Assurance cybersécurité : éliminez les points faibles de la couverture de votre client PME
La cybersécurité n’est probablement pas en tête de la liste des priorités de vos clients commerciaux, mais elle devrait l’être pour tous les assureurs, courtiers et agents.
Les petites et moyennes entreprises n’ont jamais été exposées au risque d’attaques comme elles le sont actuellement, mais la plupart hésitent encore à souscrire une assurance adéquate pour se protéger. Les opérateurs ont la responsabilité vis-à-vis de leurs clients de comprendre le paysage des menaces auxquelles sont confrontées les petites et moyennes entreprises (PME) et de prendre des mesures pour fournir le type de protection qui offre une valeur réelle.
La menace à la cybersécurité pour les PME est réelle et croissante
Les PME sont une cible privilégiée des pirates, explique Aaron Basilius, vice-président senior de la cybersécurité chez AmTrust Financial Services. Attaquer de grandes entreprises peut entraîner de gros gains, mais ces organisations sont également beaucoup mieux équipées pour gérer les cyberattaques. Les gains avec les PME sont peut-être plus faibles, mais elles sont une cible beaucoup plus facile.
« Les petites entreprises ont-elles d’énormes comptes bancaires comme les multinationales ? Non », dit Basilius. « Mais il est plus facile, dans l’ensemble, d’entrer dans le système d’une petite entreprise. Un pirate informatique n’a pas besoin d’aller aussi loin pour y entrer.
Les pirates ciblent les données, écrit Shena Tharnish, vice-présidente des produits de cybersécurité chez Comcast Business. Il peut s’agir de données personnelles telles que les détails de votre carte de crédit et les dossiers médicaux qui peuvent être vendus sur le dark web.
Selon elle, les autres motivations des cyberattaques comprennent :
- Obtenir de la puissance de calcul pour réaliser des attaques DDoS à grande échelle.
- Obtenir un accès détourné à de plus grandes entreprises qui peut entraîner des gains plus importants.
- De l’argent liquide sous forme de rançons.
La pandémie a été une aubaine pour les pirates informatiques qui n’ont pas tardé à tirer parti des vulnérabilités créées par le travail à distance. Le Centre de plainte contre les crimes sur Internet du FBI a reçu une augmentation d’environ 400 % des signalements de crimes en ligne depuis le début de la pandémie, passant de 1 000 par jour à 4 000, a déclaré Tonya Ugoretz, directrice adjointe adjointe de la division cyber du bureau.
Des milliers d’entreprises au Canada ont été victimes de cyberattaques en 2020, rapporte la Fédération canadienne de l’entreprise indépendante. Une enquête menée en octobre 2020 auprès de 3 040 petites et moyennes entreprises a révélé que près d’une sur quatre avait subi une attaque depuis mars de la même année. Près de 5 % ont déclaré que les attaques avaient réussi, ce qui signifie que plus de 60 000 entreprises ont probablement été victimes si les chiffres sont extrapolés à l’échelle nationale.
Même si le risque est évident, l’assurance cybersécurité ne sera pas la plus facile à vendre. Les assureurs doivent éduquer les clients commerciaux, s’attaquer aux questions réglementaires, personnaliser la couverture et fournir des services intégrés pour établir des liens avec les PME sur cette question.
Éduquer les clients commerciaux
Pour établir des liens significatifs avec les PME, les assureurs doivent surmonter le manque de connaissances en matière de cybersécurité et d’assurance. La compagnie d’assurance Sedgwick a constaté que si les PME sont plus conscientes des cyberrisques que les courtiers ne le pensent, « moins de 20 % ont souscrit une couverture d’assurance spécifique à la cybersécurité ». De plus, la majorité des employés des petites entreprises n’ont aucune formation de sensibilisation à la cybersécurité.
Le pire, c’est que les PME commencent à considérer l’assurance cybersécurité comme un luxe à la suite de la pandémie de COVID-19, écrit Tom Johansmeyer, responsable des services de sinistres immobiliers chez Verisk.
Cependant, les principaux fournisseurs d’assurance cybersécurité forment déjà leurs clients, explique Jeremy Barnett, directeur du marketing chez Cyberscout, fournisseur de solutions de cybersécurité.
« Comme il s’agit d’un produit d’assurance relativement nouveau et que les propriétaires de petites entreprises ne connaissent pas nécessairement toutes les différentes couvertures, les assureurs leur fournissent d’excellentes ressources éducatives », explique-t-il. « Il ne s’agit pas seulement d’acheter une assurance, mais aussi de ressources de cybersoutien. »
Aborder les questions réglementaires
L’une des principales raisons pour lesquelles les PME cherchent à souscrire une assurance cybersécurité est de remplir une obligation contractuelle, explique Ellen Zhang, directrice du marketing de la plateforme de gestion de programmes à distance Symba. « De nombreuses entreprises obligent les tiers avec lesquels elles travaillent à souscrire une assurance cyber. »
Il est donc logique que les assureurs s’attaquent aux questions réglementaires qui entourent ce produit d’assurance.
Tim Woitach, directeur du marketing chez McNeil & Co. L’assurance dit qu’il est « essentiel de transmettre l’énorme engagement qu’il faut pour surveiller vos informations, vous protéger contre une violation, repérer et arrêter toute violation qui se produit, informer les autorités compétentes du crime et atténuer les conséquences ». Alors que les grandes entreprises ont des départements qui peuvent gérer ces problèmes, les petites entreprises s’occupent souvent de tout elles-mêmes. C’est pourquoi il est d’autant plus important de souscrire une assurance qui couvre ces questions.
Combinez assurance et protection
Certaines organisations choisissent de fusionner la protection de la cybersécurité avec l’assurance, écrit Chase Norlin, PDG du développeur de main-d’œuvre en cybersécurité Transmosis. « Dans cette situation, les deux parties sont gagnantes : les assureurs réduisent leur risque global en vérifiant et en utilisant les dernières technologies pour réduire la probabilité d’une attaque, et les propriétaires de petites entreprises n’ont plus besoin de naviguer dans ce paysage complexe pour déterminer la technologie et la politique appropriées qui les couvriront en cas de violation. »
Bien que cette tendance n’en soit qu’à ses balbutiements, « plus la technologie et l’assurance se rapprochent, meilleurs seront les résultats pour les deux parties », ajoute M. Norlin. « Cela signifie moins de violations, moins de réclamations d’assurance, des paiements plus rapides et plus complets en cas de réclamations, et un appétit plus sain que les assureurs auront pour prendre des risques continus. »
Les assureurs sont bien placés pour fournir un service comme l’intervention en cas d’intrusion, déclare Sharon Shea, rédactrice en chef chez TechTarget.
« Lorsqu’un titulaire de police contacte l’assureur pour lui faire part d’une violation présumée, un membre de l’équipe réagit rapidement et fait appel à des spécialistes tiers tels que des avocats ou des enquêteurs judiciaires au besoin », écrit-elle. « Les assureurs disposent d’un panel de fournisseurs de services, notamment des analystes judiciaires, des avocats spécialisés dans les violations de données, des centres d’appels, des sociétés de relations publiques et d’autres fournisseurs spécialisés dans la réponse aux violations et disponibles à court préavis pour aider. Pour les petites et moyennes entreprises ou pour toute entité qui ne gère pas les crises de violation de données au quotidien, les services d’une équipe d’intervention expérimentée en cas de violation de données peuvent s’avérer inestimables.
Personnaliser la couverture
Les polices standardisées ne fonctionnent pas pour la plupart des entreprises, quel que soit le produit d’assurance. Et bien que les polices de cybersécurité contiennent une combinaison d’éléments standard, explique Dan Burke, leader national de la pratique cybernétique au cabinet de courtage et de conseil en assurance Woodruff Sawyer, une approche plus nuancée contenant des ajouts spécialisés offre une bien meilleure couverture.
« Ces améliorations à une police d’assurance cybernétique ne sont pas toujours disponibles à moins que vous ne sachiez quoi demander, et si elles sont disponibles, elles sont généralement limitées à un montant inférieur à la limite totale de la police », explique M. Burke.
Pour ce faire, les transporteurs devront comprendre leurs clients commerciaux, explique l’équipe d’Agency Height. « Certains n’ont que des besoins minimes en matière de cybersécurité et ne souhaitent qu’une couverture moyenne ou limitée. D’un autre côté, certains peuvent souhaiter des couvertures complètes en raison de cyberrisques plus élevés et de responsabilités délictuelles plus importantes. Ils conseillent aux assureurs de discuter des activités de leurs clients et de l’utilisation de la technologie afin de mieux comprendre leurs besoins et de personnaliser la couverture.
Michelle, chef, Responsabilité professionnelle et cybersécurité chez Zurich Amérique du Nord, recommande aux entreprises d’évaluer leurs risques et les coûts associés et de choisir des polices adaptées à leurs « principales préoccupations ».
« Pour une entreprise qui vend en ligne, l’impact le plus préoccupant pourrait être l’interruption des activités ou les ransomwares », dit-elle. « D’un autre côté, une entreprise de cabinet médical peut s’inquiéter de la perte d’informations, des violations de la loi HIPAA, de l’interruption des activités ou des événements de ransomware. »
Alors que les PME sont menacées par les criminels de la cybersécurité, les opérateurs commerciaux risquent de perdre face à la concurrence s’ils ne sont pas prêts à entrer sur ce marché en pleine croissance. Comprenez votre client commercial, évaluez ses besoins, puis créez une couverture personnalisée qui lui offre la protection dont il a besoin.
Images par : Adam Winger, Jefferson Santos, Amy Hirschi