À l’occasion d’un panel récent, la directrice, Solutions pour professionnels de Trisura, Angela Feudo, a partagé quelques réflexions au sujet des tendances et des menaces en matière de cyberassurance au sein de l’industrie aujourd’hui.

Cette entrevue fait partie d’un rapport spécial publié par Insurance Business Canada. Pour prendre connaissance du rapport intégral, veuillez cliquer ici.

IB | Décrivez-nous l’état du marché de la cyberassurance au Canada aujourd’hui (tarifs, capacité, couverture, limites de garantie, nouveaux acheteurs, etc.).

AF | Le marché de la cyberassurance a largement continué à se resserrer au cours de la dernière année. Plusieurs sociétés d’assurance ont réduit leur capacité, augmenté leurs tarifs, restreint les modalités des polices et mis en place des contrôles plus stricts en matière de souscription. Même si les contractions au niveau de la capacité sont devenues monnaie courante, on a observé une volonté de limiter les risques en matière d’extorsion. Les incidents causés par les rançongiciels sont à la hausse, ce qui a entraîné une réaction prévisible du marché. Puisque la fréquence et la gravité des réclamations ont connu une augmentation sensible, les tarifs des assureurs se sont accrus de façon significative pour compenser cette situation. De plus, les assureurs ciblent maintenant davantage la gestion des cyberrisques de leurs clients et la sensibilisation aux questions de sécurité. Nous croyons qu’une meilleure connaissance de la cybersécurité et de la gestion des risques sera bénéfique pour toutes les parties intéressées. Cette sensibilisation aux cyberattaques a également suscité un plus grand intérêt pour la cyberassurance. D’ailleurs, nous constatons une hausse des demandes en matière de cyberassurance de la part de nouveaux acheteurs parce que les attaques par rançongiciel ne sont plus considérées comme un problème qui touche uniquement les grandes organisations. En réalité, les petites entreprises ont très bien compris qu’elles peuvent également être la cible de ces attaques.

IB | Les attaques par rançongiciel sont sans doute devenues le sujet le plus chaud aujourd’hui en matière de cyberassurance. Comment percevez-vous la hausse de cette menace au cours des dernières années et qu’en est-il pour l’avenir ?

AF | Les attaques par rançongiciel touchent un nombre croissant d’entreprises, quelle que soit l’industrie au sein de laquelle elles évoluent. Le rançongiciel en tant que service (connu sous l’acronyme RaaS, en anglais) a permis à un plus grand nombre de pirates informatiques de lancer des attaques. Il n’est plus nécessaire pour les auteurs de ces attaques d’être des pirates techniquement expérimentés pour déployer ces rançongiciels parce qu’avec les avancées technologiques, il est devenu beaucoup plus facile de mettre à exécution ces menaces. Les personnes et les organisations sont maintenant mieux informées en matière de cybersécurité, ce qui leur permet de se défendre plus efficacement contre les cybercriminels. En outre, beaucoup parmi elles ont concentré leurs efforts et leurs ressources sur la création et le maintien de sauvegardes cryptées, de même que sur leurs processus de restauration de données. Considérant que beaucoup d’entreprises sont maintenant mieux outillées, advenant le cas où des fichiers seraient corrompus, les entreprises touchées pourraient être dans une position où elles n’auraient pas à payer de rançon. Les auteurs de ces attaques se sont adaptés à cette situation et leurs menaces d’extorsion impliquent non seulement le versement d’une rançon pour libérer les données piratées, mais également la divulgation de ces renseignements confidentiels à des tiers si l’organisation touchée refusait de payer la rançon exigée. Ces cybercriminels mènent également des attaques par déni de service distribué (DDoS pour Distributed Denial of Service) contre leurs victimes afin de les contraindre à verser une rançon. En fait, ces pirates ont étendu les attaques par rançongiciel jusqu’à en faire un véritable modèle d’affaires qui consiste à utiliser la meilleure méthode pour arnaquer la victime ciblée. Ces méthodes comprennent le cryptage, le déni de service et la divulgation de renseignements personnels. Elles ont toutes pour but de causer un maximum de perturbations chez les victimes de ces attaques.

IB | Quelles sont les industries les plus exposées aux cyberrisques et est-ce que celles-ci souscrivent de la cyberassurance ?

AF | Toute personne et toute organisation qui utilise Internet s’expose à des risques ! Cependant, des industries et des entreprises sont encore plus à risque. Historiquement, il s’agit des secteurs suivants : soins de santé, gouvernements, services publics, établissements d’enseignement et institutions financières. La situation n’a pas changé, car aujourd’hui, ces industries continuent d’être plus à risque, et ce, pour différentes raisons. Ainsi, le secteur des soins de santé opère sur la base de systèmes vieillissants qui sont mal protégés. Cette réalité combinée au fait que ce secteur détient des dossiers patients fait de lui une cible de choix. De leur côté, les gouvernements, les institutions financières et les universités détiennent un grand nombre de renseignements confidentiels. Dans ces secteurs, les grandes organisations souscrivent de la cyberassurance depuis de nombreuses années. Fait nouveau, les plus petites entreprises souscrivent plus régulièrement de la cyberassurance. En outre, nous avons observé une augmentation des réclamations dans les secteurs de la fabrication, des services professionnels et de la construction. Même si l’achat de cyberassurance a connu une hausse dans ces secteurs, il reste encore beaucoup d’entreprises qui ne se sont pas encore dotées d’une cyberassurance.

IB | Comment les courtiers d’assurance composent-ils avec ce marché difficile ? Que doivent-ils faire pour tirer leur épingle du jeu et proposer les meilleures solutions à leurs clients ?

AF | Le durcissement du marché de la cyberassurance a créé d’autres défis pour les courtiers. En raison d’une baisse de capacité dans les marchés, les courtiers en sont réduits à trouver des marchés de remplacement pour les assurances primaires et excédentaires. Il est devenu encore plus important pour les souscripteurs de communiquer clairement leur appétit pour le risque aux courtiers afin que ces derniers puissent choisir la solution la plus viable pour leurs clients. Aujourd’hui, la décision de souscrire une cyberassurance ne vise pas seulement à assurer la protection des renseignements personnels. Par exemple, l’exposition au risque pour un fabricant est très différente de celle d’un cabinet d’avocats. Il est donc essentiel pour les assureurs de bien comprendre les risques propres à chacun de leurs clients pour espérer bâtir une relation reposant sur la confiance. De plus, il est important pour les courtiers de se garder à jour sur les tendances émergentes relatives aux cybermenaces parce que cela leur permettra de bien informer leurs clients sur les risques associés à ces menaces. D’ailleurs, plusieurs marchés exigent davantage de renseignements en matière de souscription. Pourquoi ? Parce qu’une meilleure compréhension des risques permet aux marchés de mieux les prévoir et d’être proactifs quand il s’agit de mettre en place des mesures de sécurité accrues qui sont plus que jamais nécessaires. Si une entreprise dispose de mesures de contrôle efficaces, il est probable qu’elle pourra souscrire une cyberassurance à de meilleures conditions. Ces meilleures mesures de contrôle sont avantageuses pour le client parce que leurs systèmes informatiques seront mieux protégés contre les risques. En raison d’un paysage numérique en évolution constante, il peut être difficile d’être au fait de toutes les tendances se profilant dans le marché, à plus forte raison si vous n’êtes pas un expert dans le domaine de la cybersécurité. Cela représentera certes un atout pour vous de trouver la perle rare qui vous aidera à naviguer dans les méandres du marché.

IB | Selon vous, quels sont les vecteurs d’attaque et les atteintes les plus répandus en matière de cybersécurité ? (N’hésitez pas à donner des exemples.)

AF | Nous constatons qu’il y a encore beaucoup de pertes résultant de systèmes de protection faibles ou compromis. Les noms d’utilisateur et les mots de passe restent exposés au vol de données et à l’hameçonnage. Quand ce type de renseignements est volé ou perdu, c’est chose facile pour les cybercriminels de pénétrer dans les systèmes informatiques d’une entreprise. Si un employé utilise le même mot de passe à des fins personnelles et professionnelles, et que ce mot de passe est compromis sur son ordinateur personnel, le pirate pourra ensuite profiter de l’occasion pour pénétrer dans le système informatique de son employeur. En choisissant des mots de passe difficiles à identifier, en ne les divulguant pas ou en les modifiant régulièrement, entre autres, ou en utilisant un dispositif d’authentification multi-facteurs et même de la biométrie, on réduira d’autant les risques de piratage. L’hameçonnage reste un moyen couramment employé par les pirates informatiques, probablement parce qu’il est efficace. Les cybercriminels ont d’ailleurs raffiné leurs méthodes d’hameçonnage. Ainsi, durant la pandémie, nous avons observé des méthodes d’hameçonnage où les criminels imitaient les organismes de santé ou prétendaient offrir du secours d’urgence. La formation continue d’employés, les tests d’hameçonnage et le recours au principe du privilège minimum pour accéder aux systèmes informatiques peuvent contribuer à réduire le risque d’hameçonnage.

Il est important de mentionner que toutes les menaces ne proviennent pas des êtres humains. Des applications et des serveurs non protégés ou des lacunes dans la mise à jour des logiciels de protection constituent également des vulnérabilités communes qui sont susceptibles de laisser la porte ouverte à des attaques. Les attaques de janvier 2021 contre les serveurs de Microsoft Exchange, qui ont eu un impact sur 200 000 serveurs, représentent un bon exemple de ces vulnérabilités. Même si des correctifs de sécurité ont été divulgués par Microsoft en mars 2021, ils n’ont pas eu pour effet de retirer rétroactivement toutes les portes dérobées qui ont pu être installées par les pirates. Les mises à jour logicielles et la mise en place de correctifs de sécurité aussitôt qu’ils sont disponibles peuvent contribuer à atténuer ces vulnérabilités.

Dans ce marché où les menaces se font croissantes, quelles sont les meilleures pratiques visant à atténuer les cyberrisques que les entreprises (grandes et petites) devraient mettre en œuvre ?

Pour les personnes et pour les entreprises, les cyberrisques n’ont pas cessé d’augmenter depuis l’arrivée d’Internet. Ce phénomène ira croissant parce que nous serons de plus en plus connectés à Internet. Dans ce contexte, il est logique de penser que les cybercriminels trouveront de nouvelles façons de tirer avantage de toute vulnérabilité. Les entreprises de toutes tailles sont vulnérables aux cyberattaques et elles devraient prendre les moyens appropriés pour chercher à atténuer ces risques. L’erreur humaine représente encore et toujours l’une des principales causes de la violation des données informatiques. C’est pourquoi la formation et la sensibilisation des employés sont si essentielles pour combattre ce risque. Les dispositifs d’authentification multi-facteurs sont devenus une mesure de sécurité standard dont toutes les entreprises devraient se doter parce que ces dispositifs renforcent la sécurité d’une entreprise en ajoutant une barrière additionnelle de protection que le cybercriminel devra franchir pour accéder au système informatique de cette entreprise. En outre, l’implantation d’un processus de gestion des correctifs de sécurité permet à votre logiciel de continuer à fonctionner convenablement et elle vous assure également de maintenir la sécurité de votre système. De plus, en vous gardant à jour sur les tendances émergentes en matière de correctifs de sécurité, vous pourrez plus aisément combattre les vulnérabilités logicielles. Les entreprises devraient également tenir à jour un système de gestion des documents en ne conservant que les documents qui sont requis par l’entreprise et en éliminant les anciennes données qui ne sont plus utiles. Si vous avez la responsabilité de gérer ces documents, il vous faudra les protéger. Si cela n’est pas possible, il vous sera alors utile d’avoir en main les copies de sauvegarde des données les plus importantes. Même si les stratégies de sauvegarde des données varieront d’une entreprise à l’autre, les données sauvegardées devraient être à jour, cryptées et stockées de manière sécuritaire hors site.

IB | Dans ce marché où les menaces se font croissantes, quelles sont les meilleures pratiques visant à atténuer les cyberrisques que les entreprises (grandes et petites) devraient mettre en œuvre ?

AF | Pour les personnes et pour les entreprises, les cyberrisques n’ont pas cessé d’augmenter depuis l’arrivée d’Internet. Ce phénomène ira croissant parce que nous serons de plus en plus connectés à Internet. Dans ce contexte, il est logique de penser que les cybercriminels trouveront de nouvelles façons de tirer avantage de toute vulnérabilité. Les entreprises de toutes tailles sont vulnérables aux cyberattaques et elles devraient prendre les moyens appropriés pour chercher à atténuer ces risques. L’erreur humaine représente encore et toujours l’une des principales causes de la violation des données informatiques. C’est pourquoi la formation et la sensibilisation des employés sont si essentielles pour combattre ce risque. Les dispositifs d’authentification multi-facteurs sont devenus une mesure de sécurité standard dont toutes les entreprises devraient se doter parce que ces dispositifs renforcent la sécurité d’une entreprise en ajoutant une barrière additionnelle de protection que le cybercriminel devra franchir pour accéder au système informatique de cette entreprise. En outre, l’implantation d’un processus de gestion des correctifs de sécurité permet à votre logiciel de continuer à fonctionner convenablement et elle vous assure également de maintenir la sécurité de votre système. De plus, en vous gardant à jour sur les tendances émergentes en matière de correctifs de sécurité, vous pourrez plus aisément combattre les vulnérabilités logicielles. Les entreprises devraient également tenir à jour un système de gestion des documents en ne conservant que les documents qui sont requis par l’entreprise et en éliminant les anciennes données qui ne sont plus utiles. Si vous avez la responsabilité de gérer ces documents, il vous faudra les protéger. Si cela n’est pas possible, il vous sera alors utile d’avoir en main les copies de sauvegarde des données les plus importantes. Même si les stratégies de sauvegarde des données varieront d’une entreprise à l’autre, les données sauvegardées devraient être à jour, cryptées et stockées de manière sécuritaire hors site.

IB | Comment la pandémie de COVID-19 a-t-elle affecté le paysage des cyberrisques ?

AF | Depuis le début de la pandémie de COVID-19, on a remarqué que des cybercriminels ont profité du fait que des gens travaillaient à partir de chez eux. Plusieurs entreprises ne possédaient pas les systèmes requis ou la sécurité voulue pour accommoder une grande partie de leur personnel dans une optique de travail à distance. Par conséquent, on a observé une augmentation des attaques par hameçonnage et des programmes malveillants. En général, les équipements informatiques à la maison sont moins sécuritaires, ce qui rend les dispositifs d’authentification multi-facteurs, la formation des employés et les plans d’intervention à distance en cas d’incident encore plus nécessaires. La COVID-19 a permis aux cybercriminels de ratisser plus large en menant davantage de cyberattaques dans un contexte où les employés travaillent de plus en plus à la maison. Plusieurs entreprises ont constaté qu’elles étaient plus à risque et elles ont choisi d’investir dans les TI ainsi que dans des contrôles de cybersécurité additionnels pour les aider à mieux gérer le risque. Il est également important de se pencher sur l’avenir des modèles d’affaires dans un monde post-pandémique. On prévoit qu’un nombre croissant d’entreprises privilégiera un milieu de travail plus souple. Il pourrait s’agir d’un modèle reposant sur le travail à temps plein à partir de la maison ou d’un modèle hybride qui comprendrait le partage de bureau. La technologie, la sécurité ainsi que les programmes de formation et de sensibilisation des employés devront être mis à jour afin de s’assurer que les meilleures mesures en matière de cybersécurité seront en place pour l’organisation. De plus, il sera nécessaire d’actualiser le plan d’intervention en cas d’incident de l’organisation pour qu’il comprenne la manière dont l’entreprise exerce ses activités et le lieu où les employés travaillent.

IB | Quels sont les cyberrisques à prévoir ?

AF | La pénurie de personnel dans le domaine de la cybersécurité constitue une préoccupation majeure pour les entreprises et l’industrie de l’assurance. Pendant que le nombre des attaques augmente et que la demande pour des professionnels de la cybersécurité est en hausse, on a observé une diminution constante du personnel en matière de cybersécurité. Selon un article du réseau CNN, il y a environ 3,12 millions de postes à combler pour des professionnels de la cybersécurité dans le monde. Cette problématique a pour effet de rendre les entreprises encore plus vulnérables aux risques d’atteintes à la sécurité des données. La cybersécurité représente donc une préoccupation planétaire non seulement parce que les pirates peuvent résider n’importe où, mais également parce qu’ils peuvent utiliser les systèmes de tierces entreprises pour porter atteinte à vos propres systèmes en utilisant tous les moyens à leur disposition, notamment les attaques par déni de service distribué, les attaques par interception et les techniques de minage clandestin. La cybersécurité doit se présenter comme un effort de groupe pour combattre les cybercriminels. De plus, alors que la technologie de cinquième génération (5G, en anglais) continue de se développer (en fait, elle est plus rapide et elle a la capacité de prendre en charge une multitude de dispositifs connectés simultanément encore plus efficacement que les réseaux traditionnels), cette avancée accroîtra les risques en matière de cybersécurité parce que beaucoup plus de logiciels seront utilisés sur le réseau, ce qui augmentera proportionnellement les risques d’attaques. La rapidité accrue de la technologie de cinquième génération, même si elle sera bénéfique pour les utilisateurs, pourrait se révéler un défi pour les professionnels de la cybersécurité. En raison de sa capacité de prendre en charge un plus grand nombre de dispositifs, cette technologie de pointe permettra d’accroître les équipements Internet des objets (IDO). Cependant, ce ne sont pas tous les équipements IDO qui sont conçus avec un souci de sécurité. Si des milliards d’équipements IDO étaient connectés simultanément — avec des niveaux de sécurité variables — on pourrait alors avoir affaire à des milliards d’atteintes potentielles !