Quand les produits de cyber-assurance ont été lancés sur le marché, ils étaient axés sur la responsabilité. Avec le temps, les cyber-risques se sont accrus pour comprendre d’autres scénarios, notamment l’ingénierie sociale et l’extorsion. Et aujourd’hui, les clients sont plus à risque que jamais.

Les polices d’assurance de dommages sont conçues en fonction de renseignements colligés pendant des centaines d’années, alors que les cyber-menaces sont relativement nouvelles. La conception d’un régime de cyber-assurance durable représente un défi exigeant pour les souscripteurs précisément en raison du manque de données disponibles et de la vitesse à laquelle l’industrie change.

L’un des domaines de la cybercriminalité qui connaît une augmentation des attaques, qui se manifestent par leur constance et leur sévérité, est le rançongiciel. Le Beazley Breach Response Services a affirmé qu’en 2018, le montant moyen des demandes liées au rançongiciel s’élevait à 116 000 $ au Canada comparativement à 15 000 $ seulement une année auparavant ! Le rapport de Beazley a également révélé que les cibles principales de ces attaques par rançongiciel étaient les PME qui comptaient pour 71 % du total des attaques.

Ces chiffres alarmants montrent l’importance de disposer d’une expertise de premier plan dans ce domaine. Les pirates ont aiguisé leurs compétences. Ils connaissent maintenant la situation financière de leurs cibles potentielles, ce qui leur permet de déterminer le montant de la rançon qu’ils exigeront.

Quand il n’existe pas de couverture d’assurance distincte pour les cyber-risques, la violation de données et de la cyber-sécurité informatique peut être couverte en vertu d’autres polices d’assurance à l’insu des assureurs eux-mêmes. C’est ce que les professionnels de l’industrie qualifient de « cyber-risques silencieux ». Il est possible que les compagnies ne tiennent pas compte de ces types de risques, ce qui est susceptible d’exposer les risques de leurs autres polices d’assurance qui n’excluent pas spécifiquement les violations en matière de cyber-sécurité informatique et de données.

D’un seul coup d’œil, on peut constater que seulement 10 % des situations où interviennent des cyber-risques bénéficient d’une tarification de la couverture d’assurance claire et bien circonscrite, alors que dans 40 % des cas, ces cyber-risques sont bien définis mais non tarifés. Cela veut dire que 50 % de ces situations ne bénéficient d’aucune tarification et ne sont pas définies.

L’importance croissante de la technologie et le manque de données relatives aux cyber-risques rendent plus difficile l’établissement d’un régime ou d’un plan d’assurance en cas de cyber-attaque. La conférence mentionnée plus haut nous a fourni des conseils sur la façon d’atténuer les risques et de réduire la confusion engendrée par les lacunes liées à une gestion claire des risques :

• Analyse du libellé de la police et des sinistres;

• Collaboration avec les pirates informatiques éthiques (les bons gars) pour mieux comprendre les raisons de ces attaques et comment elles peuvent survenir selon différents scénarios;

• Mise à jour constante du libellé de la police, le cas échéant.

Pour toute question ou si vous désirez obtenir une soumission, veuillez communiquer avec les spécialistes de Trisura en matière de souscription.