Les cyberrisques dans un environnement de travail hybride | Cowan

Compte tenu de l’augmentation des opérations numériques et de l’élargissement du champ des technologies utilisées dans le cadre des environnements de travail hybrides, la protection contre les cyberrisques est plus essentielle que jamais. Pourtant, de nombreux propriétaires d’entreprises considèrent encore qu’une cyberassurance est facultative. Contrairement aux polices d’assurance commerciale et habitation, la cyberassurance n’est pas normalisée et est souvent considérée davantage comme un luxe qu’une nécessité.

C’est aussi un nouveau produit, et de nombreux propriétaires d’entreprises ne comprennent pas encore comment la cyberassurance fonctionne ni pourquoi ils devraient y souscrire. En vérité, dans l’environnement de travail de plus en plus à distance, il importe plus que jamais d’être couvert contre les cyberattaques. Il peut cependant être difficile de savoir ce dont vous avez besoin.

Les entreprises qui utilisent un modèle de travail hybride doivent prendre en compte les risques et les expositions auxquels elles sont confrontées sans cyberassurance. Si vous êtes prêt à évaluer vos cybermenaces et vos vulnérabilités, voici des conseils qui peuvent vous aider.

Obtenir des conseils d’experts sur la cyberassurance

Pour souscrire la bonne cyberassurance, vous devez pouvoir compter sur un courtier qui comprend pleinement votre entreprise, c’est-à-dire sur un courtier qui arrive à décrire vos activités aussi bien qu’un employé le ferait. Une fois que vous avez confiance en un courtier, voici quelques questions à prendre en compte pour vous assurer d’obtenir la protection dont vous avez besoin :

1. Quel type de données conservons-nous dans notre système (ou chez notre fournisseur de services infonuagiques)? Quels sont les risques auxquels je m’expose si mes données ou mes systèmes sont touchés?
2. Si un fournisseur de services infonuagiques est utilisé, où mes données sont-elles stockées? Quelles sont les ententes contractuelles que j’ai avec lui?
3. Pendant combien de temps pouvons-nous poursuivre nos activités sans avoir accès à nos systèmes principaux?
4. De combien de temps estimons-nous avoir besoin pour nous remettre d’un incident, tel qu’une violation de données?
5. De quels contrôles internes disposons-nous actuellement? Par exemple, des dispositions de rappel visant à modifier les renseignements bancaires, de la formation offerte aux employés en matière d’hygiène informatique, des pare-feu perfectionnés.

Obtenir la bonne cyberassurance

Le marché de la cyberassurance actuel propose différentes possibilités de couverture qui peuvent sembler identiques à première vue, mais qui peuvent s’avérer très différentes lorsque vous lisez bien le texte de la police. Même si elles portent des noms similaires, les assurances peuvent ne pas être équivalentes. Chaque police comporte ses propres modalités et exclusions qui peuvent modifier l’objectif de la couverture décrite.

Au niveau de base, une couverture des cyberdépenses et une couverture des dépenses liées aux avis relatifs aux atteintes à la vie privée peuvent être ajoutées à une assurance commerciale traditionnelle. Celles-ci offrent toutefois une protection limitée (généralement 25 000 $). Elles ne sont conçues que pour aider à assumer les dépenses de base, par exemple l’envoi d’avis d’atteinte à la vie privée aux personnes touchées.

À l’autre extrémité du spectre, il existe des polices d’assurance cyberresponsabilité qui couvrent les dépenses liées à une faille de sécurité ou à une panne de réseau entraînant la divulgation de renseignements personnels identifiables, de renseignements sur l’état de santé ou de renseignements d’entreprises tierces.

Bien qu’il existe des polices d’assurance cyberresponsabilité personnalisées, un excellent programme de protection doit au moins couvrir les éléments suivants :

• Responsabilité envers des tiers : Responsabilité découlant de la divulgation non autorisée de renseignements personnels identifiables, de renseignements sur l’état de santé ou de renseignements d’entreprises tierces en raison d’une faille de sécurité ou d’une panne de réseau.
• Dépenses de la première partie : Couverture permettant à votre entreprise d’assumer le fardeau financier des dépenses comme la gestion de crise, les mesures correctives et l’avis de faille de sécurité et le rétablissement du programme informatique et des données électroniques.
• Extorsion électronique : Perturbation de systèmes découlant de demandes de rançon ou d’extorsion, y compris l’accès à des cybernégociateurs d’expérience et à des spécialistes des rançongiciels.
• Crime informatique : Piratage psychologique et virements de fonds électroniques non autorisés.
• Perte d’exploitation : Remplacement du revenu pendant que vous cherchez à vous remettre d’un incident.

Élaborez votre plan d’intervention en cas d’incident informatique

Bien qu’il soit essentiel d’obtenir la bonne couverture, la police de cyberassurance que vous sélectionnez doit s’inscrire dans un plan d’intervention en cas d’incident informatique qui établit :

• les types de renseignements que vous détenez.
• les personnes de votre organisation qui travaillent à distance.
• la personne responsable de lancer le plan au sein de l’organisation.
• les personnes à joindre dans des situations précises ou à des stades précis.
• l’adaptation du plan d’intervention à des situations particulières.

Les polices de cyberassurance sont des documents d’assurance complexes. Il est donc important de noter dans votre plan d’intervention en cas de cyberincident les moments où chaque type de couverture à laquelle vous souscrivez est disponible, ainsi que des directives sur la façon de tirer profit des couvertures de la police. Certaines couvertures sont appliquées sur avis, d’autres doivent faire l’objet de l’approbation écrite préalable de l’assureur.

Peu importe la taille de votre entreprise, l’équipe attitrée de conseillers spécialisés du Groupe Assurance Cowan peut vous aider à protéger votre entreprise et à évaluer les nouveaux risques auxquels vous pourriez faire face en raison de l’utilisation accrue de la technologie dans le cadre d’un modèle de travail hybride.