Comment augmenter la résilience de votre organisation grâce à l’autoassurance des cyberrisques

Joseph Coltson Associé, leader national, Enquêtes cyberjudiciaires, PwC Canada 07 octobre, 2022

Divers modèles d’autoassurance peuvent avantageusement remplacer ou compléter la cyberassurance traditionnelle

Les hauts dirigeants se préoccupent de plus en plus de la gestion des cyberrisques. Plus des deux tiers (68 %) des répondants canadiens à notre Enquête de 2022 auprès des chefs de direction affirment qu’ils ont explicitement pris en compte les cyberrisques dans leurs activités de gestion des risques stratégiques. S’assurer contre les pertes financières ou les dommages causés par les cyberattaques est un élément important de la stratégie de gestion des risques d’un bon nombre d’organisations. Mais de nouveaux défis – voire de mauvaises surprises – guettent les organisations qui entreprennent cette démarche.

La fréquence et l’ampleur croissantes des sinistres forcent de nombreux assureurs à augmenter les primes et à se montrer plus sélectifs quant aux risques qu’ils acceptent d’assurer. Pour les organisations, les répercussions ne se limitent pas à une augmentation de coûts. Les exclusions de garantie entraînent parfois des défauts de couverture et le rejet de demandes de règlements qui entravent la capacité de réaction d’une organisation devant une cybercrise et l’exposent à des pertes financières potentiellement catastrophiques.

Plan d’autoassurance des cyberrisques

Contracter une cyberassurance est un moyen d’atténuer les cyberrisques. Certaines organisations se tournent aussi vers l’autoassurance, soit en tant que première composante de leur cyberassurance, soit en guise de complément à leur couverture de cyberassurance externe. L’autoassurance consiste généralement à réserver des fonds dans le bilan pour couvrir les éventuelles dépenses découlant d’un cyberincident ou à assuer les cyberrisques par l’intermédiaire d’une société d’assurance captive. Pour être efficace, un plan d’autoassurance doit avoir été conçu de manière délibérée, formelle et définie.

Voici quelques-unes des étapes que suivent les organisations pour déterminer si l’autoassurance s’intègre bien à leur stratégie de gestion des cyberrisques :

Identifier et quantifier les cyberrisques

Imaginez qu’un pirate informatique ait accès à des informations sensibles sur votre clientèle lors d’une attaque par rançongiciel. À quels risques juridiques et réglementaires votre organisation s’exposerait-elle? Quels sont les risques opérationnels, tels que le temps d’indisponibilité du réseau, qui pourraient perturber vos activités? Qu’en est-il du risque pour la réputation de votre organisation et de la confiance de vos clients actuels et futurs? Et quels sont les coûts associés à ces risques?

Le fait de quantifier ces cyberrisques, et d’autres encore, et d’imaginer divers scénarios semblables est le meilleur point de départ pour décider quels risques il convient d’autoassurer. Dans votre analyse, tenez compte à la fois des risques propres à votre organisation et de ceux qui sont inhérents à votre secteur d’activité. Comme le mentionne notre rapport de 2021 intitulé Renseignements sur les cybermenaces au Canada, chaque secteur d’activité fait face à des menaces particulières en matière de risques numériques et de cyberattaques potentielles.

Comprendre ce que couvre la cyberassurance contractée

Votre assurance responsabilité civile générale, votre assurance contre les pertes d’exploitation et vos autres polices d’assurance peuvent venir à point en cas de cyberincident. Mais il est important de connaître les failles de votre couverture et de comprendre leur effet sur la capacité de votre organisation à répondre à une cyberattaque et à s’en rétablir. Nombre d’assureurs, par exemple, refusent de couvrir le paiement d’une rançon. C’est là une considération particulièrement importante, puisque les rançongiciels restent l’une des cybermenaces les plus graves et coûteuses pour les organisations canadiennes.

Une analyse de la couverture d’assurance dont votre organisation a besoin pour réagir efficacement en cas de crise et de la protection offerte par les polices souscrites vous permettra d’identifier les risques que votre organisation doit ou préfère autoassurer.

Évaluer les coûts d’assurance

Les primes de cyberassurance vont croissant. Il convient donc de passer en revue le coût de votre protection. En cas de crise, bien entendu, vous devez pouvoir compter sur des fonds adéquats. Mais grâce à l’autoassurance, vous pourriez avoir plus de contrôle sur vos dépenses d’assurance à long terme. En quantifiant le risque de cyberattaque auquel votre organisation est exposée, vous pourrez déterminer dans quelle mesure vos réserves correspondent à votre tolérance au risque. C’est un aspect important de l’évaluation de la combinaison de cyberassurance idéale pour votre organisation.

Réfléchir à l’aide nécessaire pour intervenir en cas de cyberincident

Pour réagir à une cyberattaque, il faut généralement toute une communauté de professionnels : des équipes internes et externes spécialisées dans la gestion des incidents et des crises. Les polices de cyberassurance offertes sur le marché couvrent souvent les services de ce type de fournisseurs. Il est essentiel de réfléchir aux services dont votre organisation pourrait avoir besoin en cas de crise et de savoir si votre police d’assurance en couvrira le coût. Les professionnels recherchés en cas d’incident sont par exemple un fournisseur de services d’intervention, un accompagnateur en matière d’atteinte aux données, un négociateur de rançon, un enquêteur et un agent de communication de crise.

Il convient de pouvoir identifier par avance les professionnels requis et même, dans certains cas, de retenir leurs services. Les organisations qui s’autoassurent ont en outre l’avantage de pouvoir choisir ces professionnels selon leurs préférences. En cas de crise, bon nombre d’organisations préfèrent travailler avec des conseillers de confiance qui connaissent déjà leurs activités.

Préparez-vous en répondant aux questions suivantes :

Comprenez-vous les menaces et les cyberrisques contre lesquels vous devez vous assurer?
Pouvez-vous estimer les coûts que les organisations de votre secteur doivent engager en cas de cybercrise?
Y a-t-il des cas non couverts par votre couverture de cyberassurance actuelle?

Avez-vous élaboré des cadres de risque qualitatifs ou quantitatifs pour comparer les coûts et les avantages de l’assurance externe et des autres avenues?

La cyberassurance comme facteur de résilience

La résilience de votre organisation en cas de cybercrise peut dépendre de la couverture de cyberassurance souscrite. Si vous êtes en mesure d’accéder aux ressources nécessaires pour exécuter votre plan d’intervention, vous réduirez vos coûts et votre temps de reprise après sinistre – ce qui est essentiel pour établir et maintenir la confiance entre l’équipe de direction, la clientèle et les autres parties prenantes qui comptent sur le rétablissement des services le plus rapidement possible.

Pour préparer votre organisation à réagir à une éventuelle crise, il faut prévoir un financement adéquat. Mais pour qu’elle soit tenable, votre approche doit aussi être abordable, couvrir les menaces spécifiques auxquelles votre organisation est exposée et positionner celle-ci pour qu’elle se tire de tout sinistre en meilleure posture encore qu’auparavant.