Au cours des derniers mois, nous avons exploré le monde des cyberrisques en l’abordant sous divers angles : d’abord, comprendre en quoi consistent les cyberrisques, puis comment les lois et la règlementation peuvent exercer une influence prépondérante et enfin, apprendre comment se protéger. À ce chapitre, nous ne saurions trop insister sur le fait que la meilleure protection réside dans l’adoption de contrôles internes robustes. Une police d’assurance contre les cyberrisques devrait être considérée comme un complément, et non une solution de rechange, à de saines pratiques de gestion des risques. Elle ne peut pas empêcher une atteinte de se produire, mais elle vous aidera à faire face aux coûts qui en découlent et à maintenir une stabilité financière si une atteinte devait se produire. Mais que doit-on faire si, malgré tout, on est victime d’une atteinte à la sécurité du réseau ou à la vie privée ?
Tout d’abord, il ne faut surtout pas céder à la panique ! Communiquez plutôt immédiatement avec le service des réclamations de votre assureur. Les assureurs spécialisés en matière de cyberrisques mettent à la disposition de leurs assurés une équipe d’intervention qui, selon l’étendue de la police souscrite et les options de garanties choisies, peut comprendre des cabinets d’avocats spécialisés, des experts judiciaires et enquêteurs, des spécialistes en notification, restauration d’identité et surveillance du crédit, ainsi que des firmes de relations publiques. Une telle équipe d’intervention vous aidera à gérer la crise et saura répondre à toutes vos questions, notamment en matière d’exigences légales ou réglementaires. De plus, elle vous fournira la documentation requise selon les circonstances et apportera son aide si la situation requiert de notifier les personnes visées par l’atteinte.
Dans de telles situations, le temps de réaction est crucial. C’est pourquoi vous devez pouvoir compter sur des spécialistes qui sont en mesure de déterminer la source et la cause de l’atteinte, de vous aider à éviter des dommages supplémentaires, de déterminer les renseignements qui ont été compromis et les personnes visées, et de vous aider à protéger les données et à les récupérer s’il y a lieu.
Voici un exemple de réclamation qui illustre comment un assureur peut intervenir en cas d’atteinte :
L’un des associés du cabinet de comptables Actif, Passif & associés se rend au bureau très tôt un lundi matin pour avancer son travail d’audit des états financiers d’un important client. En tentant de se connecter au système informatique comme il le fait tous les matins, il constate que l’accès est bloqué. Peu de temps après, il reçoit un courriel d’une source inconnue, l’informant qu’un pirate a pris le contrôle du réseau et crypté les données qui y sont stockées. Pour décrypter les données, le pirate exige qu’une rançon de 25 000 $ soit versée en bitcoin dans un délai de 24 heures, après quoi les données seront irrécupérables. Paniqué à l’idée de perdre tous les renseignements des employés et des clients, l’associé était impatient de communiquer avec la banque dès l’ouverture de ses bureaux afin de prendre les arrangements nécessaires au versement de la somme exigée par le pirate. Heureusement, la directrice des finances du cabinet qui vient d’arriver au bureau lui rappelle que le cabinet a souscrit une assurance contre les cyberrisques. Elle communique donc immédiatement avec le service des réclamations de l’assureur, qui la met en contact avec un membre de l’équipe d’intervention. Rapidement, on établit une stratégie en identifiant les priorités :
- Un spécialiste en sécurité informatique examine le courriel du pirate ainsi que le mode de cryptage utilisé. Il ne tarde pas à diriger ses recherches vers un groupe de pirates bien connu pour agir de cette façon. Un négociateur entre en communication avec le pirate et réussit à obtenir de lui qu’il décrypte les données pour une somme bien inférieure à celle exigée en premier lieu ;
- Après consultation avec un cabinet d’avocats, on décide qu’il est préférable de notifier toutes les personnes visées par l’atteinte. Une firme spécialisée dans ce domaine prépare un avis et se charge du publipostage ;
- Une firme de relations publiques entreprend de rédiger un communiqué qui sera publié sur le site web d’Actif, Passif & associés, afin d’informer les clients de la situation et leur expliquer les mesures entreprises pour gérer la crise ;
- L’enquête menée par le spécialiste en sécurité informatique démontre que, bien que les dispositifs de sécurité soient adéquats, le pirate a réussi à s’introduire dans le système informatique d’Actif, Passif & associés au moyen d’un courriel malveillant d’hameçonnage. On a donc recommandé à Actif, Passif & associés d’offrir à tous ses employés une formation obligatoire sur les meilleures pratiques en matière de sécurité informatique.
Le montant de la rançon et les honoraires des divers intervenants ont été assumés par l’assureur.
Bien que nous ayons maintenant acquis une bonne compréhension des couvertures d’assurance contre les cyberrisques, il peut être intéressant de savoir que celles-ci ne se trouvent pas toujours là où on les attend. Nous tenterons de percer ce mystère lors de notre prochaine chronique.
