La pandémie de COVID-19 a contraint de nombreux propriétaires de petites entreprises à se tourner vers le numérique, qu’il s’agisse du déploiement du télétravail ou de l’ouverture d’une boutique en ligne, pour poursuivre leurs activités. Selon Statistique Canada, 40 % des Canadiens travaillaient à domicile lorsque le confinement a été imposé au début de 2020, comparativement à moins de 10 % en 2018. Bien que cette transition puisse stimuler la productivité et les ventes pour votre entreprise, elle pourrait vous rendre plus vulnérable aux cyberattaques des pirates cherchant à voler de précieux renseignements.

Pour mieux comprendre comment les propriétaires de petites entreprises perçoivent les cyberrisques, nous nous sommes associés à Léger, une firme canadienne de sondage et de recherche marketing et analytique, afin de mener, en septembre 2020, une enquête auprès de 422 entreprises représentant différents secteurs d’activité. Nous avons constaté que seulement 29 % des entreprises estiment qu’elles courent un risque élevé de cyberattaque et que seulement 15 % ont pris des mesures préventives en matière de cybersécurité et de formation des employés. En outre, seulement 15 % des petites entreprises ont souscrit une assurance des cyberrisques et de l’atteinte à la protection des données.

Que peut faire votre entreprise pour réduire le risque de cyberattaque, et comment l’assurance peut-elle vous être utile? Pour répondre à ces questions et vous aider à mieux comprendre le monde de la cybercriminalité, nous déboulonnons certains des mythes les plus courants en matière de cyberrisques à l’aide de statistiques et d’exemples.

Mythe 1 : Il n’est pas nécessaire de faire régulièrement des copies de sauvegarde des données.

Une copie de sauvegarde permet de récupérer vos données en cas de cyberattaque. Il faut toutefois que les données soient conservées dans un système distinct, comme un lecteur externe ou une clé USB.

Seulement 15 % des petites entreprises sondées ont pris des mesures préventives en matière de cybersécurité et de formation des employés.

Si votre entreprise est la cible d’un rançongiciel ayant pris ses données en otage, les pirates pourraient exiger une rançon pour vous les rendre. Avec une copie de sauvegarde enregistrée la veille, il sera plus facile de rétablir la situation et de poursuivre vos activités.

Cependant, si vous n’avez rien sauvegardé depuis un mois, il est fort possible que certaines données importantes soient inaccessibles, ce qui risque de compromettre la reprise de vos activités. Dans un monde idéal, vous n’aurez même pas à payer la rançon, car les données sauvegardées seront suffisamment récentes pour que vous puissiez vous passer de celles qui sont bloquées.

Mythe 2 : Seuls les renseignements financiers des clients doivent être protégés.

La plupart des cyberattaques impliquent l’accès à des données vulnérables dans un objectif de vol, qu’il s’agisse de fichiers, de documents ou d’information sensible appartenant à votre entreprise ou à vos clients. Voici quelques exemples de types de données qui pourraient vous être volées :

• information financière, comme des données sur des cartes de crédit ou des renseignements bancaires;
• renseignements d’entreprise confidentiels, comme les identifiants de connexion et les mots de passe;
• dossiers médicaux personnels, comme les besoins en médicaments;
• renseignements personnels confidentiels, comme des adresses et des numéros de téléphone
• propriété intellectuelle, comme des documents protégés par le droit d’auteur, des brevets et des marques de commerce.

Les entreprises sont plus susceptibles de protéger les renseignements financiers de leurs clients, mais dans les faits, toutes les données de clients méritent d’être protégées, puisque les criminels – pirates ou autres – n’ont pas besoin de renseignements financiers pour ravager les finances de quelqu’un.

La plupart des cyberattaques impliquent l’accès à des données vulnérables dans un objectif de vol, qu’il s’agisse de fichiers, de documents ou d’information sensible.

Si un cybercriminel se procure des renseignements de carte de crédit, pendant combien de temps pourra-t-il les utiliser frauduleusement? Bien qu’il s’écoule parfois un ou deux mois avant qu’un client ou une entreprise constate que les données d’une carte ont été compromises, la carte peut être annulée rapidement. Mais si le pirate a pu dérober des noms et des adresses courriel et résidentielles, et qu’il a fouillé le Web (les réseaux sociaux par exemple) pour recueillir assez de renseignements personnels pour commettre un vol d’identité? Les victimes de ce genre de vol peuvent mettre des années à s’en remettre.

Les scénarios comme celui-là sont l’un des motifs derrière les actions collectives intentées contre les entreprises victimes de vol de données, même si aucun renseignement financier n’a été compromis.

Mythe 3 : L’action collective est le plus grand risque pour une entreprise qui voit les données sur ses clients compromises.

Si les données volées sont rendues publiques et que les clients touchés ne se tournent pas vers les tribunaux, l’entreprise est-elle automatiquement hors de danger? Malheureusement, c’est loin d’être le cas…

Même si elles n’entraînent aucune poursuite, les cyberattaques peuvent ternir considérablement la réputation d’une entreprise. En effet, par mesure de précaution, les clients actuels et potentiels pourraient prendre leurs distances par rapport à l’entreprise. Et embaucher des professionnels de la gestion de la réputation pour endiguer la crise pourrait vous coûter cher. Vous aurez besoin de l’aide de professionnels des TI pour récupérer les données compromises des mains des cybercriminels et les restaurer. Comme votre entreprise risque de mettre un certain temps avant de pouvoir reprendre ses activités, vous subirez probablement des pertes de revenu importantes.

En résumé, les entreprises victimes d’une cyberattaque s’exposent à des poursuites, mais aussi à d’autres risques qui pourraient leur donner bien des maux de tête.

Seulement 11 % des petites et moyennes entreprises ont souscrit une assurance des cyberrisques et de l’atteinte à la protection des données.

Mythe 4 : Une entreprise qui conserve des données électroniques n’a pas besoin d’une assurance des cyberrisques.

De nombreux propriétaires de petites entreprises ne pensent pas avoir besoin d’une assurance des cyberrisques et de l’atteinte à la protection des données ou n’ont jamais songé à souscrire une telle assurance.

Mais une assurance des cyberrisques peut être utile, et il faut en magasiner et en souscrire une, car elle couvre toutes les situations cauchemardesques évoquées plus haut. Si vous oubliez de créer une copie de sauvegarde de vos données ou si vos renseignements sont volés, l’assurance peut vous aider à récupérer et à reprendre vos activités le plus rapidement possible. Et si vous devez retenir les services de professionnels en gestion de la réputation après une cyberattaque, cette assurance couvrira une partie de leurs honoraires. Par ailleurs, il est possible d’inclure une protection pour les pertes d’exploitation dans l’assurance, au cas où vous devriez interrompre vos activités pendant que vous remettez votre entreprise sur pied. Et si vous avez des démêlés avec la justice en raison d’une fuite de données sur vos clients, une assurance vous aidera à couvrir vos frais juridiques.

Protégez votre entreprise grâce à une police d’assurance des cyberrisques sur mesure

Le fait est que toutes les entreprises, sans égard à leur taille et aux ressources à leur portée, pourraient être victimes de cyberattaques. Notre équipe peut travailler avec vous pour veiller à ce que votre police tienne compte de vos cyberrisques. Visitez notre page sur l’assurance des cyberrisques et de l’atteinte à la protection des données pour commencer!

Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus pour responsables des pertes pouvant découler de leur utilisation. Consultez votre contrat d’assurance pour connaître les conditions et les exclusions qui s’appliquent.