Assurance cyberrisques : étonnamment, peu d’entreprises sont en règle auprès des assureurs. La vôtre l’est-elle?

Les assureurs sont de plus en plus nombreux à offrir, en ligne, des protections contre les cyberrisques. Pour les décideurs de partout au pays, une question difficile se pose.

Sommes-nous certains que nos dispositifs de cybersécurité sont assez étoffés pour que nous soyons en règle auprès des assureurs?

. Qu’est-ce que ça signifie pour votre entreprise, concrètement?

Un expert peut vous aider à répondre aux questions les plus complexes sur la cybersécurité et à simplifier les démarches, surtout en ce qui concerne la protection d’assurance.

Avez-vous besoin d’une assurance cyberrisques?

Plus les cyberattaques se raffinent, plus les vulnérabilités sont susceptibles d’apparaître où on ne les attend pas. Une police d’assurance qui protège contre ce genre d’attaque est une bonne chose en théorie, n’est-ce pas?

Oui, sauf que... C’est souvent compliqué d’en obtenir une – et de faire une réclamation. Le monde de l’assurance cyberrisques est actuellement laborieux. Ce type de protection paraît plus pertinent que jamais, et sa popularité croissante en fait gonfler le coût.

Mais à mesure qu’évoluent les polices, il devient de plus en plus complexe de se protéger et de faire une réclamation en raison d’exigences plus nombreuses et de coûts plus élevés.

En fin de compte, ce sont souvent les informations fournies au moment de souscrire qui changent la donne. Certains assureurs contestent l’indemnité réclamée parce que des informations de la proposition sont inexactes. Il est donc essentiel que les décideurs sachent où concentrer leurs efforts et qu’ils disposent d’une façon de valider les réponses données dans la proposition.

Si vous vous en êtes toujours remis au seul Service des TI de votre entreprise pour prendre ces décisions ou remplir les propositions d’assurance, il serait bon que nous nous assoyions ensemble pour en parler.

Cinq choses à savoir

Connaissez-vous la réponse à ces questions sur la cybersécurité de votre entreprise?

Avant de choisir une police d’assurance cyberrisques ou de remplir une proposition, il y a certaines choses essentielles à savoir, parce qu’elles pourraient déterminer si vous serez indemnisé ou non.

Il y a souvent un écart entre les réponses données dans la proposition d’assurance et ce qui se passe dans l’entreprise au moment de l’enquête à la suite d’une réclamation.

Voici cinq choses importantes auxquelles il faut pouvoir répondre avant de demander une proposition d’assurance cyberrisques : 

Contrôle des vulnérabilités et administration des correctifs de sécurité

Votre entreprise met-elle à jour son matériel et ses logiciels rapidement et assez souvent, et savez-vous ce qui a été corrigé ou mis à jour et ce qui ne l’a pas été?

Gestion des actifs

Votre entreprise a-t-elle la liste de tous les logiciels et de tout le matériel qu’elle utilise?

Sécurité des tiers et de la chaîne d’approvisionnement

Votre entreprise évalue-t-elle régulièrement ses partenaires, sous-traitants et fournisseurs du point de vue de la cybersécurité?

Tests d’intrusion

Votre entreprise mène-t-elle régulièrement des tests d’intrusion et, si oui, prend-elle les moyens qui s’imposent à la lumière des résultats?

Veille

Votre entreprise a-t-elle les moyens d’exercer une veille en continu et, si oui, réagit-elle rapidement aux alertes?

Des choses à savoir avant de souscrire une assurance cyberrisques

Si vous magasinez activement une assurance cyberrisques ou si vous remplissez actuellement une proposition, sachez qu’en cas de réclamation, vous devrez être capable de prouver tout ce que vous aurez écrit.

La plupart des propositions des assureurs en cybersécurité contiendront plus de 80 questions, toutes fort différentes de celles figurant dans les propositions d’assurance courantes. 

Assurez-vous d’avoir la couverture et les modalités qui conviennent à votre entreprise.

Comme les assureurs demandent plus de preuves de la mise en place de contrôles – il est important que vous sachiez quels sont vos besoins en la matière et que vous envisagiez une évaluation de l’état de vos protections pour savoir à quoi vous en tenir. 

Des choses à savoir avant de faire une réclamation d’assurance cyberrisques

Si jamais vous décidez de faire une réclamation, ayez en main préalablement toutes les informations sur l’incident et sur votre niveau de couverture.

Ne soyez pas surpris si votre taux augmente ou si votre réclamation est refusée ou limitée pour cause d’informations inexactes. Si ), vous saurez dire si votre réponse est appropriée et si elle est corrélée à votre couverture annuelle.

Assurez-vous d’avoir déterminé les limitations qui conviennent à votre entreprise.

Questions auxquelles il faudra répondre lors de la réclamation

Les choses iront beaucoup plus rondement si vous préparez votre rencontre avec l’expert en sinistres que si vous improvisez.

Préparez-vous à répondre à ces quelques questions si vous avez subi une ) ou si vous prévoyez de faire une réclamation d’assurance cyberrisques :

1. Quels sont les délais pour signaler une cyberattaque à votre assureur? Certains pourraient exiger d’être prévenus dans les heures suivant la découverte d’une attaque; d’autres, dans les jours; d’autres encore, dans les semaines.
2. Devez-vous impliquer l’assureur dans certaines démarches à la suite d’une cyberattaque?
3. Êtes-vous lié dans votre choix de collaborateurs en réaction à une cyberattaque? Ou l’assureur exige-t-il que vous vous tourniez vers certains prestataires de services en particulier?
4. Y a-t-il des restrictions ou des orientations sur le paiement d’une rançon en cas d’attaque?
5. Devez-vous impliquer des avocats si votre entreprise subit une attaque informatique?

Envisagez toutes vos options – du fournisseur tiers à votre propre Service des TI –, mais surtout, veillez à connaître votre police d’assurance sous toutes ses coutures.