Déboulonnage des mythes les plus courants en matière de cyberrisques
À l’heure du numérique, alors que les cybermenaces pèsent sur les entreprises de toutes tailles, il est essentiel de comprendre l’écosystème de la gestion des cyberrisques. Que peut faire votre entreprise pour réduire le risque de cyberattaque, et comment l’assurance peut-elle vous être utile? Pour répondre à ces questions et vous aider à mieux comprendre le monde de la cybercriminalité, nous allons procéder à la déconstruction de certains des mythes les plus courants en matière de cyberrisques à l’aide de statistiques et d’exemples.
Mythe 1 : Il n’est pas nécessaire de faire régulièrement des copies de sauvegarde de vos données.
Une copie de sauvegarde permet de récupérer vos données en cas de cyberattaque. Il faut toutefois que les données soient conservées dans un système distinct, comme un lecteur externe ou une clé USB.
Si votre entreprise est la cible d’un rançongiciel ayant pris ses données en otage, les pirates pourraient exiger une rançon pour vous les rendre. Avec une copie de sauvegarde enregistrée la veille, il sera plus facile de rétablir la situation et de poursuivre vos activités.
Cependant, si la dernière sauvegarde date du mois précédent, il est fort possible que certaines données importantes soient inaccessibles, ce qui risque de compromettre la reprise de vos activités. Selon le scénario idéal, vous n’aurez pas à payer la rançon, car les données sauvegardées seront suffisamment récentes pour que vous puissiez vous passer de celles qui sont bloquées.
Mythe 2 : Seuls les renseignements financiers des clients doivent être protégés.
Beaucoup de cyberattaques impliquent l’accès à des données vulnérables dans un objectif de vol, qu’il s’agisse de fichiers, de documents ou d’information confidentielle appartenant à votre entreprise ou à vos clients. Voici quelques exemples de types de données qui pourraient vous être volées :
- information financière, comme des données sur des cartes de crédit ou des renseignements bancaires;
- renseignements d’entreprise confidentiels, comme les identifiants de connexion et les mots de passe;
- dossiers médicaux personnels, comme les besoins en médicaments;
- renseignements personnels confidentiels, comme des adresses et des numéros de téléphone
- propriété intellectuelle, comme des documents protégés par le droit d’auteur, des brevets et des marques de commerce.
Les entreprises sont plus susceptibles de protéger les renseignements financiers de leurs clients, mais dans les faits, toutes les données de clients méritent d’être protégées, puisque les criminels – pirates ou autres – n’ont pas besoin de renseignements financiers pour ravager les finances de quelqu’un.
Si un cybercriminel se procure des renseignements de carte de crédit, pendant combien de temps pourra-t-il les utiliser frauduleusement? Bien qu’il s’écoule parfois un ou deux mois avant qu’un client ou une entreprise constate que les données d’une carte ont été compromises, la carte peut être annulée rapidement. Mais qu’en est-il si le pirate a pu dérober des noms et des adresses courriel et résidentielles, et qu’il a fouillé le Web (les réseaux sociaux par exemple) pour recueillir assez de renseignements personnels pour commettre un vol d’identité? Les victimes de ce genre de vol peuvent mettre des années à s’en remettre.
Mythe 3 : L’action collective est le plus grand risque pour une entreprise qui voit les données sur ses clients compromises.
Si les données volées sont rendues publiques et que les clients touchés ne se tournent pas vers les tribunaux, l’entreprise est-elle automatiquement hors de danger? Malheureusement, c’est loin d’être le cas.
En effet, même si elles n’entraînent aucune poursuite, les cyberattaques peuvent ternir considérablement la réputation d’une entreprise. Par mesure de précaution, les clients actuels et potentiels pourraient notamment prendre leurs distances par rapport à l’entreprise. De plus, embaucher des professionnels de la gestion de la réputation pour endiguer la crise pourrait vous coûter cher. Vous aurez également besoin de l’aide de professionnels des TI pour récupérer les données compromises des mains des cybercriminels et les restaurer. Enfin, comme votre entreprise risque de mettre un certain temps avant de pouvoir reprendre ses activités, vous subirez probablement des pertes de revenu importantes.
En résumé, les entreprises victimes d’une cyberattaque s’exposent à des poursuites, mais aussi à d’autres risques qui pourraient leur causer bien des maux de tête.
Mythe 4 : Si une entreprise conserve des données électroniques, elle n’a pas besoin d’une assurance des cyberrisques.
De nombreux propriétaires de petites entreprises ne pensent pas avoir besoin d’une assurance des cyberrisques et de l’atteinte à la protection des données ou n’ont jamais songé à souscrire une telle assurance.
Mais une assurance des cyberrisques peut être utile, et il faut en magasiner et en souscrire une, car elle couvre toutes les situations cauchemardesques évoquées plus haut. Si vous oubliez de créer une copie de sauvegarde de vos données ou si vos renseignements sont volés, l’assurance peut vous aider à récupérer et à reprendre vos activités le plus rapidement possible. Et si vous devez retenir les services de professionnels en gestion de la réputation après une cyberattaque, cette assurance couvrira une partie de leurs honoraires. Par ailleurs, il est possible d’inclure une protection pour les pertes d’exploitation dans l’assurance, au cas où vous devriez interrompre vos activités pendant que vous remettez votre entreprise sur pied. Et si vous avez des démêlés avec la justice en raison d’une fuite de données sur vos clients, une assurance vous aidera à couvrir vos frais juridiques.
Protégez votre entreprise grâce à une police d’assurance des cyberrisques sur mesure
Le fait est que toutes les entreprises, sans égard à leur taille et aux ressources à leur portée, pourraient être victimes de cyberattaques. Notre équipe peut travailler avec vous pour veiller à ce que votre police tienne compte de vos cyberrisques. Visitez notre page sur l’assurance des cyberrisques et de l’atteinte à la protection des données pour commencer les démarches dès aujourd’hui!
Le présent billet de blogue est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus pour responsables des pertes pouvant découler de leur utilisation. Consultez votre contrat d’assurance pour connaître les conditions et les exclusions qui s’appliquent.