
Nos services d'intervention en cas d'incident sont très prisés, mais nous en avons un éventail d'autres à offrir. Notre équipe chargée des services-conseils en juricomptabilité numérique peut collaborer avec vous pour renforcer la sécurité de votre entreprise. Elle utilise pour ce faire des stratégies proactives qui comprennent notamment la sensibilisation et la formation de vos employés, la réalisation d'un contrôle diligent des contrôles de prévention de votre entreprise et la quantification des risques pour veiller à ce que votre cyberassurance réponde à vos besoins.
Voici les avantages de faire affaire avec BDO :
BDO peut travailler de concert avec vous pour élaborer un plan d'intervention en cas d'incident ou évaluer celui que vous avez déjà au moyen de diverses méthodes telles que des simulations de piratage informatique et des tests de pénétration. Pour évaluer et parfaire les connaissances de vos employés en matière de cybersécurité, nous pouvons réaliser des simulations d'hameçonnage et fournir des formations sur le repérage et le signalement de tentatives d'hameçonnage.
Les membres de notre équipe pluridisciplinaire chevronnée sont à même de traiter les dommages collatéraux associés à une violation. L'équipe spécialisée en soutien juridique peut, par exemple, vous soutenir en cas de violation de données et de litiges.
Pour que vous choisissiez la cyberassurance qui vous convient le mieux, nous établissons vos données clés et réalisons des tests de détection des vulnérabilités de vos applications et de votre infrastructure. En axant nos efforts sur les contrôles internes qui préviennent les cyberincidents en amont, nous effectuons une évaluation de votre environnement numérique et fixons des objectifs atteignables au moyen d'une stratégie de cybersécurité efficace.
Comme les fraudeurs, les pirates et les cybercriminels n'ont pas d'horaire typique, nos professionnels sont disponibles jour et nuit pour soutenir votre entreprise en cas de cyberincident.