Allons droit au but. La cybersécurité n’est ni une mode, ni une question qui concerne uniquement les plateformes de commerce électronique. Pour la plupart des entreprises de vente au détail, l’assurance cybersécurité constitue plutôt un élément important de leur programme de gestion des risques conçu pour protéger la confidentialité des renseignements personnels de leurs clients et de leurs propres renseignements. Mais cela ne signifie pas que le même type d’assurance convient à toutes les entreprises. Le présent article donne à ceux qui œuvrent dans le secteur de la vente au détail un aperçu de l’assurance cybersécurité et explique comment l’assurance cybersécurité s’intègre à un programme de gestion des risques et ce que les entreprises peuvent en attendre.

Pourquoi les entreprises de vente au détail ont-elles besoin d’une assurance cybersécurité?

Les données sont le moteur du commerce moderne. Aucun système de gestion des stocks ou des ventes ne peut fonctionner sans données. Cependant, de nos jours, les détaillants recueillent de plus en plus de données pour traiter les paiements, se renseigner sur les habitudes et les préférences de leurs clients, personnaliser l’expérience de magasinage de leurs clients, gérer les programmes de fidélisation, déceler et prévenir les fraudes et gérer les chaînes d’approvisionnement.

La cybersécurité est un programme de mesures administratives, techniques et matérielles qu’une entreprise met sur pied afin de déceler les risques que ses données soient perdues ou qu’elles fassent l’objet d’un accès ou d’une utilisation non autorisés et de se protéger contre de tels risques. L’assurance cybersécurité est un moyen judicieux de transférer certains des risques financiers associés à l’échec de telles mesures.

Si vous pourriez savoir avec certitude que votre système d’alarme allait faire défaut et que vos stocks allaient être volés, assureriez-vous vos stocks? Pour répondre à cette question, vous ne vous demanderiez probablement pas si l’assurance des biens est une mode, mais vous compareriez la valeur de vos stocks au coût de la prime s’assurance. Il en est de même pour l’assurance cybersécurité. La plupart des experts s’entendent pour dire que la question n’est pas de savoir si votre programme de cybersécurité fera défaut, mais plutôt de savoir quand cela se produira. Il ne s’agit donc pas de savoir si vous avez besoin de cette assurance (ou s’il s’agit d’une mode), mais plutôt d’évaluer le coût de la prime par rapport à la perte financière qui découlerait probablement de l’atteinte à vos données.

Quantification des pertes

Il est très difficile d’évaluer la perte financière probable. Des tentatives ont été faites en vue de quantifier les pertes découlant des atteintes à la protection des données. Selon l’Étude 2015 sur le coût des atteintes à la protection des données (en anglais seulement) réalisée par IBM et le Ponemon Institute, le coût total moyen d’une atteinte à la protection des données était de plus de 3 M$ US, soit un coût moyen par fichier de plus de 150 $ US. Au Canada, le coût moyen par fichier a été fixé à environ 250 $ CA. Quant à l’auteur du Rapport d’enquête 2015 de Verizon sur les compromissions de données (en anglais seulement), il conclut que le coût des atteintes à la protection des données est très variable et dépend, en partie, du nombre de fichiers en raison de certains frais fixes qui peuvent être occasionnés par chaque atteinte. Par exemple, il n’y a pas nécessairement une corrélation aussi étroite entre les frais d’enquête et les honoraires d’avocats et le nombre de fichiers perdus qu’entre le coût des services de surveillance du crédit et l’envergure du contrat de prestation de services que l’entreprise a confié aux principales sociétés de surveillance du crédit.

Ce qui est clair, c’est qu’une atteinte est coûteuse. Les entreprises de vente au détail qui en font l’objet devraient s’attendre à devoir engager des frais imprévus dans les quelques heures à peine suivant la détection de l’atteinte. Ces frais comprennent les suivants :

• les honoraires des consultants en sécurité indépendants chargés d’aider l’entreprise à maîtriser l’atteinte;
• l’imagerie judiciaire du matériel qui servira à protéger les données aux fins des enquêtes des organismes chargés de l’application de la loi;
• le coût du matériel ou des logiciels supplémentaires qui seront requis pour rétablir le service ou effectuer des mises à jour de sécurité.

Il est sage de ne pas sous-estimer l’ampleur des frais qu’une entreprise pourrait devoir engager pour maîtriser une atteinte à la protection des données et faire en en sorte qu’elle ne se reproduise plus, ainsi que des perturbations susceptibles d’en découler. Il arrive fréquemment que des ressources technologiques essentielles, y compris les plateformes de commerce électronique, doivent être mises hors service. Dans le meilleur des cas, la mise hors service ne dure que quelques heures ou quelques jours. Toutefois, chez certains de nos clients, elle a duré plusieurs mois. Mais la perturbation des plateformes en ligne n’est que l’un des problèmes. Les entreprises de vente au détail doivent parfois se procurer des technologies entièrement nouvelles. Très souvent, il faut faire une mise à jour du matériel et des logiciels que l’on reporte depuis trop longtemps. Même dans les cas les plus simples, la seule solution, ou du moins la plus économique, pourrait être d’engager des frais imprévus considérables pour se procurer ou mettre à jour du matériel ou des logiciels. L’un de nos clients, dont le cas était pourtant relativement simple, a dû remplacer pratiquement tous les appareils qu’il utilisait au sein de son entreprise.

Et ce n’est pas tout. Une fois les mesures de contrôle initiales prises, l’entreprise doit engager des frais aux fins suivantes, si des renseignements personnels ont été perdus :

• faire les déclarations requises aux organismes de réglementation canadiens, américains et autres;
• informer les personnes touchées;
• procurer des services de protection contre le vol d’identité et de surveillance du crédit;
• offrir certains avantages aux clients pour rétablir leur loyauté envers l’entreprise.

Pensez à la plus grande campagne de publipostage direct que votre entreprise a jamais organisée. Maintenant, imaginez que vous allez personnaliser la lettre, y inclure un code unique pour les services de protection contre le vol d’identité et assurer le coût d’une ligne d’assistance téléphonique pour répondre aux questions. C’est là la réalité que doit confronter l’entreprise qui a perdu le contrôle de renseignements personnels et qui doit aviser ou qui juge qu’il est prudent d’aviser ses clients d’une atteinte à la protection de leurs renseignements personnels. Comme il se peut que l’entreprise doive envoyer un tel avis à tous les clients pour le compte desquels elle a stocké des renseignements personnels, cela pourrait lui coûter extrêmement cher. Si l’entreprise entend en outre offrir des services de protection contre le vol d’identité ou de surveillance du crédit pour atténuer le tort éventuel que ses clients pourraient subir, cela s’ajoutera à la facture.

Les pertes et les frais pourraient ne pas s’arrêter là. Si elle a perdu les renseignements confidentiels de l’une de ses partenaires commerciaux, les conventions de confidentialité conclues avec ces partenaires pourraient lui imposer des obligations d’information et des responsabilités. Ensuite, une fois que la poussière sera retombée, l’entreprise pourrait subir toute une gamme de répercussions néfastes, comme la baisse de ses revenus, la perte de la confiance de ses clients, des recours collectifs ou des enquêtes d’organismes de réglementation.

Lorsque l’assurance cybersécurité s’intègre à la gestion des risques

Un programme de gestion des risques en matière de cybersécurité bien conçu aura au moins les quatre objectifs suivants :

1. établir et mettre en œuvre des mesures de protection appropriées pour empêcher à quiconque d’avoir accès aux données et de les utiliser sans autorisation;
2. établir et mettre en œuvre des contrôles visant à déceler et à maîtriser les atteintes aux mesures de protection afin de limiter le temps qui s’écoulera entre ces deux étapes;
3. établir des mécanismes de continuité de l’entreprise;
4. limiter les risques financiers en s’assurant et en concluant des ententes avec des fournisseurs et des sous-traitants.

L’assurance cybersécurité est un moyen judicieux de transférer le risque de certaines pertes et de certains frais susceptibles de découler d’une atteinte. Toutefois, elle ne remplace pas un programme de gestion des risques. Elle en constitue plutôt un élément, conçu en vue d’atténuer en partie les risques financiers auxquels une entreprise s’expose si ses contrôles et autres mesures de protection font défaut.

Que pouvez-vous raisonnablement attendre d’une assurance cybersécurité?

Habituellement, les polices d’assurance cybersécurité couvrent deux types de risques : les risques propres et les risques des tiers.

La couverture des risques propres se rapporte aux pertes subies par l’entreprise de vente au détail et à ses frais directs, notamment les suivants :

• les frais qui doivent être engagés pour produire les déclarations requises auprès des organismes de réglementation et informer les personnes touchées, y compris les frais de prestation de services de protection contre le vol d’identité et de surveillance du crédit;
• les frais relatifs à la gestion de la crise, aux relations publiques et aux centres d’appel;
• les « rançons » à payer pour débloquer des données qui ont été encryptées par des rançongiciels de pirates informatiques ou pour mettre fin à d’autres attaques visant la plateforme de commerce électronique de l’entreprise;
• les frais qui doivent être engagés pour récupérer les données;
• les frais qui doivent être engagés pour assurer la continuité de l’entreprise et les pertes résultant de l’interruption des activités.

La couverture des risques des tiers se rapporte à la responsabilité résultant de réclamations présentées par des tiers ou aux frais liés aux enquêtes faites par les organismes de réglementation à la suite d’une atteinte, notamment les suivants :

• les frais que l’entreprise doit engager pour assurer sa défense, conclure un règlement ou se conformer au jugement rendu dans le cadre de poursuites intentées par les personnes ou les partenaires commerciaux touchés par l’atteinte;
• les frais liés aux enquêtes faites par les organismes de réglementation, aux audits ou aux poursuites intentées par des organismes gouvernementaux ou des organismes d’autoréglementation et toutes les amendes ou pénalités connexes.

Avant de souscrire une assurance cybersécurité, les entreprises de vente au détail devraient faire affaire avec un courtier averti et envisager d’obtenir des conseils d’un avocat afin de s’assurer que la formulation de la police est appropriée dans le contexte des risques auxquels elle est le plus susceptible d’être exposée. Selon notre expérience, il arrive souvent que la couverture prévue par la police d’assurance cybersécurité de l’entreprise ne concorde pas du tout avec les risques auxquels celle-ci est effectivement exposée. Voici une liste partielle des éléments que les entreprises de vente au détail devraient vérifier.

L’assurance est-elle une solution complète qui couvre tous les aspects d’un sinistre ou seulement ceux qui se rapportent strictement aux réclamations présentées?

Il existe plusieurs polices d’assurance intéressantes qui fournissent non seulement une couverture d’assurance, mais également les ressources professionnelles nécessaires pour aider l’assuré à réagir à une atteinte. Pour les franchisés et entreprises de petite ou de moyenne envergure, ce type d’assurance pourrait être idéal parce qu’il donne accès à des avocats, à des consultants en cybersécurité, à des experts judiciaires, à des experts en relations publiques, à des centres d’appels et à des produits de protection contre le vol d’identité et de surveillance du crédit. Toutefois, les grandes entreprises pourraient préférer s’en remettre à leurs propres conseillers et, par conséquent, ce type d’assurance ne leur conviendrait pas.

La couverture des frais qui doivent être engagés pour informer les personnes touchées par l’atteinte à la protection de renseignements personnels est-elle limitée aux situations dans lesquelles l’entreprise de vente au détail est légalement tenue à cette obligation d’information?

Au Canada, la pratique courante serait d’informer les personnes touchées, même si la loi ne l’exige pas expressément, car l’entreprise qui ne le fait pas s’expose à davantage de surveillance des organismes de réglementation et, très probablement, à des recours collectifs. Il faut examiner attentivement la formulation de la police afin d’assurer qu’elle ne se limite pas aux situations dans lesquelles la loi exige que chacune des personnes touchées soit informée.

Quelles sont les limites applicables à la couverture d’assurance contre les pertes d’exploitation?

En règle générale, l’assurance contre les pertes d’exploitation ne couvre pas les pertes qui résultent d’une atteinte au réseau d’un fournisseur de services. Si vous confiez la totalité de vos besoins en technologie à des sous-traitants, vous pourriez devoir souscrire une couverture supplémentaire et il se pourrait que la prime additionnelle soit coûteuse par rapport aux limites de la couverture offerte. Il pourrait être avantageux pour les entreprises de vente au détail, dans cette situation, d’essayer d’obtenir du fournisseur de services qu’il les ajoute à titre d’assurées à sa propre assurance (même si c’est souvent difficile). Il faut également prêter une attention particulière au délai d’attente avant que la couverture d’assurance s’applique, au montant de la franchise et aux sous-limites. Nous avons déjà vu des délais d’attente de plusieurs semaines, une couverture limitée à 60 jours, des franchises élevées et des sous-limites de couverture basses. Ces types de restrictions rendent le type de couverture moins intéressante.

Quelle est la portée de la couverture pour les poursuites intentées par les organismes de réglementation?

Bon nombre de polices offrent une couverture relative aux enquêtes effectuées par les commissaires à la protection de la vie privée canadiens ou les autorités étrangères chargées de la protection des données. Cette couverture pourrait ne pas convenir aux entreprises qui exercent leurs activités dans un secteur réglementé ou qui sont membres d’organismes d’autoréglementation. À tout le moins, si vous êtes tenu d’adhérer à la Norme de sécurité des données du secteur des cartes de paiement (PCI DSS), vérifiez si la police couvre les enquêtes, les pénalités et les renouvellements d’accréditation.

Les fraudes informatiques et les transferts de fonds frauduleux sont-ils couverts?

De nombreux types de polices excluent la responsabilité des transferts de fonds frauduleux qui sont attribuables à la vulnérabilité de votre réseau ou d’un autre type de fraude informatique. Toutefois, il pourrait s’agir d’une sphère de risques importante. Vous devriez discuter des options avec votre courtier.

La couverture est-elle limitée à la sécurité des réseaux ou comprend-elle la perte de supports amovibles, tels que des ordinateurs portatifs, des téléphones intelligents, des clés USB et des disques durs portatifs?

Bien que la sécurité des réseaux soit une priorité des programmes d’assurance cybersécurité, les statistiques démontrent que de nombreuses atteintes résultent d’erreurs humaines et de la perte d’appareils portatifs. Assurez-vous que ces types de pertes sont couvertes.

Les renseignements commerciaux confidentiels de tiers sont-ils couverts?

Si votre entreprise est tenue, de par la loi, de protéger les renseignements confidentiels de tiers, y compris des secrets commerciaux ou d’autres types de propriété intellectuelle, vérifiez si la police d’assurance couvre la divulgation de ces renseignements dont votre entreprise pourrait être tenue responsable. Il arrive fréquemment que ces types de pertes soient exclus ou que la couverture soit très limitée.

Voilà seulement certaines des questions dont vous devriez discuter avec votre courtier ou conseiller juridique. Chez Dentons, nous connaissons très bien le domaine des polices d’assurance cybersécurité et nous comptons de nombreuses sociétés d’assurances parmi nos clients. Nous serions heureux de vous aider.