Les cybercriminels coûtent cher aux entreprises, et pas seulement en coût. Depuis deux ans, les tarifs des assurances en ligne explosent, tandis que les assureurs sont plus sélectifs que jamais.
« Au niveau financier, ç’a été un film d’horreur »
Considérée il y a quelques années comme un produit d’avenir, la cyberassurance est devenue une charge inutile pour les assureurs. Entre les cybercriminels plus forts et plus gourmands que jamais et le nombre limité d’assurances disponibles, les entreprises doivent faire face à l’énorme augmentation des dépenses et renforcer les normes d’entrée. Le marché est « dans une sérieuse période de correction », disent les experts.
Tous les professionnels interrogés par La Presse notent que les prix des assurances en ligne augmentent significativement depuis au moins deux ans, un phénomène qui n’est pas bon pour quatre consignés sans dossiers complets.
« Dans certains cas, nous parlons d’augmentations de plus de 100 % », a déclaré Imran Ahmad, responsable de la technologie et de la cybersécurité chez Norton Rose Fulbright Canada.
La Fédération canadienne de l’entreprise indépendante (FCEI) et le Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ) préparent actuellement des études à ce sujet. L’ancien président de cette dernière organisation, Jean-Pierre Tardif, en sait long : en un an, la police d’assurance internet de sa compagnie, Assurancia Groupe Tardif de Thetford Mines, est passée de 14 000 $ à 32 000 $. $, une augmentation de 129 %. « Financièrement, c’était plus qu’un simple film d’horreur », a-t-il conclu.
Même constat à la Société de transport de Montréal (STM), où l’on a subi « une augmentation importante des dépenses et une baisse des assurances », a indiqué le porte-parole Philippe Déry dans un courriel.
PHOTO ROBERT SKINNER, ARCHIVES LA PRESSE
Le tout ne sera pas lié au fait que nous ayons été victimes d’une cyberattaque par le passé, puisque cette situation s’observera partout dans les grandes entreprises, selon les transactions que nous aurons avec nos partenaires.
Philippe Déry, porte-parole de la STM
Dix pages de questions
A ces dépenses accrues s’ajoute une nouveauté : les assureurs sont plus difficiles et parfois ils vont rejeter les compagnies jugées trop risquées.
Chez CFC, qui est basé à Londres et compte 10 000 clients au Canada, par exemple, on pousse l’enquête plus loin en passant au peigne fin le web (dark web) pour voir si l’entreprise a été touchée par un record. « Nous avons 135 personnes spécialisées dans la cybersécurité », a déclaré Lindsey Nelson, directeur du développement Internet, par téléphone.
La Presse a pu contacter le formulaire exigé par les deux principaux assureurs, Beazley et Zurich, de 5 et 10 pages respectivement. Due diligence, enquête du personnel judiciaire, processus de destruction des données, authentification à deux facteurs, tout est passé en revue par une centaine de questions.
Il est très difficile de souscrire une assurance contre les risques en ligne, il est difficile d’obtenir un devis. Les assureurs sont sélectifs, ils priorisent les dossiers bien déposés.
Mathieu Brunet, président du Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ)
Les raisons
Le Bureau du surintendant des institutions financières n’intégrera la cyberassurance qu’en 2015. En sept ans, le nombre de politiques appliquées au Canada est passé de 620 à 131 361. On estime que les assureurs canadiens représentent 96 % du marché.
Parallèlement, le nombre de plaintes suivies est passé de 2 601 en 2015 à 28 083 au deuxième trimestre 2022.
Enfin, on comprend mieux les réticences des assureurs si l’on compile depuis 2015 le soi-disant « ratio de sinistres ». Il s’agit du montant total entre les sinistres payés et les dépenses encaissées. A ce tarif s’ajoutent tous les frais administratifs. « Pour que l’assurance réussisse, elle doit être inférieure à 60% », a déclaré Walid Khayate, directeur de la gestion des risques et de la gestion des risques cyber chez BFL Canada, l’un des trois plus gros investisseurs du pays.
« Sérieuse correction »
À l’Agence d’assurance du Canada, on estime que les primes, qui s’additionnent aux réclamations et aux dépenses, ont augmenté de 230 % au cours des trois dernières années.
« Pour chaque dollar de dépenses demandé, les assureurs payaient 2,30 $ », résume Anne Morin, la porte-parole. Les assureurs devraient envisager la perte de production, le remplacement du matériel informatique, les actions conjointes et même le remboursement du coût, une solution choisie par 58 % des entreprises concernées pour un prix moyen de 458 200 $, selon une étude menée en 2021 par Palo Réseaux Alto.
En 2018, nous avons vu un prix de 300 000 $, élevé. Eh bien, n’importe quel fichier allant jusqu’à 2 ou 5 millions peut atteindre 40 millions, même si c’est rare.
Imran Ahmad, chef, Technologie et cybersécurité, chez Norton Rose Fulbright Canada
En résumé, l’offre d’assurance risque sur internet n’est plus valable, et n’a été faite que trois fois depuis 2015. D’où le niveau élevé des primes exigées ces deux dernières années. « Le marché canadien est dans une période de correction critique », a déclaré Lindsey Nelson de CFC. Les attaques ont coûté des centaines de millions de dollars dans le monde. »
Décevant eldorado
Publié il y a quelques années, principalement par la société Standard & Poor’s, le produit qui sera le plus important en 2030, l’assurance des risques sur internet a suscité de nombreuses offres des assureurs données par les hommes d’affaires. « Nous sommes passés d’Esso et de Walmart à des actifs numériques plus intangibles », a déclaré Walid Khayate de BFL Canada.
La maladie, qui a multiplié le nombre d’entreprises et l’ampleur du travail à distance, la montée des cyberattaques ainsi que les lois du gouvernement qui provoquent la création d’entreprises avec des sanctions qui menacent ce commerce.
Les assureurs étaient « très stressés, et pas équipés » pour ce nouveau marché qui n’a pas d’histoire, a-t-il noté. « Ils ont connu une renaissance, ils ne peuvent plus recommencer. C’est compliqué pour tout le monde, les données sont spéciales, et en cybersécurité, ce qui s’est passé dans le passé n’est pas prédictif de l’avenir. Les attaques changent, un système qui a 50 000 problèmes qui disparaîtront en trois ans. »
21 %
Plus d’une entreprise sur cinq comptant moins de 500 employés au Canada a déclaré avoir été touchée par une cyberattaque en 2021.
Source : Agence d’assurance du Canada, Sondage Léger
279 millions
Total des cyberamendes payées au Canada en 2021. 24,4 millions en 2015.
Source : Agence d’assurance du Canada
24 %
Statut des entreprises ayant souscrit une assurance risque sur internet, installées dans le monde entier ou, dans 15% des cas, à titre individuel.
Source : Agence d’assurance du Canada, sondage Léger août 2021
Des assureurs refroidis
Ce qui est troublant, c’est que de nombreux organismes publics et privés ont du mal à trouver une assurance contre les risques internet à un prix raisonnable.
« Chubb, l’une des plus grandes compagnies d’assurance au Canada, ne touche plus certains secteurs, comme les écoles, les cégeps, les hôpitaux », a déclaré Walid Khayate, de BFL Canada. « Ils n’aiment pas ça : ces agences ont beaucoup de données et sont souvent corrompues. »
Les cégeps, par exemple, doivent conserver leurs dossiers étudiants, qui contiennent parfois des renseignements confidentiels, pendant 35 ans. « Un responsable du cégep nous a récemment dit que les cyberattaques proviennent souvent de leurs propres étudiants, qui tentent de s’introduire dans le système… »
L’Union des municipalités du Québec (UMQ) a trouvé une solution intéressante, un temps à l’abri de l’inflation et du désintérêt des assureurs : un regroupement pour l’assurance des risques sur Internet de leurs postes a été mis sur pied après l’appel d’offres , de 2019 à 2024. Au total, 102 municipalités, « de tous types, surtout entre 20 000 et 60 000 personnes », ont participé, a précisé Patrick Lemieux, porte-parole de l’UMQ.
La bonne position que nous avons, et c’est pourquoi nous sommes enthousiastes, notre pouvoir d’achat et notre capacité de négociation nous sont permis par le groupe. C’est pourquoi il est plus intéressant de prendre une assurance que de partir seul dans un village.
Patrick Lemieux, conférencier UMQ
Sévères, mais aidants
Les primes sont souvent assorties de couvertures et de montants réduits, et les consommateurs sont incités à opter pour des franchises plus élevées qu’ils devront payer en cas d’accident.
Les petites et moyennes entreprises sont particulièrement touchées, rapporte Michel Leonard, économiste en chef à l’Insurance Information Society à New York. « Ces entreprises ont soudainement pris conscience des conséquences, elles cherchent une couverture, mais la demande croît plus vite que la capacité. C’est aussi pour cela que les paiements ont plus que doublé. »
Le fait que les assureurs soient plus sélectifs ne se limite pas aux défauts, estime Lindsey Nelson du CFC. C’est pourquoi ils proposent ces services ci-dessus pour renforcer la sécurité en ligne de leurs clients. « En tant que cyberassureur, nous sommes bien sûr intéressés par moins de réclamations, car nos clients veulent réduire les attaques », a-t-il déclaré. Nous avons arrêté 12 000 attaques au cours des deux dernières années. »
Pour Walid Khayate, c’est la « bonne voie », qui profite à la fois aux assureurs et aux consommateurs.
De nombreux assureurs ont même raté des recherches, effectué des tests dans des entreprises, affirmant que les réseaux WiFi sont souvent mal protégés.
Walid Khayate, directeur de pratique en gestion des risques de catastrophe et en gestion des risques chez BFL Canada
Les assureurs disposent également de l’expertise pour intervenir en cas de cyberattaque, ce qui manque souvent aux petites entreprises. « Les consommateurs qui n’ont pas d’assurance en ligne me posent souvent la question : qui appeler en cas d’accident ? Un ami TI, mon cabinet d’avocats ? rapporte Imran Ahmad de Norton Rose Fulbright Canada. Avec une assurance, vous avez tous les services, un forfait que vous pouvez utiliser immédiatement. »
A lire dimanche : « Identité numérique : une solution, mille questions », un dossier de Nicolas Bérubé dans la rubrique Contexte.