Assurances virtuelles | KPMG | CA
close
Share with your friends
Image représentant des cercles pour assurances virtuelle

Assurances virtuelles

Assurances virtuelles

Francis Beaudoin, leader national, Services-conseils – Risques technologiques, KPMG au Canada et Evan Garner, premier vice-président, Willis Towers Watson

Les discussions entourant la cybersécurité sont en pleine évolution. Les organisations sont de plus en plus au fait des risques liés à la collecte, au stockage et à la gestion d'importants volumes de données et, ce faisant, elles portent une attention accrue au rôle que peut jouer l'assurance contre les cyberrisques pour atténuer les contrecoups des intrusions informatiques.

Le sujet de la cyberassurance n'est pas nouveau. Le concept de transfert des cyberrisques vers le marché de l'assurance remonte à 1999, alors que la possibilité d'une panne liée au passage à l'an 2000 avait déclenché un débat sur la place qu'occupaient les cyberrisques dans les polices d'assurance traditionnelles, le cas échéant. Cette question en est venue à dominer les discussions des conseils d'administration, étant donné que les atteintes à la protection des données et des cyberattaques à grande échelle font de plus en plus souvent la manchette.

Par conséquent, afin de maintenir une position de force à l'ère numérique, il est essentiel de comprendre l'évolution de ces discussions et la façon dont les organisations doivent s'adapter sur ce plan.

Un marché en évolution​

Le marché canadien de la cyberassurance est encore relativement nouveau. Il se compose principalement d'institutions à grande échelle (services publics, universités, fournisseurs de soins de santé, agences de transport) qui traitent d'importants volumes de données sensibles. Toutefois, étant donné la sensibilisation croissante à l'égard de la vulnérabilité informatique, ces clients traditionnels commencent à regarder au-delà des fuites et du piratage de données pour s'intéresser notamment aux risques liés aux interruptions des activités, aux défaillances d'équipement et à l'exploitation des systèmes.

Le profil de l'« acheteur typique de cyberassurance » évolue également. Les organisations de tous les secteurs d'activité sont de plus en plus en mesure d'identifier les risques qui se profilent, et elles évaluent plus en profondeur leur capacité à prévenir les intrusions informatiques, à les atténuer et à s'en remettre.

Cela dit, il importe de garder à l'esprit qu'on ne peut pas externaliser un risque qu'on ne comprend ou ne contrôle pas. Si les contrôles et vulnérabilités informatiques ne sont pas clairement définis, il est difficile tant pour les organisations que pour les assureurs de déterminer le niveau d'assurance requis et le risque résiduel. Par conséquent, les organisations proactives invitent les professionnels en cyberassurance et en cyberrisques à prendre part aux discussions stratégiques afin de clarifier leurs vulnérabilités et leurs forces sur le plan informatique et de déterminer la meilleure façon de transférer les cyberrisques vers le marché de l'assurance.

Transférer les cyberrisques​

Pour déterminer les cyberrisques à transférer vers le marché de l'assurance, il faut d'abord comprendre l'exposition aux cyberrisques et connaître le seuil de dommages de l'organisation. Cette question peut poser un défi pour de nombreuses organisations, puisqu'elle exige une compréhension globale des risques associés à une organisation, à son secteur d'activité et à son emplacement, ainsi qu'une connaissance approfondie de ses contrôles internes.

Il faut également prendre en considération d'autres facteurs, notamment les types de risques à couvrir (interruption des activités, vol de données) et la vulnérabilité de l'organisation à la suite de l'utilisation de services en nuage ou du recours à des fournisseurs tiers moins sûrs.

La tâche peut s'avérer imposante, mais c'est là que les professionnels des secteurs de l'assurance et des cyberrisques peuvent aider les dirigeants à évaluer leur position actuelle et à établir un cadre efficace de gestion des risques d'entreprise. De plus, les cyberassureurs offrent souvent un accès à des consultants externes en cyberrisques qui peuvent aider à éclairer le processus décisionnel et à améliorer les compétences en gestion des risques de l'organisation, apportant ainsi des points de vue et des compétences supplémentaires au sein des discussions.

Tenir compte de l'erreur humaine ​: Près de 75 % des réclamations de cyberassurance provenant du Canada résultent d'une erreur humaine. Il peut notamment s'agir d'un clic sur un hyperlien corrompu au bureau, de la perte d'une clé USB entraînant l'octroi accidentel d'un accès à des tiers, ou encore d'un simple oubli d'un ordinateur portable dans le train.

Des solutions adaptées​

Lorsqu'une organisation est bien informée de sa position sur le plan de la cybersécurité, elle peut se mettre à la recherche d'un produit de cyberassurance approprié. Il s'agit d'une décision importante, il va sans dire; la solution à choisir sera fonction des besoins et des capacités de l'organisation. Par exemple, une organisation peut juger qu'il n'est pas rentable d'assurer l'ensemble des risques, et alors considérer qu'il est plus judicieux, d'un point de vue économique, de transférer une partie des risques vers le marché. D'autres organisations peuvent plutôt juger qu'il est plus sensé de laisser au marché la responsabilité de l'ensemble des risques.

Bref, il n'existe pas de solution passe-partout qui convienne à tous. Des normes s'appliquent dans les différents secteurs d'activité, mais lors de la recherche d'une police de cyberassurance appropriée, tous les risques doivent être évalués individuellement pour permettre aux assureurs d'adapter la police de sorte qu'elle réagisse d'une façon précise. Par exemple, les sociétés qui collectent quotidiennement des volumes élevés de données de clients auront besoin d'une police de cyberassurance très différente de celle des organisations qui détiennent ou gèrent des infrastructures essentielles. Ici encore, il peut être avantageux de collaborer avec des professionnels en cybersécurité et en cyberassurance qui peuvent aider à déterminer les avantages économiques liés à la décision de souscrire une police de cyberassurance ou de laisser l'organisation assumer le risque.

L'avenir de la cyberassurance

Le secteur de la cyberassurance continue de se transformer. À mesure que les sociétés adopteront l'automatisation, la main-d'œuvre numérique et l'apprentissage machine, nous pouvons nous attendre à ce que les polices d'assurance évoluent pour refléter ces changements. Alors que la concurrence s'intensifie, il est également probable que ces mêmes fournisseurs et assureurs transforment leurs pratiques afin de rester concurrentiels.​

L'évolution de la réglementation contribuera également à façonner le secteur. Les règles en matière de déclaration des cyberviolations aux États-Unis devraient prendre racine au Canada, et la réglementation entourant la gestion des données sensibles évoluera sans aucun doute à mesure que les questions concernant la protection de la vie privée et des consommateurs prendront de l'ampleur.

Au-delà de ces facteurs, il ne reste qu'à attendre de voir la direction que prendra le secteur de la cyberassurance au cours des cinq à dix prochaines années. Tout comme les polices d'assurance contre le terrorisme ont été élaborées par suite des événements imprévisibles du 11 septembre, les futures polices de cyberassurance seront influencées par les innovations comme la chaîne de blocs et la cryptomonnaie, les nouvelles menaces comme le neuropiratage, ainsi que des technologies comme la photonique et l'automatisation avancée, que nous n'avons pas encore prises en compte.

Une chose est sûre : au fil de l'évolution de ce secteur, il est probable que les conditions soient plus avantageuses et que les couvertures soient élargies. Il sera également intéressant d'observer la direction que prendra la cyberassurance à partir de maintenant.