Les cyberrisques

Une nouvelle étude sur les cyberrisques présente trois grandes conclusions

L’Institut a produit une nouvelle étude sur les cyberrisques, intitulée Les cyberrisques 2019 : conséquences pour l’industrie de l’assurance au Canada. L’étude s’appuie sur les constats d’une autre étude réalisée sur le même sujet en 2015 et qui proposait un état des lieux en ce qui a trait à la cybersécurité et à ses répercussions sur l’assurance. La nouvelle étude comporte une analyse des risques dans le marché actuel et présente trois grandes conclusions que tout professionnel de l’assurance aurait avantage à connaître.

1. “La situation est grave. Il faut se protéger!” – L’industrie de l’assurance est susceptible d’être la cible d’attaques.

Les risques de cyberattaques malveillantes ne cessent de croître en gravité et en complexité, dans un contexte où nous sommes de plus en plus interconnectés, notamment par le biais de l’Internet des objets, des services infonuagiques et du réseau 5G, qui sera bientôt déployé. La nature des attaques évolue sans cesse, et leur nombre est en hausse. Ces attaques représentent une menace non seulement pour la société en général, mais également pour les activités de l’industrie de l’assurance au Canada.

On réalise de plus en plus qu’en dépit de l’adoption des meilleures mesures de protection qui soient, les cyberattaques continueront de se produire et qu’il est essentiel que toutes les parties prenantes œuvrant dans l’industrie prévoient des moyens pour réduire au minimum les répercussions de ces attaques. Les compagnies d’assurance, les courtiers, les agents, les experts en sinistres et les autres intervenants doivent faire plus en vue de se protéger et de protéger leurs clients. L’adoption d’une politique de cybersécurité ne concerne pas uniquement le service des technologies de l’information de l’entreprise : tous les employés doivent recevoir une formation sur la cybersécurité, et les entreprises doivent mettre en place des processus visant à assurer une détection précoce des problèmes et le déclenchement d’interventions rapides et complètes.

2. “Nous avons les produits qu’il faut” – Le marché de la cyberassurance est jeune et présente une multitude d’occasions d’affaires.

En raison d’un manque de données sur les sinistres antérieurs et de la nature changeante des cyberattaques, la cyberassurance est perçue comme un produit qui présente un risque plus élevé par rapport aux branches d’assurance plus anciennes. Elle génère néanmoins des revenus importants, et parmi les différentes branches d’assurance, elle est sans doute celle qui offre les meilleures possibilités de croissance économique soutenue.

Dans les années 1990, la plupart des assureurs ont cherché à exclure les cyberrisques des contrats d’assurance de base couvrant la responsabilité civile et les biens des entreprises. Depuis une dizaine d’années, ils ont commencé à offrir une protection contre les cyberrisques aux termes de contrats distincts ou dans le cadre de contrats d’assurance multirisque. Plus récemment, les garanties ont changé et ont été élargies afin de tenir compte des risques émergents et de la dépendance accrue des entreprises envers les fournisseurs de technologies de l’information et de services infonuagiques. Les garanties peuvent couvrir les pertes d’exploitation, les ruptures de la chaîne d’approvisionnement, les services immédiats d’une équipe d’intervention et même les pertes de revenus découlant directement d’une couverture médiatique défavorable et d’une atteinte à la réputation à la suite d’un incident avéré ou allégué.

Pour les particuliers, les garanties couvrant le vol d’identité et la fraude sont offertes sous la forme d’avenants optionnels ou sont incluses dans les contrats d’assurance de base destinés aux propriétaires occupants et aux locataires. Ces garanties sont largement accessibles depuis plus de dix ans.

Étant donné que l’on dénote, chez les dirigeants d’entreprises de partout au Canada, une acceptation croissante de l’utilité de la cyberassurance comme moyen efficace de transfert du risque, il devient possible, pour l’industrie de l’assurance, de faire en sorte que la cyberassurance soit considérée comme un rouage important dans la gestion de la cybersécurité.

3. “Nous devons pouvoir prendre part aux discussions sur les politiques.” – L’industrie paie actuellement environ 1 % du total des pertes subies, et les décideurs ignorent encore le rôle que l’assurance pourrait jouer.

Les possibilités en matière de protection contre les cyberrisques sont encore mal connues. Au Canada, les consommateurs et les décideurs ne semblent souvent pas connaître les protections contre le vol d’identité et la fraude que les assureurs offrent aux particuliers. Les responsables de l’élaboration des politiques de cybersécurité, les spécialistes du cyberespace et les défenseurs des droits des consommateurs semblent également peu au fait des garanties contre les cyberrisques qui sont offertes aux entreprises.

Le manque de données sur les sinistres antérieurs a nui à la capacité de l’industrie d’apporter des solutions pour contrer les risques actuels. Si les assureurs disposaient de renseignements plus complets sur la fréquence, la gravité et la nature des attaques, ils seraient beaucoup mieux en mesure d’offrir des produits adaptés aux besoins.

L’assurance est une industrie qui repose sur la gestion des risques. Cette industrie est en mesure de jouer un rôle beaucoup plus important pour soutenir activement la société dans la gestion des cybermenaces. L’assurance est l’un des principaux moyens de protection dont disposent les Canadiens pour gérer les accidents d’automobile et les dommages causés par les incendies. L’assurance est également reconnue comme un outil essentiel pour gérer les dommages matériels que peuvent entraîner les inondations, les changements climatiques et les séismes. La cyberassurance doit faire partie des discussions au même titre que tous ces autres types d’assurance.