Pour paraphraser Benjamin Franklin, rien n'est plus certain que la mort, les impôts et, de nos jours, les cyberattaques.
De plus des réglementations, comme la loi 25, contraignent les entreprises à mieux protéger les informations personnelles qu’elles détiennent, sous peine de devoir acquitter des pénalités extrêmement élevées.
C’est dire que dans contexte actuel d’attaques par ransomwares et de violations de données incessantes, la cybersécurité, mais aussi la protection financière permettant de couvrir les coûts d'une cyberattaque inévitable, sont des priorités cruciales.
Coûts directs et indirects d’un incident de sécurité
Comme illustré ci-dessous par la compagnie Deloitte, les brèches de sécurité peuvent entraîner des coûts visibles et moins visibles tels qu’ une dégradation de la marque, et des changements dans le comportement des consommateurs.
Et ces deux catégories participent à la fragilisation de votre entreprise et pourraient même en menacer la survie.
La gestion du risque associé à la cybercriminalité et aux erreurs humaines est donc, sans contredit, une nécessité incontournable pour toutes les organisations, incluant les PME.
Mais, une fois les risques identifiés et évalués, quelles sont vos options pour les gérer?
Comment gérer le risque?
Commençons par définir le risque, de manière simplifiée, au travers de l’équation suivante :
Risque = Probabilité x Impact.
Pour réduire le risque, il vous faut réduire la probabilité ou l'impact, en utilisant les stratégies d’atténuation à votre disposition.
|
Tolérance au risque |
Définition |
Explication |
|
Éviter/résoudre le risque |
Éliminer complètement ou renoncer au risque |
Il s'agit, lorsque possible, de refuser un risque si son impact potentiel est trop important, même si vous le transférez ou l’atténuez. |
|
Atténuer le risque |
Réduire la probabilité ou l'impact du risque |
Vous pouvez réduire la probabilité et l’impact du risque en mettant en place les mesures de sécurité requises. |
|
Transférer le risque |
Déplacer le risque vers un tiers |
Les risques qui peuvent avoir un impact financier important sont atténués en étant partagés ou transférés. |
|
Accepter le risque |
Ne pas résoudre, transférer ou atténuer le risque |
Les dépenses engagées pour atténuer le risque sont supérieures au coût de tolérance du risque |
Vous pouvez certainement diminuer la probabilité, c’est-à-dire réduire les chances qu'une menace interne ou externe n’exploite l’une de vos vulnérabilités.
Mais vous pouvez également agir sur l’impact, notamment en transférant une partie du risque à un tier, en souscrivant une cyberassurance.
Mais qu’est-ce que la cyberassurance ?
L’objectif est de mettre en place une protection financière pour couvrir les coûts d'une cyberattaque inévitable, afin d’assurer le bon fonctionnement de vos opérations et éviter des pertes financières importantes.
La cyberassurance peut couvrir des cyber événements, tels que:
- Les violations de la confidentialité des données : La perte et/ou l'accès non autorisé ou la divulgation d'informations confidentielles ou personnelles;
- La cyber extorsion : Une demande de paiement sous la menace de porter atteinte à vos données ; par exemple, désactiver vos opérations ou compromettre vos données confidentielles;
- Les interruptions technologiques : une défaillance technologique ou une attaque par déni de service;
- Les amendes civiles;
- Les dommages et intérêts;
- Les investigations;
- Les coûts de restauration des données;
- D’autres dépenses pour rétablir leurs activités commerciales;
Types de cyberassurance
De manière générale, il faut distinguer 2 types de cyberassurance en fonction de leur couverture, à savoir :
- Couverture de première partie vous aide à répondre aux violations de données sur votre propre réseau ou systèmes.
- Couverture de tiers aide à payer les poursuites judiciaires causées par des violations de données sur le réseau ou les systèmes d'un client.
Coût d’une cyberassurance
Vous ne serez pas surpris, si je vous dis : cela dépend !
Ce d’autant que les temps changent. La cyberassurance était autrefois relativement simple - quelques formulaires, une couverture étendue, des primes peu élevées.
Aujourd'hui les assureurs examinent minutieusement le profil de risque de chaque demandeur et établissent le prix des polices en conséquence. Et ils refusent souvent de couvrir les demandeurs insuffisamment préparés et donc à haut risque.
Il demeure que le coût d’une cyberassurance est de très loin beaucoup moins élevé que l’ensemble des frais que vous devrez supporter en cas de cyberattaque ou une violation de données.
À titre budgétaire, pour une PME, le coût d’une cyberassurance serait compris entre 750 $ et 1 000 $ par an.
Même si nous aidons nos clients à se conformer et à surpasser les exigences des assureurs, Present n’étant pas un courtier, nous vous laissons le soin de contacter vos assureurs pour obtenir une offre personnalisée.
Voici quelques facteurs qui influencent le coût de votre prime :
- Secteur d’activité;
- Taille de compagnie;
- Quantité et type de données sensibles dans l’environnement;
- Chiffre d’affaires;
- Historique des réclamations;
- Type de couverture souhaité;
- Niveau de couverture souhaité;
- Contrôles de sécurité en place tels que :
- Authentification multifacteur;
- Sécurité avancée et gérée des points d’extrémité (MDR);
- Mises à jour des systèmes d'exploitation et des applications;
- Sensibilisation du personnel;
- Sauvegardes régulières, locales et distantes, testées et intègres;
- Planification de reprise après sinistre;
Et dans l’hypothèse où vous auriez réussi à souscrire sans vérification approfondie une police de cyberassurance, faites attention aux petits caractères. Ce n'est pas parce que vous êtes détenteur d’une assurance que vous n'avez pas à mettre en place les mesures de sécurité appropriées ou spécifiées dans le contrat.
Conclusion
Comme la plupart des compagnies, vous ne pouvez pas vous permettre d’avoir un fonds de prévoyance afin de faire face à tous les frais occasionnés par une cyberattaque.
La meilleure approche pour les PME est alors de doter d’une stratégie de sécurité proactive et de l'équilibrer avec une cyberassurance.
Mais il faut réaliser que votre acceptation ainsi que le montant de vos primes d'assurance sont directement proportionnels à votre niveau de préparation en matière de cybersécurité. En ce sens, la cyberassurance ne peut plus être traitée uniquement comme un mécanisme de transfert des risques.
Present peut vous aider à développer une stratégie de cybersécurité pour contrer les menaces et rehausser votre niveau de sécurité en mode géré.
Ce faisant vous faites coup double. Comme nombre de nos clients, non seulement vous relevez votre niveau de sécurité et vous diminuez votre exposition au risque, mais aussi vous bénéficiez d’une cyberassurance aux meilleures conditions possibles.
