20 septembre 2024

Assureurs commerciaux : les clients professionnels doivent prendre la cybersécurité au sérieux

En 2020, quelque 37 milliards d’enregistrements ont été compromis lors de violations de données.

La sécurité des données est la grande responsabilité qui va de pair avec le grand pouvoir qu’offre la transformation numérique. Alors que les entreprises transfèrent de plus en plus d’activités en ligne – comme nous l’avons vu faire tout au long de la pandémie de COVID-19 – la cybersécurité et la responsabilité deviennent de plus en plus importantes.

Pour les assureurs commerciaux, cela doit être un point d’attention. Voici quelques points que les assureurs commerciaux devraient savoir pour pouvoir entamer des conversations sur les risques de cybersécurité et la préparation avec leurs clients.

Pourquoi mettre l’accent sur la cybersécurité et la responsabilité ?

Une violation de données est un événement majeur. Comme le soulignent Reena Devarajan, Ivy Tse et Ryan Wilson d’EY, les actifs qui peuvent être perdus lors d’une violation de données peuvent inclure :

Propriété intellectuelle.
Argent.
Les dossiers des employés comme les numéros de sécurité sociale.
Dossiers clients.
Données opérationnelles telles que les noms des principaux fournisseurs.
La réputation de l’entreprise.

Pour les entreprises du secteur de la santé, les données sensibles des patients pourraient également être compromises lors d’une violation, ce qui s’est produit à un rythme record en 2020, écrit le HIPAA Journal . Rien que cette année-là, plus de 28 millions de dossiers médicaux « ont été exposés, compromis ou divulgués de manière inacceptable ».

Les petites entreprises sont particulièrement exposées

La grande majorité des petites entreprises (83 %) n’ont pas d’assurance cyberresponsabilité, écrit Chase Norlin, dont l’organisation, Transmosis, aide à former les travailleurs nord-américains pour des emplois en cybersécurité.

« La plupart des petites entreprises ne sont toujours pas conscientes des dures réalités de la sécurité qui existent dans le cadre de l’assurance cyberresponsabilité », explique M. Norlin. C’est un point sur lequel les assureurs commerciaux doivent insister car, selon toute vraisemblance, la majorité de leurs clients sont exposés à ces risques de sécurité.

Cette exposition peut provenir d’un certain nombre d’endroits apparemment inoffensifs, explique Allison Hill, responsable de la clientèle chez CSDZ, une société de gestion des risques liés à la construction. Les entreprises qui traitent les paiements par carte de crédit, stockent les données des clients localement ou utilisent simplement le courrier électronique présentent des risques de cybersécurité, explique M. Hill.

Sensibiliser les clients commerciaux à leur exposition au risque est la première étape vers la gestion de ce risque. À partir de là, les assureurs peuvent chercher des moyens de communiquer à quel point une cyberattaque ou une violation de données pourrait être dévastatrice, explique Jeff Holmes, vice-président principal et directeur de l’exploitation de l’alliance nationale des agences d’assurance SIAA.

« Faites savoir aux clients qu’ils ne sont pas trop petits pour être touchés par une cyberattaque », écrit Holmes. « Avec un plan de cybersécurité et une cyberassurance en place, ils et leurs équipes auront la certitude que leur entreprise et celle de leurs clients sont sécurisées à long terme. »

Les grandes entreprises ont leurs propres menaces

La pandémie de COVID-19 a accéléré les transformations numériques dans presque tous les secteurs. L’un des principaux aspects de ces transformations, entraînées par les ordres de confinement à domicile, a été la prolifération de personnes « qui travaillent, apprennent, enseignent et consultent à domicile », écrit Gregory Garrett, ancien responsable de la cybersécurité aux États-Unis et à l’international chez BDO et actuel vice-président de la cybersécurité chez Perspecta.

Cette transformation rapide a ouvert de nombreuses organisations aux attaques de phishing, aux attaques d’usurpation d’identité et aux attaques de ransomware. « Souvent, les organisations de toutes tailles et de tous les secteurs considèrent la cybersécurité comme une réflexion après coup », écrit Garrett. « Cependant, ces organisations apprennent que cela mène à des leçons coûteuses sur la cyberfraude et/ou les violations de données. »

Selon une étude de la société de logiciels Ecosystm :

44 % des organisations ont été la cible de cyberattaques pendant la pandémie de COVID-19.
Parmi ces organisations, 87 % ont signalé que les appareils individuels des employés avaient été compromis.

La leçon pour les assureurs commerciaux ? Tous les clients doivent explorer les options qui s’offrent à eux pour atténuer les risques de cybersécurité. Cela inclut l’adoption des meilleures pratiques de sécurité au travail et l’assurance de leurs organisations contre les menaces persistantes.

Comment les assureurs peuvent-ils conseiller leurs clients commerciaux ?

Jack Kudale, fondateur et PDG du fournisseur de cyberassurance Cowbell Cyber, a déclaré à TechRepublic que la catégorie de produits a considérablement évolué ces dernières années.

Par le passé, l’assurance cybersécurité était associée à d’autres polices commerciales, explique M. Kudale. Aujourd’hui, il est commercialisé beaucoup plus fréquemment comme un produit personnalisable et autonome qui peut offrir différents niveaux de protection aux entreprises :

Il peut assurer les entreprises contre la perte de revenus due à l’interruption des activités.
Il peut couvrir les dépenses qu’une entreprise engage lorsqu’elle tente de se remettre d’une cyberattaque ou d’une violation.
Il peut s’assurer contre les coûts de responsabilité, tels que les poursuites intentées par les clients concernés.

Il s’agit d’une distinction clé que les assureurs commerciaux doivent faire dans leurs conversations avec les clients. L’assurance cybersécurité n’est pas un protecteur monolithique. Il s’agit plutôt de quelque chose qui peut être façonné en fonction des besoins de chaque entreprise.

Par conséquent, les assureurs doivent agir en leur qualité de conseillers de confiance pour aider les clients à comprendre leurs besoins. Priyanka Prakash , contributrice de Fundera, propose quelques pistes d’enquête pour aider ce processus :

Demandez aux clients quels dossiers sensibles ils stockent et où.
Demandez aux clients quelles mesures ils devraient prendre pour les informer d’une violation de données.
Demandez aux clients combien il en coûterait pour remplacer le matériel affecté ou endommagé.
Demandez aux clients si leurs équipes informatiques peuvent gérer l’intervention en cas de dommages ou s’ils doivent faire appel à une aide externe.

Des questions comme celles-ci aideront les clients à comprendre leurs besoins en matière de couverture.

Dans le même temps, il est important de souligner à quel point les menaces à la cybersécurité évoluent rapidement, explique Domenico del Re, qui dirige une équipe d’actuaires et d’experts en risques de catastrophe chez PwC Royaume-Uni. De nouveaux flux de données apparaissent, les audits de sécurité identifient de nouveaux points de vulnérabilité et les actifs de l’entreprise mûrissent tout au long de leur cycle de vie. Les stratégies de cybersécurité doivent tenir compte de ce type de fluidité lorsqu’il s’agit d’évaluer et de s’assurer contre les impacts commerciaux.

Malheureusement, la pandémie de COVID-19 a ajouté une nouvelle ride à cette conversation. Tom Johansmeyer, chef de la division PCS de Verisk, affirme que la pression économique exercée par la pandémie a amené certaines entreprises à considérer l’assurance cybersécurité « comme un luxe » – au moment précis où elles devraient la considérer comme un must-have.

Le cyber-risque est un défi à multiples facettes pour les entreprises, aujourd’hui plus que jamais. Cependant, ce risque peut être géré et assuré, et cela devrait être un point d’attention pour les assureurs, les agents et les courtiers à l’avenir.

Images par : Mika Baumeister, Blake Wisz, LinkedIn Sales Navigator