Cyberassurance : les bonnes pratiques pour exercer votre rôle-conseil et protéger adéquatement vos clients
L’histoire
Un client visiblement inquiet vous contacte et vous pose la question suivante : « Suis-je couvert en cas de perte ou de corruption de données? » Du même souffle, il vous apprend que son site Web transactionnel a subi une cyberattaque l’obligeant à mettre sa boutique hors ligne le temps que soit évalués les dommages éventuels. En raison de la taille de son entreprise, 20 employés, et de son secteur d’activité, fleurs, plantes et produits d’horticulture, votre client n’a jamais imaginé être victime d’une attaque informatique. Jusqu’à ce jour.
Que dit le Code civil?
L’inquiétude du client est compréhensible. En vertu du Code civil du Québec1 son entreprise peut voir sa responsabilité civile engagée si elle n’a pas pris les moyens raisonnables à sa disposition pour protéger ses clients.
Heureusement, l’enquête du fournisseur de l’hébergement Web révélera que la sécurité et l’intégrité des données personnelles détenues par l’entreprise de votre client n’ont pas été compromises. De plus la panne du site Web aura duré moins de deux heures. Il n’empêche : les activités ont été perturbées, des ventes potentielles ont été perdues et des utilisateurs ont subi un désagrément qui aurait dû être évité. Sans parler du stress causé à votre client.
Quelle est votre responsabilité déontologique en matière de cyberassurance?
Cette histoire soulève plusieurs questions. La perte ou la corruption des données aurait-elle été couverte par la police existante du client, ou par un avenant de cybersécurité ajouté à celle-ci? Devez-vous proposer une cyberassurance à votre client? Si oui, comment veiller à bien analyser ses besoins et les protections requises?
Que couvre une cyberassurance2?
Bien que les polices et la terminologie varient d’un assureur à l’autre, typiquement, une cyberassurance couvre plusieurs cyberincidents, dont les atteintes à la protection des données confidentielles, la cyberextorsion et les perturbations technologiques. La cyberassurance peut vous aider à couvrir certains coûts qu’occasionne une cyberattaque, notamment ceux liés à la représentation juridique, à la divulgation aux parties concernées, à l’embauche d’une firme pour enquêter sur la cause de l’événement et à la récupération des données endommagées ou corrompues.
Deux principes balisent vos obligations déontologiques à ce sujet :
- Le devoir de conseil (art. 27 de la Loi sur la distribution des produits et services financiers) : « Un représentant en assurance doit s’enquérir de la situation de son client afin d’identifier ses besoins. Il doit s’assurer de conseiller adéquatement son client, dans les matières relevant des disciplines dans lesquelles il est autorisé à agir; s’il lui est possible de le faire, il offre à son client un produit qui convient à ses besoins. »
- L’obligation de détenir les connaissances et les compétences requises (art. 17 du Code de déontologie des représentants en assurance de dommages) : « Avant d’accepter un mandat, le représentant en assurance de dommages doit tenir compte des limites de ses aptitudes, de ses connaissances ainsi que des moyens dont il dispose. Il ne doit pas entreprendre ou continuer un mandat pour lequel il ne dispose pas des habiletés nécessaires sans obtenir l’aide appropriée. »
Dans cette perspective, voici cinq bonnes pratiques pour exercer adéquatement votre rôle-conseil, combler le déséquilibre informationnel entre vous et votre client, souvent profane en matière de cyberassurance, et ajouter de la valeur au service que vous rendez comme professionnel.
1. Conseiller en amont du risque
La question n’est pas de savoir « si » une entreprise sera victime d’une attaque informatique, mais bien « quand » elle le sera. Autrement dit, si le risque zéro n’existe pas dans le monde réel, il n’existe pas plus dans l’univers virtuel. Y a-t-il de bonnes pratiques permettant de le mitiger? Certainement.
On n’attend pas des professionnels en assurance de dommages qu’ils soient tous des experts en cyberassurance et en cybersécurité. Cependant, il est essentiel que vous déteniez une connaissance de base des mesures que les entreprises doivent adopter pour protéger leurs actifs numériques. À cet égard, pas une semaine ne passe sans qu’un cyberincident soit rapporté. Conseiller les clients en amont du risque en vous basant sur une information juste et en suivant les bonnes pratiques est donc une nécessité. Même si vous n’êtes pas un spécialiste des technologies de l’information, il est important que vous soyez au courant des cyber-risques.
Cette nouvelle « matière assurable » qu’est le cyber-risque ne change en rien votre devoir de conseil. En fait, vos conseils doivent s’adapter à la transformation numérique pour faire en sorte que les pratiques d’affaires des entreprises tiennent compte des nouveaux risques auxquelles elles sont confrontées, particulièrement ceux qu’elles ignorent.
Et les angles morts sont bien réels, à la lumière du degré d’intérêt et des connaissances des assurés en matière de cyberassurance. Dans un article paru sur le Portail de l’assurance, qui rapporte les résultats d’un sondage réalisé sur ce sujet, on apprend que :
- 70 % des répondants sondés sur la cyberassurance disent ne pas comprendre les facteurs de risque;
- 57 % ne comprennent pas la nature de la garantie offerte;
- 40 % trouvent la procédure de souscription trop compliquée.
L’important, c’est de permettre au client de comprendre les risques auxquels il fait face, de connaître les possibles conséquences au fait de ne pas souscrire une protection qui lui est conseillée et de prendre en tout temps des décisions éclairées.
2. Comprendre les pratiques d’affaires du client
Sans surprise, le facteur humain est encore et toujours à l’origine de 90 % des bris de sécurité3. Dans la mesure où la majorité des cyberattaques et des réclamations sont attribuables à l’exploitation de failles pour lesquelles des solutions existent, vous enquérir des pratiques en vigueur dans l’entreprise du client est un solide point de départ pour évaluer ses besoins.
Poser des questions constitue la voie royale pour y parvenir. Quelques exemples de questions :
- Avez-vous une politique de cybersécurité et vos clients en sont-ils informés?
- Procédez-vous aux mises à jour logicielles recommandées par les fournisseurs?
- Sauvegardez-vous périodiquement vos données hébergées sur les ordinateurs de votre bureau et en ligne?
- Quel type de données conservez-vous? Sont-elles sensibles?4
- Avez-vous déterminé qui peut accéder à quels ordinateurs et à quelles données?
- Appliquez-vous des pratiques de mots de passe forts et la double authentification?
- Chiffrez-vous vos données ainsi que le contenu de vos ordinateurs et de vos portables?
- Votre site Web est-il sécurisé de telle sorte que les données échangées entre le navigateur de vos clients et votre site Web transactionnel sont chiffrées?
- Utilisez-vous un filtre antipourriel et un pare-feu?
- Réalisez-vous périodiquement des tests d’intrusion?
- Vos employés sont-ils formés régulièrement aux gestes de prévention à adopter?
Ces questions et leurs réponses permettent de cerner une partie importante des besoins, aussi bien au chapitre des bonnes pratiques d’affaires à mettre en œuvre qu’à la nécessité de souscrire une cyberassurance, le cas échéant. Vous conseillerez adéquatement votre client en lui rappelant que toutes les pratiques permettant d’étanchéifier ses opérations, ses appareils et son infrastructure informatique sont d’indéniables atouts pour mitiger ses risques et protéger ses parties prenantes. Ces pratiques pourraient même contribuer à diminuer sa prime d’assurance.
Rien n’égale une conversation pour aller encore plus loin dans votre rôle-conseil et accroître sa valeur ajoutée :
- Posez des questions ouvertes pour aller au-delà des besoins exprimés par le client.
- Écoutez le client pour rebondir sur ses propos afin de mettre en perspective ses différents enjeux et défis d’affaires.
- Faites preuve de transparence au sujet du marché en cyberassurance : ce ne sont pas tous les assureurs qui l’offrent. De plus, les produits peuvent comporter des limitations et des exclusions (pas tous les clients seront acceptés), et il peut y avoir des recommandations à mettre en place.
- Informez le client du questionnaire à remplir lors de la souscription et mentionnez-lui qu’il doit détenir des données complètes et à jour pour ce faire. Le client doit également connaître son environnement technologique ou être entouré d’un spécialiste en technologies de l’information qui le connaît.
3. Tenir compte des aspects légaux
Informez votre client que depuis septembre 2022, la Loi sur la protection des renseignements personnels dans le secteur privé stipule qu’une entreprise doit tenir un registre de tous les incidents de confidentialité survenus et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission d’accès à l’information et les personnes concernées de tout incident de confidentialité présentant un risque sérieux de préjudice.
La valeur ajoutée de votre devoir de conseil ne se résume pas à offrir la meilleure protection. Elle réside aussi dans la qualité de l’information fournie en vue de permettre au client de prendre une décision éclairée en regard de son environnement d’affaires, y compris son environnement légal.
4. Expliquer avec des cas vécus
Sachant que la dépendance des entreprises aux technologies (qu’on pense aux solutions de commerce électronique) et aux services numériques (qu’on pense à l’infonuagique) expose votre client à des risques en matière de cybersécurité, rappelez-lui cet épisode vécu par une PME québécoise. Au printemps 2021, une cyberattaque par rançongiciel a paralysé l’entreprise alors qu’une police d’assurance cyber-risque était sur le point d’être souscrite. Cette police coûtait 20 000 $; en comparaison, l’entreprise évalue les coûts résultant de l’attaque subie à 250 000 $.
Et preuve que personne n’est à l’abri, la cyberattaque par rançongiciel qui a paralysé Colonial Pipeline, une entreprise transportant près de 45 % du carburant consommé sur la côte est des États-Unis, a entraîné l’interruption de toutes les opérations du pipeline, la déclaration d’un état d’urgence national et le paiement d’une rançon de 4,4 millions de dollars.
5. Connaître et respecter vos limites
Au terme de cette conversation, non seulement avez-vous mieux cerné les besoins de votre client en lui démontrant votre valeur ajoutée, mais vous en savez beaucoup plus sur lui et sur ses affaires. Le moment est venu de lui expliquer ce qu’est une cyberassurance, ses particularités, avantages, limites et exclusions, et comment elle peut faire partie de son portefeuille d’assurances.
Rappelez-vous toutefois que pour proposer une cyberassurance, un domaine complexe qui nécessite des connaissances spécialisées, vous devez :
- détenir la certification appropriée en assurance des entreprises;
- posséder les compétences techniques nécessaires à l’appréciation du cyber-risque ou compter sur l’aide d’un spécialiste pour ce faire;
- connaître adéquatement le domaine d’affaires du client (agriculture, transport, construction, etc.);
- comprendre les polices que vous recommandez (particularités, définitions, garanties, limites, exclusions).
Une prise de décision éclairée en matière de cyberassurance s’appuie sur une compréhension partagée du contenu de la police, de la protection offerte, des exclusions et des avantages en regard des besoins du client et de sa situation. Cette décision est affaire de communication, peu importe les particularités du produit d’assurance.
[1] Toute personne et toute organisation ont une responsabilité civile, c’est-à-dire « le devoir de respecter les règles de conduite qui, suivant les circonstances, les usages ou la loi, s’imposent à elle, de manière à ne pas causer de préjudice à autrui » (art. 1457, Code civil du Québec).
[2] Gouvernement du Canada et Bureau d’assurance du Canada. « Votre petite entreprise a-t-elle besoin d’une cyberassurance ? » Campagne Pensez cybersécurité, https://www.pensezcybersecurite.gc.ca/
[3] IBM Security. Cost of a Data Breach Report 2022, https://www.ibm.com/.
[4] L’entreprise doit recueillir seulement les renseignements nécessaires aux fins déterminées avant la collecte (art. 5 de la Loi sur la protection des renseignements personnels dans le secteur privé). Les entreprises doivent éviter de détenir des renseignement informations qui ne leur sont pas nécessaires, car cela augmente les cyber-risques.