Parce que… c’est l’épisode 0x707!

Shameless plug

• 25 et 26 février 2026 - SéQCure 2026
• 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
• 14 au 17 avril 2026 - Botconf 2026
• 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
• 9 au 17 mai 2026 - NorthSec 2026
• 3 au 5 juin 2026 - SSTIC 2026
• 19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode de podcast, Casimir Le Grand, fondateur de FairPoint Assurance, un cabinet spécialisé en assurance pour entreprises technologiques, présente les fondamentaux de la cyberassurance et son importance cruciale pour les PME. La discussion met en lumière les aspects souvent méconnus de cette protection devenue essentielle à l’ère numérique.

La nature spécifique de la cyberassurance

La cyberassurance se divise en deux volets principaux : la responsabilité civile et les dommages directs. Le volet responsabilité couvre les poursuites découlant de fautes cybernétiques commises par l’entreprise, mais représente une portion moins importante des pertes. L’accent de la discussion porte sur les dommages directs, qui constituent les coûts réels de remise en état suite à un incident cybernétique.

Un élément fondamental à comprendre est que la cyberassurance est une police monoligne distincte. Elle n’est pas couverte par les polices d’assurance générale combinée commerciale. Bien que certaines polices générales offrent de petites extensions de garantie de 25 000 $ à 100 000 $, ces montants sont largement insuffisants et les couvertures souvent inadéquates. Casimir insiste sur le fait qu’avoir ces petites extensions équivaut pratiquement à n’avoir aucune assurance. Les entreprises doivent donc se procurer une police spécifique pour être réellement protégées contre les risques cybernétiques.

Les coûts de réponse à l’incident

À chaque incident cybernétique, peu importe sa nature, les coûts de réponse sont systématiquement déclenchés. Ces coûts incluent tous les professionnels qui interviendront pour aider l’entreprise à se remettre en état. Cela comprend les experts en gestion de crise, les spécialistes en investigation forensique qui détermineront le point d’entrée des hackers et les données compromises, ainsi que d’autres professionnels spécialisés.

La valeur de l’assurance se manifeste particulièrement ici, car la plupart des PME ne disposent pas d’équipes internes capables de répondre adéquatement à un incident. L’assureur coordonne l’intervention des professionnels et assume les coûts, qui peuvent varier considérablement selon l’urgence. Une intervention d’urgence un samedi matin coûtera significativement plus cher qu’une intervention planifiée le lundi après-midi.

Les obligations juridiques et le rôle du breach coach

Les avocats spécialisés en protection des renseignements personnels, appelés « breach coaches », jouent un rôle crucial dans la gestion d’un incident. Avec l’entrée en vigueur de la loi 25 au Québec, les entreprises ont des obligations juridiques précises lorsque des informations sont volées ou accédées illégalement. Les breach coaches aident à déterminer ces obligations, notamment :

• L’obligation d’avertir les personnes concernées
• Les exigences de notification aux autorités
• Les obligations contractuelles envers les tiers dont les informations confidentielles ont été compromises

Une gestion appropriée de l’incident, guidée par ces professionnels, protège l’entreprise contre d’éventuelles poursuites. À l’inverse, la négligence peut être catastrophique. Certaines entreprises qui ont choisi de ne pas notifier les victimes ou de ne pas offrir de surveillance de crédit se sont exposées à des poursuites qui les ont forcées à fermer leurs portes. L’assureur, qui ne veut pas payer pour ces poursuites, s’assure donc que le breach coach intervienne pour minimiser les risques juridiques.

La perte d’exploitation : un coût majeur

Au-delà des coûts directs de réponse, les pertes d’exploitation constituent souvent le volet le plus coûteux d’un incident cybernétique. Casimir utilise l’exemple parlant d’une entreprise dont tous les ordinateurs deviennent noirs suite à une attaque de rançongiciel. Les employés ne peuvent plus travailler, les commerces de détail ne peuvent plus scanner les codes-barres, l’accès aux inventaires est bloqué.

Pour une entreprise de commerce de détail vendant des produits non uniques, les clients se tourneront rapidement vers la concurrence, entraînant des ventes perdues irrémédiablement. La couverture de perte d’exploitation devient alors vitale. Pourtant, Casimir constate avec préoccupation que cette couverture est souvent sous-limitée. Il voit régulièrement des entreprises qui achètent une limite globale de 5 millions de dollars, mais dont la perte d’exploitation est limitée à seulement 500 000 $ ou 1 million de dollars.

L’importance des limites de couverture adéquates

Certains assureurs, comme Chubb et Coalition, offrent une limite séparée pour les coûts de réponse aux incidents. Cette structure est avantageuse : si la réponse à l’incident coûte 800 000 $, l’entreprise conserve l’intégralité de sa limite d’un million de dollars pour couvrir la perte d’exploitation et le paiement d’une éventuelle rançon. Cette structure évite que l’entreprise soit forcée de « tourner les coins ronds » sur la réponse à l’incident pour préserver des fonds pour d’autres besoins.

Négliger une réponse complète à l’incident est dangereux. Les entreprises qui ne corrigent pas adéquatement les problèmes fondamentaux subissent souvent un deuxième incident dans les six mois suivants, ce qui devient généralement le coup fatal.

Les fraudes non sophistiquées : une menace réelle

Un aspect moins discuté mais très fréquent concerne les fraudes de transfert de fonds par ingénierie sociale. Contrairement aux attaques sophistiquées nécessitant une expertise technique pour contourner les systèmes de sécurité, ces fraudes de type « grab and go » sont relativement simples à orchestrer.

Le scénario typique commence par une compromission de boîte de courriel d’entreprise (Business Email Compromise). Les hackers accèdent à des boîtes courriel mal sécurisées, installent des filtres pour rediriger certains courriels légitimes et surveillent silencieusement les communications. Lorsqu’une transaction importante se profile, ils envoient de fausses instructions de paiement, souvent en prétendant qu’un changement de coordonnées bancaires a eu lieu.

Ces fraudes peuvent facilement atteindre des centaines de milliers de dollars. Casimir mentionne le cas remarquable d’une récupération de 9,5 millions de dollars orchestrée par Coalition, grâce à leur équipe spécialisée qui intervient rapidement pour tenter de récupérer les fonds transférés frauduleusement. Sans cette intervention professionnelle rapide, cet argent aurait été définitivement perdu.

Conclusion

La cyberassurance n’est plus un luxe, mais une nécessité pour toute entreprise moderne utilisant des équipements technologiques. Les coûts d’un incident cybernétique dépassent largement les capacités financières de la plupart des PME. Une couverture adéquate, avec des limites appropriées et l’accès à des professionnels spécialisés, peut faire la différence entre la survie et la fermeture d’une entreprise. L’essentiel est de ne pas sous-estimer les risques et de ne pas se contenter de couvertures inadéquates qui donnent une fausse impression de sécurité.

Collaborateurs

• Nicolas-Loïc Fortin
• Casimir Le Grand

Crédits

• Montage par Intrasecure inc
• Locaux réels par Bagel Maguire Café

Tags: assurance, breach, cyberassurance, incident