Le cyber-risque: de la préoccupation à la gestion du risque
Prenez note que cet article, publié en 2015 et mis à jour en 2022 , pourrait contenir des informations ou références qui ne sont plus à jour.
Dans cet article, vous en apprendrez plus sur:
En 2015 déjà, le cyber-risque figurait parmi les 10 principales préoccupations des entreprises1. Depuis, la transformation numérique de la société n’a cessé de croître et de s’accélérer. En 2020, la crise sanitaire mondiale causée par la COVID-19 a accru davantage la présence en ligne. Depuis la pandémie, le Centre antifraude du Canada (CCC) constate par exemple que « des gens qui n’avaient jamais magasiné en ligne ont commencé à utiliser Internet pour faire l’épicerie et des achats courants, pour effectuer des opérations bancaires ». Les consignes sanitaires ont rendu le télétravail obligatoire et l’enseignement en ligne a été généralisé.
Conséquemment, les cyberattaques ont augmenté : au niveau mondial, la croissance de ces événements aurait été de 151 % pour les six premiers mois de 2020, comparativement à la même période l’année précédente.
Les pirates informatiques s’adapteraient également au contexte pour mener leurs attaques. Par exemple, avec l’augmentation de la pratique de télétravail, les fraudes du type harponnage seraient en hausse marquée selon un avis émis par le CCC en janvier 2021. Ce stratagème, le plus souvent réalisé par courriel, cible particulièrement les entreprises et les organisations. Il vise à collecter des informations sensibles en exploitant des relations existantes entre le destinataire du courriel et le supposé expéditeur (un fournisseur, le dirigeant de l’entreprise, une institution bancaire, etc.).
Dans un tel contexte, on peut comprendre que le cyber-risque figure désormais en deuxième position des préoccupations des entreprises canadiennes2.
L’industrie de l’assurance de dommages n’est pas en reste. Le cyber-risque se classe ainsi parmi les principaux risques d’affaires du secteur canadien des assurances depuis de nombreuses années3. En 2019, près d’un quart des sociétés canadiennes d’assurance (24,2 %) auraient signalé au moins un incident.
Les entreprises québécoises du secteur ont aussi eu leur lot de cyberincidents. En juin 2019, les données des 4,2 millions de membres particuliers canadiens du mouvement Desjardins ont été compromises dans une fuite des données4. En décembre 2020, une vague de cyberattaques a touché plusieurs compagnies d’assurance dans la province : L’Unique assurances générales a suspendu ses activités quelques jours à la suite d’une cyberattaque, forçant également la suspension préventive des activités de La Capitale et de celles de ses autres divisions (SSQ Assurance et Unica)5. Quelques jours plus tard, Promutuel était à son tour victime d’une cyberattaque; les répercussions de cette dernière se sont fait sentir pendant plusieurs semaines6.
Des attentes plus exigeantes envers les entreprises
En février 2020, l’Autorité des marchés financiers (Autorité) a publié une Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications (ligne directrice) énonçant les attentes du régulateur quant à la gestion des cyber-risques par les institutions sous sa gouvernance, dont le secteur de l’assurance de dommages. Cette ligne directrice est entrée en vigueur le 27 février 2021.
Le gouvernement canadien a, pour sa part, adopté une stratégie nationale en matière de cybersécurité. Cette stratégie repose sur la réglementation, l’implantation de mesures de sécurité adéquates au sein des entreprises canadiennes ainsi que sur la sensibilisation et l’information des citoyens canadiens, car ces derniers ont un rôle important dans la lutte contre les cyber-risques.
Le facteur humain
Les spécialistes en cybersécurité s’entendent tous : avoir les meilleurs outils de protection et les meilleurs processus de contrôle et de mitigation ne suffisent pas si l’on ne tient pas compte du facteur humain.
Les cyberattaques dans les entreprises commencent souvent par le geste d’un employé leurré : clic sur un lien, téléchargement de document, réponse à un courriel, tous en apparence légitimes et en réalité frauduleux.
Le facteur humain est donc primordial et les entreprises doivent en tenir compte. Selon Benoît Dupont, directeur scientifique du Réseau intégré sur la cybersécurité (SERENE-RISC) de l’Université de Montréal, « lorsque les politiques de cybersécurité sont trop contraignantes, les individus ont tendance à les contourner et à ne pas les respecter. Le changement fréquent de mot de passe peut ainsi les amener à choisir des mots de passe faibles, par lassitude ou parce que ces derniers sont plus faciles à mémoriser ». Savoir que ce type de comportement est possible rend d’autant plus importante la mise en œuvre de mécanismes permettant de s’assurer que les mots de passe choisis sont robustes. L’utilisation de gestionnaires de mots de passe pourrait ainsi permettre aux employés de consigner de façon sécuritaire leur mot de passe, tandis qu’une stratégie de mots de passe complexes obligera les utilisateurs à choisir des mots de passe respectant des critères spécifiques.
Par ailleurs, « même si on fournit, par exemple, aux professionnels en assurance de dommages un ordinateur ultrasécurisé doté d’un accès par réseau privé virtuel, poursuit M. Dupont, ils sont susceptibles d’utiliser un réseau Wi-Fi gratuit dans un café », un type de réseau habituellement peu sécurisé. Pour que les employés des cabinets se sentent concernés par le rôle qu’ils ont à jouer dans la cybersécurité, il faut les outiller, les former régulièrement, discuter avec eux des exemples tirés de l’actualité pour apprendre des erreurs et se tenir informer des nouvelles tendances. Une fiche qui résume la politique de cybersécurité en quelques points faciles à appliquer et qui cible les bonnes pratiques susceptibles de produire les effets les plus significatifs pour l’entreprise pourrait également être créée et distribuée à chaque employé.
D’ailleurs, les Organismes canadiens de réglementation en assurance (OCRA), dont la ChAD fait partie, ont publié un outil d’aide à la préparation à la cybersécurité. En consultant cette fiche, les certifiés en assurance de dommages ainsi que les entreprises dans lesquelles ils travaillent pourront améliorer leurs façons de faire en la matière.
La protection des renseignements personnels
La formation vous permettra d’acquérir des compétences pratiques pour garantir la sécurité des informations personnelles au sein de votre organisation.
Les bases de la cybersécurité
La formation vise à doter les professionnels de l’assurance de dommages de compétences essentielles pour utiliser les nouvelles technologies en toute sécurité, tout en adoptant des mesures préventives pour réduire les risques d’incidents au sein de leur organisation.
Élaborer une politique de cybersécurité
Aujourd’hui, toutes les entreprises devraient donc se doter d’une politique de gestion du cyber-risque. Toutefois, avant d’élaborer une politique et des processus de cybersécurité, il faut d’abord « bien comprendre les probabilités que survienne le risque et ses impacts potentiels sur l’entreprise », explique Amir Belkhelladi, associé leader de la pratique en cybersécurité, Est du Canada, chez Deloitte. Dans l’audit du risque, il faudra tenir d’abord compte des aspects réglementaires en vigueur, comme les obligations légales concernant la protection des renseignements personnels.
Protection des renseignements personnels : nouveau cadre réglementaire au Canada et au Québec
Depuis octobre 2018, les entreprises assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) sont obligées de déclarer « les atteintes aux mesures de sécurité concernant des renseignements personnels présentant un risque réel de préjudice grave à des individus ». Elles doivent également en aviser les personnes dont les données ont été compromises et conserver un registre de toutes ces atteintes.
Au Québec, depuis l’adoption de la Loi 25 visant la modernisation des dispositions législatives en matière des renseignements personnels, la divulgation en cas d’atteinte à la protection. Apprenez-en plus dans cet article.
Ensuite, il faut élaborer « des scénarios d’affaires avec des exemples concrets et adaptés à l’entreprise », soutient M. Belkhelladi. Ainsi, une attaque par déni de service rendra indisponible l’accès à un serveur Web ou à un site Internet ou encore la distribution de courriels. « Cela aura donc un impact sur les activités de l’entreprise, par exemple en empêchant les clients de faire une souscription en ligne. Cela s’accompagne aujourd’hui souvent de chantage pour recouvrer l’usage du réseau, ajoute M. Belkhelladi. Les vols de données liées à la propriété intellectuelle, comme une base de données actuarielle, ou de renseignements sur les clients (numéros de carte de crédit, coordonnées personnelles, etc.) posent, quant à eux, un risque réputationnel et commercial. »
Comme pour toute autre pratique de gestion de risque, la suite de l’exercice consiste à implanter des processus qui permettront de prévenir le risque, mais également de le détecter et de le contrôler. Dans sa ligne directrice, l’Autorité parle d’ailleurs d’établir une « hygiène adéquate de la sécurité par la mise en place de mesures contribuant à prévenir la matérialisation d’un incident majeur et à limiter ses impacts ». Les tendances des cyberattaques des dernières années montrent ainsi l’importance de concevoir et mettre œuvre rigoureusement un plan de sauvegarde de données informatique. « En cas d’attaque par rançongiciel par exemple, cela permettra à l’entreprise de restaurer les systèmes compromis sans avoir à payer la rançon ou à devoir se résigner à la perte définitive des données », explique M. Dupont.
Toutefois, l’élaboration d’une politique de cybersécurité ne correspond pas à une simple mise à jour de la politique de la gestion de risque existante où il suffit d’ajouter le terme cyber-risque ici et là. Il faut « reprendre la démarche depuis le début pour se doter d’une stratégie de gestion de crise adaptée au monde cyber, avec les ressources spécialisées adéquates », prévient M. Belkhelladi. « Cette politique de cybersécurité devrait prévoir un plan de gestion des incidents, incluant des simulations d’attaque périodiques, permettant à l’organisation de se préparer en cas d’attaque et de familiariser l’ensemble des employés aux mesures qui devront être mises en œuvre pour y répondre », ajoute M. Dupont.
Compte tenu de l’ampleur de ce risque, « la répartition traditionnelle, avec un responsable pour chaque risque – financier, physique, juridique –, ne suffit plus, rappelle M. Dupont. Si vous êtes responsable des affaires juridiques, vous pourriez penser que le cyber-risque n’est pas de votre ressort. Pourtant, vous possédez probablement des données sur le fonctionnement de votre entreprise qui pourraient être cruciales. » Sans oublier que les membres d’un conseil d’administration ont un devoir fiduciaire ou de diligence en cas de cyberattaque.
Pensez aux médias sociaux!
Saviez-vous que les cybercriminels se servent de plus en plus des médias sociaux pour collecter les informations nécessaires pour créer leurs scénarios de fraudes basées sur l’ingénierie sociale? Les médias sociaux représentent également un canal propice aux cyberattaques par virus et pourriels, en plus d’exposer les entreprises au risque réputationnel. Une politique de cybersécurité d’entreprise devrait comprendre un volet médias sociaux. Consultez la fiche-conseil de la ChAD pour élaborer une politique d’utilisation des médias sociaux.
Une responsabilité partagée à tous les niveaux
L’industrie de l’assurance de dommages peut jouer un rôle central pour la prévention en matière de cybersécurité, « comme elle l’a fait pour d’autres risques majeurs, commente M. Dupont. L’industrie pourrait promouvoir les bonnes pratiques en vue de prévenir la cybercriminalité, comme elle l’a fait, par exemple, pour prévenir les incendies. »
En Europe, des collaborations de ce type ont d’ailleurs été établies entre des firmes informatiques chargées de la sécurité des grands réseaux bancaires et l’industrie de l’assurance de dommages. L’objectif : partager les données liées au cyber-risque pour bâtir un modèle de prévention fondé sur les risques et les tendances actuels. L’Institut d’assurance du Canada a également souligné l’importance d’établir des partenariats entre l’industrie et les gouvernements pour échanger des informations sur les menaces existantes et émergentes, les techniques de défense et les pratiques exemplaires.
La cybersécurité est une responsabilité partagée entre tous les paliers gouvernementaux, les secteurs publics et privés, la communauté internationale et les citoyens. C’est un sujet qui devrait donc être discuté dans la population générale ainsi qu’au sein des entreprises de tous les secteurs et à tous les niveaux.
1. Classé deuxième selon le communiqué « Le contexte réglementaire, le cyberrisque et les taux d’intérêt sont les principales sources de préoccupations du secteur canadien de l’assurance », 16 juillet 2015, PwC Canada [en ligne], et troisième selon le Deuxième sondage annuel sur les risques et les occasions dans les secteurs de l’assurance au Canada, 2015, KPMG [en ligne], consultés le 18 mars 2021.
2. Allianz. Allianz Risk Barometer 2022 : Cyber Perils Outrank Covid-19 and Broken Supply Chains as Top Global Business Risk, janvier 2022, [en ligne]. Consulté le 9 février 2022.
3. KPMG. Rapport du cinquième sondage annuel sur les occasions et les risques dans le secteur de l’assurance au Canada, 2018, p. 14 [en ligne]. Consulté le 18 mars 2021.
4. Radio-Canada. « Vol des données chez Desjardins : tous les membres particuliers touchés », 1er novembre 2019 [en ligne]. Consulté le 18 mars 2021.
5. ROY, Hubert. « L’Unique assurances générales visée par une attaque informatique », Portail de l’assurance, 7 décembre 2020 [en ligne]. Consulté le 18 mars 2021.
6. VALLIÈRES, Martin. « Encore « des semaines » de réparations informatiques », La Presse, 13 janvier 2021 [en ligne]. Consulté le 18 mars 2021.