Le contexte volatil des cyberrisques souligne l’importance de se munir d’une assurance

Bien que les entreprises consacrent des budgets de plus en plus élevés à la sécurité, les nombreuses violations de données qui compromettent les dossiers de millions de clients continuent de faire la une. Selon un rapport de Gartner, les entreprises à l’échelle mondiale prévoient consacrer 124 milliards de dollars aux technologies de sécurité de l’information en 2019, ce qui représente une hausse de 8,7 % par rapport à l’année précédente.

Mais selon un rapport de McAfee, les pirates informatiques s’adaptent à des mesures de cybersécurité plus sophistiquées, et le coût mondial annuel de la cybercriminalité, qui s’élève actuellement à environ 600 milliards de dollars, devrait augmenter.

Vers des investissements axés sur le savoir

Compte tenu des risques importants que posent les cyberattaques pour la poursuite des activités et le rendement financier des entreprises, les organismes de réglementation de plusieurs pays exigent que les sociétés, en commençant par les conseils d’administration, mettent en place des mesures de cybersécurité et surveillent celles-ci. Pour être efficace, une stratégie de gestion des cyberrisques devrait être mise en place à l’échelle de l’entreprise et appuyée au moyen des investissements nécessaires sur le plan de l’atténuation des risques, du transfert de risques et d’une planification de résilience.

La première étape importante pour les entreprises consiste à quantifier l’exposition aux cyberrisques, c’est-à-dire de déterminer les répercussions économiques potentielles sur leurs finances et la poursuite de leurs activités. Cela peut leur permettre de prendre des décisions éclairées et d’élaborer une solide stratégie d’investissements contre les cyberrisques qui mesure sa portée par rapport aux risques qu’elle vise à atténuer. Pourtant, selon un sondage mené au cours d’une récente webémission de Marsh, de nombreuses organisations n’ont pas quantifié les cyberrisques auxquelles elles sont exposées.

Des investissements technologiques nécessaires, mais non suffisants

Malgré le fait que les entreprises dépensent de plus en plus pour assurer leur cybersécurité, les investissements en technologie ne suffisent pas. Les mesures d’atténuation des risques sont importantes, mais il n’existe aucune solution magique de cybersécurité pour éliminer les cyberrisques. L’erreur humaine est souvent citée comme étant le facteur le plus fréquent et le plus susceptible de causer des cyberévénements, soit parce qu’une personne en est directement la cause (si elle a omis de protéger adéquatement ses mots de passe par exemple) ou parce que l’incident a été mal géré, ce qui a entraîné des conséquences financières plus graves.

Par conséquent, les organisations doivent élaborer des stratégies de gestion de cyberrisques qui comprennent un plan d’intervention régulièrement mis à jour ainsi que des mises à niveau technologiques et des formations continues. Ces stratégies devraient être complétées par des programmes d’assurance efficaces qui fournissent aux organisations une garantie appropriée en fonction des répercussions financières estimées qui les toucheraient à la suite d’un cyberévénement.

Bien que la plupart des polices de cyberassurance comprennent des garanties de base, celles-ci devraient être adaptées au profil de risques propre à chaque organisation et tenir compte des éléments suivants :

• son utilisation des technologies et sa dépendance à celles-ci;
• ses engagements et ses obligations envers les tiers, y compris les clients et ses fournisseurs;
• la façon dont elle recueille, traite, stocke et transmet des renseignements personnels et confidentiels.

Les entreprises continuent à réaliser des investissements de plus en plus importants dans les actifs incorporels, qui sont plus vulnérables aux cyberattaques. S’ils sont détruits ou volés, ces actifs peuvent entraîner de graves conséquences financières puisqu’ils constituent une partie du bilan plus importante que d’autres actifs. Il incombe donc aux dirigeants d’entreprises de reconnaître que toute entreprise menant des activités peut faire face à des cybermenaces et comprendre que ce risque peut être efficacement géré au moyen d’une stratégie qui comprend des mesures d’atténuation et de transfert de risques et un plan d’intervention. Enfin, en installant des gicleurs d’incendie, les entreprises ne se soustraient pas à l’importance de se munir d’une assurance de biens. Il en est de même pour les cyberassurances; les technologies de cybersécurité ne devraient pas les remplacer, mais plutôt constituer une stratégie complémentaire.