Select Page
Préparez-vous à lire une affirmation ahurissante. Une atteinte à la sécurisation des données peut toucher tout type d’entreprise, indépendamment de ses revenus ou de sa taille. Attendez une minute : revenons un peu en arrière. Cette affirmation a probablement été écrite et prononcée un millier de fois au cours de la dernière année à l’occasion de conférences et de séminaires, dans des salles de classe et pendant des réunions. Plus encore, les articles les plus populaires et publiés le plus souvent dans des sites Web, blogues et réseaux sociaux relatifs au secteur de l’assurance un peu partout sont à propos de … ? Le grand méchant loup en 2015 (et au-delà) se nomme cyber-risques !
Si le feu fait déjà rage, pourquoi alors y jeter plus d’huile ? Outre le fait que ce texte est affiché dans le blogue d’une compagnie d’assurance qui vend des produits relatifs aux cyber-attaques, les statistiques démontrent que les entreprises canadiennes ne sont pas encore convaincues de la nécessité de se procurer une assurance cyber-risque.
Un article paru dans le magazine Canadian Underwriter le 28 octobre dernier (lire ici) mentionne que 42 % des entreprises canadiennes ne détiennent pas une assurance cyber-risque, et ce, même si 87 % d’entre elles ont déjà été victimes de piratage à au moins une occasion. Aux yeux de ces 42 %, un produit d’assurance relatif au cyber-risque s’inscrirait logiquement dans la catégorie du « dernier recours » parce qu’un grand nombre de ces entreprises ne croient même pas que les conséquences d’une cyber-attaque sont si néfastes.
Qu’est-ce qui empêche les entreprises canadiennes d’agir ? Une partie du problème est sans doute attribuable au fait que les publications récentes ont tendance à être axées sur les statistiques portant sur la divulgation des incidents et les tactiques de prévention plutôt que sur les étapes à suivre clairement après la survenance d’une attaque. Il est maintenant temps de faire face à la musique. La prévention à elle seule ne suffit pas. Toute entreprise a besoin d’acquérir les connaissances requises et de se doter d’un plan d’action, aussi bien en matière de prévention, qu’en matière de réponse face à une cyber-attaque. Ce qui nous amène au titre de cet article. Avez-vous déjà mangé du macaroni sans la sauce au fromage ? Avez-vous déjà vécu un hiver canadien sans neige ? Avez-vous déjà vu une affiche d’un film de Steven Segal où il ne met pas en joue quelqu’un avec un fusil ? Ça peut toujours aller, mais dans tous ces cas, il manque quelque chose d’essentiel. En d’autres termes, vous n’en obtenez pas pour votre argent.
Des mesures défensives, telles que la formation du personnel et la mise à jour des logiciels, sont essentielles pour atténuer les risques. Cependant, cela ne suffira pas à dissuader un pirate informatique motivé. La priorité numéro un d’un pirate est de manipuler et de tromper. L’un des meilleurs exemples pour illustrer cette affirmation est le site de diffusion en continu en direct de Norse Corporation qui affiche les incidents de cyber-piratage en temps réel, et ce, partout sur la planète :
Fascinant, n’est-ce pas ? Et aussi un peu terrifiant. Si vous n’aviez pas conscience de la fréquence et de la férocité des attaques commises par les pirates, nous espérons que cette démonstration saura vous convaincre.
L’avocat du diable s’empressera de mentionner que bien peu de lignes sur cette carte semblent viser le Canada, alors pourquoi une entreprise canadienne devrait-elle se munir d’une assurance ? Tout d’abord, il serait naïf de penser que cette carte est en mesure de détecter 100 % des attaques. De plus, on peut aisément constater que notre statut de puissance mondiale (sur les plans social, économique, militaire, etc.) est étroitement lié à la grande notoriété de nos voisins du sud qui, selon la carte Norse Corp, sont ceux qui attirent le plus l’attention des pirates. Ou tout simplement, ce qu’il vous faut comprendre, c’est le fait qu’il suffit d’une seule attaque d’envergure pour mettre à genoux une société multinationale de plusieurs milliards de dollars (lisez ceci au sujet du virus « MyDoom ».).
Il existe d’autres raisons qui font que des entreprises négligent de souscrire une assurance cyber-risque. Celles-ci peuvent penser que leur statut de moyenne entreprise ou le fait que leurs employés ne sont pas dans une fourchette d’imposition supérieure fait d’elles une cible moins attrayante. Erreur ! Les pirates, qui se spécialisent dans le hameçonnage par courriel, ciblent les informations et non les revenus. Si une entreprise est exposée à une atteinte à la sécurité informatique comme, par exemple, une attaque d’hameçonnage – qui incidemment est responsable pour 91 % des attaques réussies – la force de sa défense repose tout autant sur les employés les moins bien rémunérés que sur les employés les mieux rémunérés. Tout simplement parce que l’argent n’est pas un facteur dans ces situations, du moins jusqu’au moment où il a été volé. Le scénario inverse s’applique aussi. Les petites et moyennes entreprises sont exposées au risque de devenir une cible si elles connaissent une croissance financière rapide. Une fois encore, il est utile de dire que la cible n’est pas l’argent de l’entreprise, mais bien les informations qu’elle détient.
Pour obtenir une protection complète, une entreprise doit souscrire une police d’assurance qui couvre tous les besoins spécifiques à ce risque particulier. Même les victimes les plus déterminées peuvent éprouver des difficultés majeures pour résoudre ces questions elles-mêmes. Elles peuvent également constater que quand une tentative de piratage échoue, une autre est en préparation. Cette problématique accroît la valeur intrinsèque des services de consultation externe. Les polices d’assurance fournissent souvent des services de consultation en matière d’atteinte à la vie privée. Il s’agit là d’une considération essentielle qui propose une approche claire centrée sur les étapes à suivre quand une violation survient. Cet aspect est encore plus nécessaire si votre entreprise ne compte pas parmi son personnel un professionnel en matière de sécurité informatique à temps plein.
Aucune profession ou entreprise n’est à l’abri des efforts des pirates et des fraudeurs qui souhaitent soutirer des renseignements confidentiels, et ce, quel que soit le logiciel anti-virus en place ou le niveau de formation des employés. Il existe une seule façon pour assurer que votre entreprise soit adéquatement préparée à affronter une cyber-attaque : combiner les mesures défensives en vigueur avec une police d’assurance qui vous aidera à atténuer les risques.
Si vous aviez un message à retenir de cet article, le voici : Ne mangez jamais votre macaroni sans la sauce au fromage ! Et souvenez-vous, combinez les mesures défensives avec la protection offerte par une police d’assurance.
Pour en savoir plus sur les raisons pour lesquelles une police d’assurance peut représenter un élément essentiel à une préparation adéquate en matière de cyber-risques , visitez notre site Web en cliquant ici.