L’assurance cyberrisques pour les municipalités: Ce qu’il faut savoir
Alors que les polices d’assurance cyberrisques sont sur le marché depuis déjà quelque temps, ce n'est que récemment que les organisations les considèrent comme une nécessité. Au Canada, les cyberattaques à travers le pays ont augmenté de 50 % en 2021.
Les entreprises privées ne sont pas les seules prises pour cibles. De plus en plus, les municipalités sont ciblées par des « cyberpirates » qui tentent de saboter leur site web, de voler des données confidentielles ou font des tentatives d’hameçonnages dans le but de demander des rançons importantes.
Les polices en assurance cyberrisques sont spécifiquement conçues pour aider les organisations telles que les municipalités à gérer les coûts associés à ces incidents. Ces polices d’assurance couvrent un large éventail de coûts tels que les frais juridiques associés aux atteintes à la vie privée, les coûts de réponse reliés aux incidents de sécurité du réseau, etc.
Cet article approfondira vos connaissances sur l’assurance cyberrisques pour les municipalités et la façon dont ces couvertures peuvent apporter la tranquillité d'esprit aux organisations en cas de cyberincident.
Types de cyberrisques que les municipalités peuvent faire face
Partout au Canada, les municipalités sont des cibles attrayantes pour les cybercriminels. Ils fournissent des services essentiels à leur population et disposent d'une infrastructure soutenue à la fois par les contribuables et les gouvernements fédéraux plus importants. Vous trouverez ci-dessous les types de cyberincidents dont les municipalités à travers le Canada font face.
Rançongiciels
Les rançongiciels sont l'un des types d'attaques les plus courants contre les municipalités. Lors de rançongiciel, les « pirates » infectent un système informatique avec un logiciel malveillant qui bloque l'accès au système, et exigent alors une somme d'argent significative en échange du rétablissement de l'accès, retenant ainsi les informations contenues dans le système contre une « rançon ».
Ce type d’attaque et ses coûts ont augmenté depuis la pandémie. De 2020 à 2021, le coût moyen afin de revenir d’un rançongiciel a plus que doublé, passant de 970 722 $ à 2 300 000 $, ce qui pèse énormément sur les budgets de cybersécurité.
Par exemple, en avril 2019, la ville de Stratford, en Ontario, a payé une rançon de 75 000 $ en Bitcoin après qu'une cyberattaque ait désactivé son système téléphonique, son système de messagerie par courriels et une partie de son site Web. En 2022, la petite ville de St. Mary's, en Ontario, a été touchée par une attaque du groupe de rançongiciel "LockBit". Le personnel n’avait plus accès à ses systèmes internes, et les données ont été volées et cryptées. Une demande de rançon a été demandée à la ville. Le groupe LockBit est bien connu pour ses attaques de rançongiciels, ayant également piraté les systèmes de la ville de Frederick, au Colorado, et exigeant une rançon de 200 000 $.
Hacktivisme ou cyberactivisme
L’ « hacktivisme » ou le « cyberactivisme » fait référence à l'utilisation de cyberattaques comme moyen de promouvoir une cause sociale ou politique. Par exemple, si un gouvernement adopte une loi controversée, les pirates peuvent protester via une cyberattaque.
Alors que beaucoup suppose que ses victimes sont principalement des gouvernements provinciaux et fédéraux, les villes et les municipalités ont également été victimes de ces types d'attaques. Les villes et municipalités offrent des services essentiels pour leur communauté, allant de la délivrance de permis de construction et de licences commerciales à la collecte des taxes, en passant par la fourniture de services telle que l’élimination des déchets. Les «activistes» en ligne sont connus pour attaquer les municipalités en gelant les serveurs, en défigurant les sites Web et en compromettant les données.
Par exemple, en avril 2015, des hacktivistes ont supprimé le site Web principal de la ville américaine de Baltimore. C'était à un moment où il y avait beaucoup de protestations contre la mort d'un homme qui était alors en garde à vue. Richard Forno, professeur de cybersécurité à l'Université du Maryland, avait déclaré à l'époque qu’il devrait être attendu que ce type d'attaques parallèles ou de cyberactivisme coïncide avec des mécontentements sociaux.
Comment l’assurance cyberrisques peut-elle protéger les municipalités?
L'objectif fondamental d'une police d’assurance cyberrisques est de protéger les municipalités en couvrant les coûts qu'elles engagent à la suite de cyberattaques. Les atteintes aux réseaux des municipalités peuvent non seulement entraîner une perte d'argent, mais peuvent également engendrer un vol de données. Cela peut à son tour entraîner des poursuites judiciaires coûteuses associées à des failles de sécurité, ainsi qu’un risque de réputation important.
Des conseillers en assurance spécialisés peuvent vous aider à comprendre comment une police en assurance cyberrisques peut apporter une certaine tranquillité d'esprit en couvrant les coûts reliés à une cyberattaque.
Que couvre la cyberassurance ?
L’assurance cyberrisques couvre à la fois les coûts juridiques et opérationnels associés au redressement de l’assuré lors d’un événement relié à la cybercriminalité et aux atteintes à la cybersécurité. Bien que chaque police ait une formulation et une portée légèrement différentes, elles couvrent généralement les coûts suivants.
Enquête et plan d’action suite à un incident
Cela comprend les coûts reliés à une équipe d'intervention afin de diagnostiquer et de coordonner un plan d’action suite à un cyberincident. Cela implique généralement un accès à une ligne d’assistance disponible 24 heures sur 24 et 7 jours sur 7 pour répondre à la crise générée par le cyberincident et cela peut également engendrer des coûts associés à la récupération des données, à la notification des membres du public et à la surveillance du crédit.
L’assurance cyberrisques couvrira également généralement les coûts pour une demande de rançon. Par exemple, de nombreux cybercriminels s'infiltreront dans un réseau et ne fourniront une clé de déchiffrement que moyennant le paiement d'une somme d'argent ou de crypto-monnaie.
Interruption et recouvrement du réseau
Cela inclut les coûts engendrés par le temps d’interruption des sites web ainsi que les coûts de remise en activité d'un réseau. Cela ne s'applique pas seulement dans les situations où un pirate informatique a infiltré un réseau et détruit un site; cela peut également s'appliquer en cas de défaillance du système, lorsqu'un mauvais correctif logiciel ou une erreur humaine a entraîné par inadvertance un arrêt de l'ensemble du système.
Sécurité et protection de la vie privée
Une atteinte à la sécurité peut amener une partie prenante ou un membre du public à intenter une action en justice pour non-conservation de données confidentielles. La poursuite peut alléguer la violation de la loi sur la vie privée. La police d’assurance cyberrisques couvrira généralement :
- Les frais légaux et les frais de justice associés à un procès ou à un règlement ; ainsi que
- Les sanctions imposées par les autorités suite à la violation des lois sur la vie privée ou la confidentialité.
En 2020, des milliers de comptes en ligne du gouvernement canadien ont été piratés. Les cibles étaient principalement des comptes de l'Agence du revenu du Canada et d'Emploi et Développement social Canada. Les pirates ont volé les informations d'identification d'un système, les ont utilisées pour infiltrer un autre système, et ont pu obtenir un accès non autorisé à des comptes afin d’appliquer frauduleusement sur des prestations reliées à la COVID-19.
Cela a donné lieu à un recours collectif en matière de protection de la vie privée devant la Cour fédérale du Canada. En 2022, la Cour a certifié le recours collectif. Ce serait la première fois qu'un recours collectif contre un gouvernement était certifié pour négligence dans la protection des informations financières et personnelles contre des pirates informatiques.
Droit de propriété intellectuelle
L’assurance cyberrisques couvre également les coûts de toute atteinte à la propriété intellectuelle en cas de cyberincident. Par exemple, si la propriété intellectuelle d'une organisation est volée à la suite d'un cyberincident, l’assurance cyberrisques peut aider à payer les frais juridiques pour faire respecter les droits de propriété intellectuelle.
Responsabilité contractuelle
Une cyberattaque peut empêcher une organisation de remplir ses obligations en vertu d'un contrat. Par exemple, une municipalité peut avoir conclu une entente avec une compagnie d'autobus et avoir certaines obligations en vertu d'un contrat écrit avec cette compagnie. Si un cyberincident empêche cette municipalité de remplir ses obligations contractuelles, une police d'assurance en cyberrisques peut être en mesure de couvrir les frais juridiques qui en découlent.
Vous pouvez parler à un expert en assurance chez Axxima pour comprendre quelles couverture en cyberassurance vous conviennent le mieux.
Qu’est-ce qui n’est pas couvert pas l’assurance cyberrisques?
Bien que l’assurance cyberrisques offre généralement une large couverture, il existe des exclusions importantes à connaître. Les polices d'assurance cyberrisques ne couvrent généralement pas les coûts suivants.
Perte de profits futurs
Si, à la suite d'un incident relié à la cybersécurité, une organisation perd des bénéfices futurs, ceux-ci ne seront pas couverts par la couverture d’assurance cyberrisques. Un exemple peut être qu'une grande entité commerciale perde des bénéfices parce qu’un cyberincident a gravement atteint sa réputation, entraînant une perte de clients et de revenus potentiels futurs.
Perte de valeur due au vol de propriété intellectuelle
Si un pirate informatique vole votre propriété intellectuelle et que cela entraîne une perte importante de la valeur marchande de votre organisation, ces coûts ne seront pas couverts.
Coûts d’amélioration
Cela implique les coûts d'amélioration des systèmes technologiques internes à la suite d'une cyberattaque. Même si une organisation veut essayer de faire ce qu'il faut en améliorant son infrastructure de cybersécurité afin qu'une cyberattaque ne se reproduise plus, les coûts de ces mesures ne seront généralement pas couverts.
Autres coûts
Quel est le coût d’une assurance cyberrisques?
Will general municipal insurance or tech E&O insurance cover cyber?
L'assurance municipale générale offre une couverture aux municipalités contre la responsabilité découlant des blessures et des dommages résultant des services, des opérations et des produits générés. L’assurance cyberrisque est généralement exclue de la couverture.
Il est également important de comprendre que l'assurance erreur et omission technologique et l’assurance cyberrisque ne sont pas la même chose. Les polices d’assurance erreur et omission technologique sont spécialement conçues pour les entreprises technologiques au cas où elles auraient commis des erreurs ayant un impact sur leurs clients. Il s'agit essentiellement d'une forme d'assurance responsabilité professionnelle pour les entreprises technologiques. L’assurance cyberrisque, quant à elle, protège un plus large éventail d'organisations contre les impacts des cyberincidents, qui peuvent inclure le non-respect de toute obligation en vertu de ses contrats.
Avez-vous vraiment besoin d’assurance cyberrisque?
L'assurance devrait constituer un élément clé de toute politique de cybersécurité. Les municipalités devraient revoir leurs politiques et leurs cyberbesoins, car elles sont une cible de choix pour les cybercriminels. Les municipalités sont confrontés à divers risques de leur infrastructure réseautique, notamment la prévalence croissante des rançongiciels ainsi que l’ «hacktivisme» qui survient lors de mécontentements sociaux.
Si vous vous demandez si une police d'assurance cyberrisque est la bonne police pour vous, veuillez contacter notre équipe d'experts en actuariat et en courtage d’assurance, ici, chez Axxima. Notre équipe possède une expertise spécialisée dans tout ce qui concerne l’assurance cyberrisque et se fera un plaisir de vous conseiller sur le type d'assurance nécessaire pour protéger votre organisation.