Le Blogue - la sécurité d'être bien assuré!

Cyberattaques

L'équipe de responsabilité professionnelle | 27 octobre 2020
Les victimes de cyberattaques ne sont pas que des compagnies internationales ou des multinationales. Malheureusement, toutes les compagnies qui ont un système informatique qui héberge des données personnelles ou confidentielles peuvent être la proie de pirates informatiques.

L’une des nôtres au Québec a récemment été victime d’un tel crime. Le Cégep de Saint-Félicien a confirmé qu’il y a eu un vol de données à la suite d’une cyberattaque le 17 septembre dernier. Je vous réfère à l’article suivant.

Une cyberattaque peut avoir des conséquences désastreuses. Les coûts associés peuvent être très importants pour rétablir vos systèmes, sans compter l’impact d’une interruption des affaires si le pirate paralyse et prend en otage vos systèmes informatiques. Plusieurs pirates vont aussi demander une rançon pouvant aller au-delà de 100 000 $ pour débloquer vos systèmes. Comme entrepreneur, il faut se demander si vous êtes assez solide financièrement pour survivre une telle attaque et si vous avez les ressources à votre disponibilité pour réagir rapidement. Dans le cas du Cégep de Saint-Félicien, cette attaque « pourrait coûter des centaines de milliers de dollars, voir frôler le million de dollars. »  

Les lois provinciales et fédérales vous imposent des responsabilités très précises à l’égard de votre obligation de protéger les données personnelles et confidentielles de vos clients, vos fournisseurs et vos employés. Au Canada, le Commissariat à la protection de la vie privée veille au respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Au Québec, la loi sur la protection des renseignements personnels dans le secteur privé s’applique aux activités des entreprises provinciales à l’intérieur de la province. Ces lois ont le pouvoir d’imposer des amendes et pénalités importantes. Et ne pensez pas que transférer ces données à un fournisseur externe vous exempte de cette obligation. Il n’est pas possible de transférer vos obligations légales à un tiers. Vous demeurez ultimement responsable des données qui vous sont confiées.
 
Et si vous avez des clients à l’international, chaque pays a sa version de lois similaires qui vous imposent des responsabilités envers les clients, même si vous êtes une compagnie canadienne. Par exemple, l’Union européenne a mis en vigueur le Règlement général sur la protection des données (RGPD). Ce Règlement peut imposer des pénalités pouvant atteindre 20 millions d’euros ou 4 % de votre chiffre d’affaires mondial.

Selon les statistiques, l’un des exposés le plus fréquent et le plus dispendieux est le rançongiciel (logiciel de rançon) et la prise en otage de vos systèmes. Les demandes de rançon sont en moyenne de 72 000 $, mais peuvent grimper très rapidement, pouvant atteindre jusqu’à des centaines de milliers de dollars. La perte liée à l’interruption des affaires peut aussi être très importante. Imaginez que vous n’ayez pas accès à vos systèmes pour quelques jours, voire quelques semaines !  Il ne faut pas oublier aussi les impacts de nature réputationnelle.
 
Heureusement, il existe des produits d’assurance qui peuvent venir mitiger les effets financiers de telles attaques. En fait, vous pouvez transférer les risques associés au monde de la cybernétique à une police d’assurance et les divers experts qui prendraient en charge une attaque. La police « Cyberrisques » offre des garanties qui protègent l’assuré, non seulement à l’égard des frais directs associés à une attaque, mais aussi votre responsabilité civile envers les tiers. Voici quelques exemples de garanties disponibles.

Frais directs :

  • Services et frais liés à une atteinte à la vie privée (ex. : frais d’expertise légale et informatique, frais de notification, surveillance du crédit)
  • Frais de gestion de crise
  • Menaces d’extorsion (ex. : rançongiciel)
  • Pertes d’exploitation / Frais supplémentaires
  • Protection des données et restauration de systèmes
  • Frais de récompense
  • Fraude d’ingénierie sociale
  • Fraude informatique
  • Transferts de fonds frauduleux

Frais liés à votre responsabilité civile :

  • La responsabilité liée à la sécurité du réseau et à la protection de la vie privée : La perte ou la divulgation non autorisée de renseignements personnels, l’incapacité de tiers autorisés à accéder au système d’exploitation de l’assuré, la transmission d’un code malveillant, l’endommagement ou la perte de données de tiers sous le soin, garde et contrôle de l’assuré, le défaut de divulguer promptement une atteinte à la sécurité du réseau ou encore la responsabilité du fait d’autrui lorsque l’assuré confie des données à un tiers (ex. : hébergement).
  • La responsabilité liée aux médias et à la publicité : Le préjudice personnel, la violation d’un droit d’auteur ou d’une autre forme de propriété intellectuelle ou tout autre acte répréhensible, relatifs aux objets publiés sur le site web de l’assuré.

Afin d’en savoir plus, nous vous invitons à communiquer avec votre courtier. Chez Lussier Dale Parizeau, nous avons l’expertise en cyberrisques et atteinte à la vie privée ainsi qu’en gestion des risques.

À propos de l’auteur

L'équipe de responsabilité professionnelle

Votre adresse de messagerie ne sera pas publiée.
Les champs obligatoires sont indiqués avec *

Commentaires

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *