Selon un sondage de 2022 de la Fédération canadienne de l’entreprise indépendante (FCEI), près de la moitié des petites entreprises canadiennes (45 %) ont subi une cyberattaque aléatoire au cours de la dernière année, tandis que 27 % ont été victimes d’une attaque ciblée. La menace est réelle et, à mesure que les outils d’intelligence artificielle (IA) se retrouvent entre les mains des criminels, l’ampleur des attaques pourrait augmenter en fréquence et en sophistication.

De nombreuses petites entreprises tiennent pour acquis que leur contrat actuel d’assurance de la responsabilité civile des entreprises ou d’assurance de biens couvre les cyberattaques, mais ce n’est pas toujours le cas. Les données peuvent ne pas être considérées comme des biens matériels et peuvent être exclues d’une police d’assurance des biens. Les dommages financiers résultant de la corruption de données électroniques, d’un virus informatique ou d’un logiciel malveillant, ainsi que les rançongiciels peuvent ne pas être couverts par les polices d’assurance de la responsabilité civile traditionnelles. Pour ces risques, une police d’assurance des cyberrisques pourrait vous aider.

Qu’est-ce qu’une violation de données?

Les violations de données – également appelées atteintes à la protection des données – se produisent lorsque des personnes non autorisées consultent ou accèdent à des données sensibles de l’entreprise, telles que des documents, des fichiers et des systèmes de paiement concernant des employés, des clients ou des consommateurs. Les criminels peuvent vendre les données à des tiers, demander une rançon ou les utiliser pour commettre un vol d’identité.

Voici quelques types de données que les cybervoleurs peuvent cibler :

• Les identifiants de connexion à un ordinateur, au serveur et au réseau, y compris les numéros de compte, les noms d’utilisateur et les mots de passe
• Des renseignements personnels sensibles tels que le nom, l’adresse, la date de naissance, le numéro de téléphone, le numéro de passeport et le numéro d’assurance sociale
• Des renseignements financiers tels que les données bancaires ou de carte de crédit
• Dossiers médicaux personnels
• La propriété intellectuelle telle que la recherche confidentielle, les brevets et les marques déposées

Cybermenaces courantes

Hameçonnage – L’hameçonnage fait référence à des « leurres » cachés dans des liens contenus dans des courriels envoyés par des fraudeurs qui se font passer pour des entreprises connues ou des contacts figurant dans la liste de courriels d’une personne. Les utilisateurs qui cliquent sur ces liens sont incités à communiquer des données sensibles ou sont dirigés vers des sites Web infectés par des logiciels malveillants.

Harponnage – Le harponnage est une attaque par hameçonnage ciblant un PDG ou un chef d’entreprise ou usurpant l’identité de celui-ci afin d’obtenir un accès de niveau administrateur aux ordinateurs, aux serveurs ou au réseau d’une organisation.

Maliciel – Un maliciel (abréviation de « logiciel malveillant ») désigne tout code ou programme créé pour nuire à un ordinateur, un serveur ou un réseau. Les virus, les vers, les chevaux de Troie, les ordinateurs zombies, les publiciels, les espiogiciels et les rançongiciels ne sont que quelques exemples de maliciels. Les maliciels peuvent s’introduire dans votre appareil lorsque vous ouvrez ou téléchargez une pièce jointe à un courriel d’hameçonnage, lorsque vous téléchargez illégalement des films ou des jeux, et lorsque vous naviguez sur des sites Web légitimes infectés par des maliciels ou en téléchargez du contenu.

Attaques par rafale de mots de passe – Attaques lancées par l’intermédiaire d’outils automatisés pour accélérer l’identification et le déchiffrage des mots de passe en les combinant avec des noms d’utilisateur facilement devinés dans l’entreprise ou obtenus lors d’attaques malveillantes antérieures.

Rançongiciel – Type de logiciel malveillant qui empêche les particuliers, les entreprises ou les organisations d’accéder aux fichiers informatiques, aux serveurs ou aux réseaux jusqu’à ce qu’une rançon soit payée pour leur décryptage.

Combien une violation de données pourrait-elle coûter à votre entreprise?

Le renforcement de la cybersécurité peut être décourageant, et l’embauche de sous-traitants ou de personnel pour mettre en place et surveiller vos cyberdéfenses peut sembler prohibitive, mais ne pas protéger vos données pourrait s’avérer beaucoup plus coûteux. Dans un sondage sur la cybersécurité réalisé en 2021 par le Bureau d’assurance du Canada, 41 % des petites entreprises victimes d’une cyberattaque ont déclaré que la violation leur avait coûté plus de 100 000 $.

Pourquoi une violation de données coûte-t-elle si cher?

En cas de piratage ou d’attaque par un rançongiciel, il faudra non seulement récupérer vos données, mais aussi rétablir votre réputation et votre bilan. Que vous payiez ou non la rançon demandée, vous aurez peut-être besoin d’une équipe informatique pour effectuer un certain nombre de tâches, notamment l’identification et la suppression du maliciel, la récupération de vos données (si vous disposez de sauvegardes), la réinstallation des systèmes et l’exécution d’analyses de maliciels sur tous les logiciels et tout le matériel, la mise en place de nouveaux protocoles de sécurité sur vos ordinateurs, serveurs et réseaux, la recréation de vos comptes d’utilisateur et l’attribution de nouveaux mots de passe. Selon l’ampleur de la cyberattaque ou de l’attaque par rançongiciel qui a compromis votre infrastructure informatique, la procédure peut prendre plusieurs jours, voire plusieurs semaines.

Si vous n’avez pas d’assurance des pertes d’exploitation, l’incapacité de générer des revenus pendant cette période pourrait peser sur vos finances ou menacer le bien-être de votre entreprise.

Qu’est-ce que l’assurance des cyberrisques et de l’atteinte à la protection des données, et que couvre-t-elle?

Ce type d’assurance des cyberrisques est conçu pour aider à protéger les petites entreprises contre certaines pertes associées aux cyberattaques et aux atteintes à la protection des renseignements personnels. Supposons qu’un document contenant des renseignements permettant d’identifier un client soit perdu, qu’un dispositif contenant des renseignements sensibles soit violé ou que votre entreprise soit piratée. L’assurance des cyberrisques pourrait vous aider à couvrir le coût de la réponse à un incident (y compris la récupération des données et la réparation du réseau).

Les clients de TruShield peuvent également accéder aux services d’assistance fournis par Cyberscout, l’un des principaux fournisseurs de services de gestion des risques liés aux données. Cyberscout peut vous conseiller sur les mesures proactives à prendre pour protéger votre entreprise contre les cybermenaces, et en cas de violation, elle peut vous aider à réagir, par exemple en gérant une crise, en informant vos clients et en vous conseillant sur les relations avec les médias.

TruShield vous donne également accès au site Web de Cyberscout, qui propose des guides de cryptage et des modèles pour vous aider à élaborer un plan d’intervention en cas d’incident.

Quel est le coût d’une assurance des cyberrisques?

Le coût d’une assurance des cyberrisques varie en fonction de la situation de votre entreprise :

• L’industrie et le secteur
• Les services offerts
• Le nombre d’employés
• Le modèle de travail au bureau, à distance ou hybride
• Le chiffre d’affaires annuel
• La quantité et le type de données sur les clients stockées
• Les systèmes de sécurité déjà en place
• La formation des employés à la cybersécurité
• Les réclamations antérieures en matière de responsabilité

Vous pouvez économiser de l’argent sur l’assurance des petites entreprises en gérant de manière proactive les cyberrisques et les risques liés aux données, en formant les employés et en regroupant les polices. Ne tombez pas dans le piège des pirates informatiques et ne laissez pas votre entreprise être la proie de cyberattaques et de violations de données.

Six mesures que les petites entreprises peuvent prendre pour se protéger des cyberattaques

Vous pouvez prendre des mesures préventives pour sécuriser vos données et prouver aux assureurs que vous avez atténué les cyberrisques courants de votre entreprise. Selon le rapport sur la défense numérique de 2022 de Microsoft, les entreprises de toutes tailles peuvent se protéger contre 98 % des cyberattaques en mettant simplement en œuvre des pratiques de sécurité telles que celles décrites ci-dessous.

1. Demandez à un professionnel ou à une équipe en TI de mettre en œuvre une solution de cybersécurité pour votre entreprise et votre site Web. Cette solution peut être mise en œuvre à l’aide d’outils abordables et comprend la mise en place de pare-feu, de mises à jour logicielles automatisées, d’analyses de logiciels malveillants et la suppression des logiciels malveillants sur tous les appareils numériques utilisés par les employés, qu’ils leur appartiennent ou non (y compris les modems Internet et les routeurs Wi-Fi). Si vous pouvez vous le permettre, créez une architecture à vérification systématique, qui continue à vérifier, à valider ou à restreindre les autorisations des utilisateurs au fur et à mesure qu’ils accèdent à différents outils et à des données plus sensibles.
2. Utilisez des mots de passe robustes, mettez-les à jour fréquemment et mettez en place l’authentification multifacteur. Même si les pirates s’emparent d’identifiants de connexion par le biais de l’hameçonnage, de la devinette de mot de passe ou de maliciels, vos données peuvent être mieux protégées, car les criminels ne peuvent pas passer l’étape finale de l’authentification du compte.
3. Restreignez l’accès aux données sensibles et protégez-les. Permettez aux employés d’accéder uniquement aux données dont ils ont besoin pour faire leur travail et cryptez toutes les données sensibles afin qu’elles ne puissent pas être utilisées, même si elles sont compromises.
4. Sauvegardez vos données au moins une fois par semaine, stockez-les dans le nuage et mettez en place des outils de protection contre la perte de données. Les logiciels de protection contre la perte de données surveillent et protègent les données lorsqu’elles sont stockées sur des appareils numériques, dans le nuage, et lorsqu’elles transitent par des programmes de messagerie et des réseaux vers et depuis des fournisseurs tiers, des clients et des consommateurs. La protection contre la perte de données peut également fournir des rapports à des fins de conformité, d’audit et d’intervention en cas de violation de données.
5. Sensibilisez les employés à l’importance de la cybersécurité. En tenant votre personnel au courant des meilleures pratiques en matière de cybersécurité, vous pouvez améliorer la sécurité de votre infrastructure de données.
6. Présumez que le pire se produira et élaborez un plan d’intervention. En cas de violation de votre cybersécurité, la mise en place d’un plan vous aidera, vous et vos employés, à faire face à la situation.

Soyez certain que TruShield Assurance, en tant que fournisseur d’assurance spécialisé dans l’assurance des petites entreprises, comprend les besoins de votre entreprise et propose les produits d’assurance qui permettront de vous protéger. Avec Trushield, vous aurez accès à une équipe du Service de l’indemnisation disponible en tout temps, à des ressources de gestion des risques et à des avantages clients exclusifs permettant de réduire les coûts. Appelez-nous dès aujourd’hui au 1-844-429-9480 ou accédez à notre outil de soumission sécurisé pour obtenir une estimation rapide de vos besoins en assurance et des coûts de votre police.

Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus responsables des pertes pouvant découler de l’utilisation de ces renseignements.