Embed Size (px)
Citation preview
Aon Risk Solutions/Conseillers en gestion des risques
Les cyber-risques, une protection à prendre au sérieux!
La protection des données n’incombe plus au Service informatique – c’est la responsabilité du chef de la direction ou du chef des finances. Dans le cadre de leurs obligations légales, les administrateurs et les dirigeants doivent assurer le contrôle et l’orientation de la gestion des affaires de leur entreprise. Dans les marchés d’aujourd’hui, les « affaires » signifient aussi protéger les ressources d’information et garantir la conformité aux lois sur la protection des renseignements personnels. Au Canada, les lois sur la protection des renseignements personnels exigent que les sociétés et organismes nomment un directeur chargé de la protection de la vie privée, et conçoivent et appliquent des politiques protégeant la collecte, l’utilisation, le stockage et la divulgation des informations relatives aux employés et aux clients, ainsi que surveiller l’exactitude des informations recueillies, consentir à ces pratiques et établir des procédures de gestion de violations.
En matière de gouvernance éclairée, les conseils d’administration des entreprises doivent maintenir un niveau honnête de supervision puisque la latence, la compétence, la confidentialité ainsi que les obligations en matière de données et de sécurité peuvent demeurer le fardeau juridique du conseil – qu’un incident informatique soit causé par un fournisseur de services tiers, un pirate anonyme ou l’erreur d’un employé.
Voici d’importantes couvertures à prendre en considération lors d’une recherche d’une police d’assurance contre les risques cybernétiques :
Responsabilité liée à la protection des renseignements personnels L’assurance de la responsabilité liée à la protection des renseignements personnels élargit la portée de l’assurance de la responsabilité liée à la sécurité des réseaux de façon à couvrir les dommages découlant du vol ou de la perte de renseignements personnels autrement que suivant une atteinte à la sécurité des réseaux, pour autant que la perte soit occasionnée par une négligence ou la violation d’un protocole de sécurité. Elle pourrait inclure la perte ou le vol d’une bande de données en cours de transport ou le fait qu’un employé malhonnête se soit connecté au système informatique par des moyens illicites, mais qu’il ait disséminé des données confidentielles.
Gestion de crise en cas de violation de données (couverture des risques propres)
Dans le cas d’une violation de données, une entreprise doit immédiatement faire appel à une équipe d’enquête pour découvrir ce qui s’est passé, colmater la brèche et se conformer aux directives de notifications fédérales et étatiques. La police d’assurance couvre les frais engagés pour avertir les personnes de la violation de leurs données, fournir des services de protection du crédit, mandater un cabinet d’avocats pour l’aider à démêler les lois en matière de notification et à rédiger les lettres, engager des experts informatiques externes et faire appel à une société de gestion de communication de crise pour rétablir la réputation de la société et fournir des conseils en matière de relations publiques.
Responsabilité liée à la sécurité des réseaux Toute entreprise qui conserve des données sensibles sur ses employés, ses clients, ses patients, ses partenaires ou des tiers peut être tenue responsable de dommages si ces données sont violées, quelle qu’en soit la raison. Si une atteinte se produit et qu’une tierce partie intente un procès, l’assurance de la responsabilité liée à la sécurité des réseaux est supposée protéger l’entreprise. La police garantit les dommages et les frais de défense engagés par les tierces parties suivant une attaque informatique sur le réseau de l’assuré, y compris la responsabilité occasionnée par un virus informatique, un accès non autorisé, une attaque par déni de service, une divulgation de données confidentielles et le vol d’identité. La couverture entre en jeu que l’attaque résulte ou non des services professionnels fournis par l’assuré.
Responsabilité liées aux médias Vu que de plus en plus de sociétés comptent sur leur site web et les médias sociaux pour démarcher les consommateurs ou d’autres entreprises, il est recommandé qu’elles souscrivent une assurance pour se protéger contre de possibles diffamations, plagiats, calomnies et mensonges, la violation de la vie privée, la violation du droit d’auteur ou la contrefaçon de la marque de commerce du contenu publié sur le site.
Cyberextorsion (couverture des risques propres)
Cette assurance prévoit une garantie des frais d’enquête et de résolution des menaces d’extorsion liés aux attaques informatiques intentionnelles contre l’assuré.
Couverture contre les poursuites réglementaires Cette assurance est généralement fournie en tant que sous-garantie de l’assurance responsabilité civile liée à la protection des renseignements personnels et prévoit une couverture des frais de défense résultant d’une poursuite civile, administrative ou réglementaire découlant d’une violation d’une loi sur la protection des renseignements personnels, comme HIPAA, Gramm-Leach Billey. Des amendes, pénalités et sanctions relatives à de telles poursuites réglementaires peuvent être couvertes dans la mesure permise par la loi.
Pertes d’exploitation (couverture des risques propres)
Si un pirate informatique s’introduit dans le réseau informatique d’une société et y propage un virus ou lance une attaque par déni de service, des données et des logiciels peuvent être endommagés et le système pourrait faire l’objet d’un arrêt complet pour subir des réparations. Des recettes sont perdues et des frais supplémentaires sont engagés lorsque le système informatique de l’assuré est interrompu ou suspendu à cause d’une défaillance de la sécurité des réseaux. La couverture inclut les pertes d’exploitation directes et les frais des services d’enquête informatique.
