La montée et les risques des cyberrisques silencieux

Malgré le qualificatif qui les accompagne, les « cyberrisques silencieux » font beaucoup parler d’eux dans le secteur de l’assurance des entreprises.  

Qu’entend-on par « cyberrisques silencieux »?

La notion de cyberrisques silencieux, ou « non affirmatifs », désigne les pertes liées aux cybertechnologies qui découlent de polices d’assurance non spécifiquement conçues pour couvrir les cyberrisques. Le cyberrisque n’est pas explicitement inclus dans ces polices, mais n’en est pas explicitement exclu non plus, ce qui crée de l’ambiguïté et peut faire en sorte que la couverture devienne matière à interprétation. Une police de cyberassurance autonome, par contre, définit clairement ce qui est couvert (couverture affirmative). C’est le cas des polices d’assurance relatives à la vie privée, aux pertes d’exploitation et aux extorsions, pour ne nommer que celles-là.                               

Pourquoi les « cyberrisques silencieux » soulèvent-ils des préoccupations?

Bien que les cyberrisques silencieux ne constituent pas un nouveau concept, ils attirent davantage l’attention depuis la montée du cybercrime et du coût des attaques. En termes simples, les entreprises n’ont pas les moyens de se contenter d’une cyberprotection inadéquate ou ambiguë. 

Selon l’étude « Cost of Cybercrime » réalisée par Accenture et le Ponemon Institute en 2019, le coût moyen du cybercrime pour une entreprise canadienne s’élevait à 12,1 M$ en 2018¹. À l’échelle internationale, six entreprises sur sept (85 %) ont fait l’objet de cyberattaques d’ingénierie sociale et d’hameçonnage en 2018 et les trois quarts (76 %) ont subi des attaques provenant du Web. Cybersecurity Ventures prévoit que le coût du cybercrime à l’échelle mondiale, qui se chiffrait à 3 billions de dollars en 2015, atteindra les 6 billions de dollars d’ici 2021².

De plus, la plus récente enquête mondiale de PwC sur la fraude et les crimes économiques révèle que le cybercrime fait partie des trois formes de crimes ayant entraîné le plus de perturbations dans presque toutes les industries visées par l’enquête³.

« Au cours des 10 dernières années, nous avons constaté une augmentation massive des cyberévénements et des pertes connexes, indique Al Recio, gestionnaire régional, Technologie et Cyber, Québec et Canada atlantique chez Souveraine Assurance. Au début, les attaques visaient l’obtention de renseignements personnels depuis la base de données de clients des entreprises. Maintenant, elles sont plus sophistiquées et entraînent des perturbations et des enjeux économiques pour les entreprises et pour d’autres secteurs de notre collectivité. Nous devons tous comprendre ce qui se dessine à l’horizon et comment nous pouvons atténuer les enjeux que peuvent entraîner les cyberévénements. »

Dans la foulée de l’augmentation de la fréquence, de l’ampleur et des coûts des attaques, les préoccupations entourant les cyberrisques silencieux s’accentuent. Il est plus important que jamais que les titulaires de police comprennent leur couverture pour éviter de se retrouver dans une posture où ils croient détenir des garanties adéquates alors que ce n’est peut-être pas le cas. Une police cyber autonome peut les aider à réduire toute éventuelle lacune à l’égard de leur protection. 

Y a-t-il une réglementation sur les cyberrisques silencieux?        

Le Royaume-Uni a été le premier grand marché à prendre une position ferme sur les cyberrisques silencieux. L’an dernier, la Prudential Regulation Authority (qui fait partie de la Banque d’Angleterre) a demandé au Lloyd’s de Londres et à l’industrie de l’assurance dans son ensemble de veiller à la gestion des cyberrisques affirmatifs et non affirmatifs (silencieux). Par la suite, le Lloyd’s a annoncé qu’il rendait obligatoire l’ajout de précisions dans toutes les polices non affirmatives  à l’égard de la cyberprotection en excluant ou en accordant une couverture affirmative. »  

« Un mandat comme celui du Lloyd’s est avantageux pour les clients, puisqu’il met fin à l’ambiguïté et à l’incertitude entourant ce qui est couvert ou non, ajoute Al Recio. Comme industrie, nous devons en faire davantage pour être plus clairs et pour intégrer des libellés affirmatifs à l’égard des cyberrisques. Depuis six mois, nous observons une tendance sur le marché alors que certains assureurs intègrent des exclusions relatives aux cyberrisques à leurs formulaires non cyber. » 

De plus, du côté des titulaires de polices, l’agence de notation internationale A.M. Best a dit « s’attendre à ce que les entreprises se montrent proactives et franches à l’égard de leur propre évaluation et de leur propre mesure de leurs risques de cyberresponsabilité, ainsi que de l’accumulation des risques de cet ordre les concernant4. »

Bien qu’aucune réglementation n’ait encore été déposée en la matière au Canada, les assureurs, dont Souveraine Assurance, se penchent sur des façons d’intégrer des garanties par l’entremise de toutes les polices, et non seulement des polices visant expressément les cyberrisques.  

Que peuvent faire les compagnies d’assurance pour éviter les lacunes de couverture éventuelles? 

Les courtiers et les souscripteurs d’assurance des biens des entreprises doivent être plus conscients des enjeux liés aux cyberévénements. Cela commence par des évaluations des risques détaillés pour comprendre clairement les vulnérabilités particulières d’une organisation. 

Par exemple, une usine industrielle peut avoir conscience de ses risques d’explosion de chaudière, mais ce type d’événement pourrait aussi survenir dans le cadre d’une cyberattaque. L’usine pourrait être ciblée par un cybervirus qui désactiverait les systèmes de commande de sécurité essentiels liés à la procédure opérationnelle d’une chaudière, exposant ainsi l’installation à une éventuelle explosion. Cela pourrait entraîner une importante perturbation des opérations quotidiennes de l’usine, sans parler de la gravité des risques pour la sécurité de la population. 

« Le coût de la perturbation a une grande incidence sur les perspectives économiques de l’usine, indique Al Recio. Les dommages matériels et les pertes d’exploitation seront coûteux. Un souscripteur en assurance des biens pourrait omettre d’anticiper les cyberrisques supplémentaires en la matière. » 

L’éducation est un facteur clé pour tous les courtiers et tous les souscripteurs, qu’ils soient spécialisés en RC à l’égard des biens ou dans d’autres types de risques : administrateurs et dirigeants, délits, environnement et autres segments d’assurance des entreprises.  

« Il doit y avoir de la communication entre les différents services et le spécialiste en cyberrisques, pour que les souscripteurs soient conscients de ces nouveaux risques qui n’étaient pas courants dans le passé, ajoute Al. Pour les courtiers, l’éducation est le premier objectif. Ils doivent comprendre où sont les couvertures en matière de cyberrisques et veiller à ce que les clients soient adéquatement protégés. »

L’augmentation des cyberrisques se poursuit et dans cette optique, la nécessité de se procurer des garanties explicites se fait aussi plus pressante. Les polices cyber autonomes contribuent à réduire les éventuelles lacunes de couverture. Si vous n’êtes pas certain que vos opérations sont entièrement couvertes, communiquez avec votre courtier dès aujourd’hui.                            


¹The Ninth Annual Cost of Cybercrime Study 2019 d’Accenture et du Ponemon Institute 
²2020 Official Annual Cybercrime Report de Cybersecurity Ventures, commandité par le groupe Herjavec 
³Enquête mondiale de 2020 sur la fraude et les crimes économiques de PwC 
⁴Moorcraft, B. (26 novembre 2018). What is silent cyber risk? Consulté le 19 mai 2020