Assurance des risques cybernétiques



Documents pareils
Gestion des risques liés à la responsabilité Institut de la gestion financière Le 27 novembre 2012

Tout ce que vous avez toujours voulu savoir sur la responsabilité civile. Printemps 2007 Présentation du

VISA PLATINE AFFAIRES VOYAGES RBC BANQUE ROYALE ASSURANCE ACHATS D ARTICLES DE PREMIÈRE NÉCESSITÉ CERTIFICAT D ASSURANCE INTRODUCTION

DAS Canada Legal Protection Insurance Company Limited. («DAS Canada») CONVENTION DE COURTAGE

GESTION DE RISQUES Août 2007

Bienvenue chez Banque Nationale Réseau des correspondants

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Politique de sécurité de l information

OUVRIR UN COMPTE PERSONNEL

Information et sensibilisation des consommateurs à l égard des risques importants liés aux produits hypothécaires

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

de l assurance-santé au Canada Juin 2014

POLICE COMMERCE ET SERVICES

SECTION IV. Facility, FA, FARSP et le P.R.R. sont des organismes distincts aux fonctions semblables.

RÉGIME DE RÉINVESTISSEMENT DE DIVIDENDES ET D ACHAT D ACTIONS NOTICE D OFFRE

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

Présenté par l Organisme d autoréglementation du courtage immobilier du Québec (OACIQ)

Accord d Hébergement Web Mutualisé

Partir en toute. assurance PARTOUT DANS LE MONDE

SOMMAIRE DU RÉGIME RÉGIME FIDUCIAIRE D ÉPARGNE-ÉTUDES GLOBAL (le «Régime»)

Veuillez lire les présentes modalités et conditions du service (les «CONDITIONS») avant d utiliser le présent site.

Gestion des cyber-risques

DÉMYSTIFICATION DE L AUTO-ASSURANCE

Activité auxiliaire Activité réputée appuyer ou assurer la prestation d un service pour faciliter les opérations d assurance ou les placements.

Ouvrir un compte personnel

Genworth MI Canada Inc.

Guide du Plan d'indemnisation en assurances IARD

Visa Privilège RBC Récompenses ASSURANCES RETARD DE VOL ET ACHATS D ARTICLES DE PREMIÈRE NÉCESSITÉ CERTIFICAT D ASSURANCE INTRODUCTION

Document de travail. Business Corporations Act Securities Transfer Act

Surveillance de la réglementation en matière d assurance automobile

"P" CONDITIONS D'ASSURANCE CONSULTATION ET SERVICES PROFESSIONNELS

Fonds communs de placement de la HSBC Notice annuelle

FORMULAIRE DE POLICE D ASSURANCE AUTOMOBILE DU QUÉBEC (F.P.Q.)

Assurance des sous-traitants et des fournisseurs en construction navale

C11 : Principes et pratique de l assurance

CONDITIONS GÉNÉRALES D ADHÉSION À L ASSURANCE COLLECTIVE

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Pro-Investisseurs CIBC Barème des commissions et des frais

C14 : L assurance automobile, 1 re partie Québec

ASSURANCE L assurance est-elle obligatoire et que peut-elle couvrir? responsabilité civile

The Shipowners Club Assurance Responsabilité Civile liée aux Navires à Passagers pour les bateaux de moindre dimension

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Quelles sont les obligations en matière d assurance pour les structures sportives?

APERÇU DU FONDS Fonds Iman de Global, série A au 13 avril 2015

Conditions générales de vente de Hologic Canada Limitée

ING Canada Inc. Résultats financiers et d exploitation du premier trimestre mai 2005 PRELIMINARY DRAFT.

L INSPECTION PRÉACHAT DANS LE DOMAINE IMMOBILIER ÀSSOIÀTION PES CONSOMMATEURS POUR LA QUALITÉ PANS LÀ CONSTRUCTION POUR UNE MEILLEURE PROTECTION

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

RISQUE SPORTIF ET ASSURANCE

Proposition Technologie de l information pour l Association québécoise des technologies (AQT)

Annexe VI au Protocole au Traité sur l Antarctique relatif à la protection de l environnement

Nouvelle demande de permis d agent ou de courtier d assurances I.A.R.D.

RENOUVELER ET RENÉGOCIER VOTRE PRÊT HYPOTHÉCAIRE

STRUCTURES ORGANISATIONNELLES

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

LE CONTENU DES MODALITÉS DE SERVICE

L assurance est là pour protéger votre famille

Le bail commercial : les aspects importants à vérifier

ASSURANCE- SOLDE DE CARTE DE CRÉDIT. options de paiements

Veuillez transmettre vos soumissions et vos questions à : M me Maria Policelli Directrice de politique

Assurances. Introduction. Objectifs d apprentissage

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

ASSURANCE DE LA RESPONSABILITÉ CIVILE PROFESSIONNELLE

ASSURANCE- SOLDE DE CARTE DE CRÉDIT OPTIONS DE PAIEMENTS

ASSURANCE AUTOMOBILE PARCOUREZ IBC.CA TOUT SUR L ASSURANCE AUTOMOBILE

Financement participatif «CrowdFunding» Où en sommes-nous au Canada?

Janvier Enquête CLCV Assurances et sinistres

Garantie Responsabilité civile - Lésions corporelles de l assurance automobile - Étude des dossiers de demande d indemnisation fermés en Ontario

Présentation du 15 octobre 2003

Travailleur autonome. 6. Avez-vous eu des changements dans vos activités/opérations depuis le dernier renouvellement? :

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

Le nuage : Pourquoi il est logique pour votre entreprise

les bulletins de participation admissibles reçus dans chacune des régions décrites ci-après entre le

Barème de frais des produits et services

Conditions générales d utilisation 1 Juillet 2013 SOMMAIRE... 1 PREAMBULE... 2 ARTICLE 1 : DEFINITIONS... 2 ARTICLE 2 : OBJET... 2

SECTION III. Des définitions sont ajoutées aux instructions afin d aider l assureur à produire ses relevés.

GARANTIE C DE L ASSURANCE DES INSTITUTIONS FINANCIÈRES PERTE OU ENDOMMAGEMENT EN COURS DE TRANSPORT MODIFICATIONS À L ARTICLE 7076

Conditions générales MY BAG 0124-MYBAG-F

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Sollicitation commerciale et protection des renseignements personnels

Foire aux questions pour les étudiants étrangers Régime pour étudiants étrangers

Tout connaître. sur l assurance. automobile

Objet : Groupe de travail antifraude de l assurance-automobile Rapport d étape

Programme d assurance

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

PARLEMENT EUROPÉEN. Commission du marché intérieur et de la protection des consommateurs DOCUMENT DE TRAVAIL

DIRECTIVES. (version codifiée) (Texte présentant de l'intérêt pour l'eee)

Adresse : Code postal : Ville : Tél :... Web : .@... Pays Préfixe Numéro tel direct : +... Adresse :... 3 année

Note Conflagration. Janvier 2010

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

QUESTIONS-RÉPONSES : SUJETS ASSURANCE

PROGRAMME D'ASSURANCE COMPLET

Chapitre 7 Ministère du Développement des ressources humaines / Andersen Consulting

La Compagnie d Assurance-Vie Manufacturers

Bulletin vie privée. Limites de la protection des renseignements personnels des personnes à charge dans un contexte de contrat d'assurance collective

Bulletin de l ACFM. Principe directeur. Aux fins de distribution aux parties intéressées dans votre société

Transcription:

Aon Risk Solutions/Conseillers en gestion des risques Assurance des risques cybernétiques Une solution de transfert du risque pour répondre à une responsabilité accrue Janvier 2015

Introduction La fréquence et la gravité des cyberattaques et des atteintes à la vie privée s intensifient. De nouvelles atteintes sont signalées dans le monde entier pratiquement chaque semaine, plus de 600 millions de dossiers aux États-Unis contenant des renseignements personnels étant touchés par une atteinte à la sécurité depuis 2005 1. L institut Ponemon a évalué le coût moyen d une atteinte à la sécurité des données pour des entreprises américaines à plus de 200 $ par dossier compromis en 2009 2. Bien qu il y ait une prise de conscience croissante des risques cybernétiques que de nombreuses entreprises prennent des mesures pour mettre à jour leurs systèmes de sécurité informatique, le nombre d atteintes à la sécurité qui restent inconnues pendant 6 mois ou plus continue d augmenter chaque année 3. En conséquence, la cybersécurité et la sécurité des renseignements personnels occupent le premier rang des préoccupations en matière de risques des entreprises. Les statistiques indiquent que même les systèmes de sécurité de pointe ne sont pas infaillibles, comme en témoignent un nombre croissant d organisations. Par conséquent, les organisations se tournent également vers les polices d assurance des risques cybernétiques, afin de transférer leurs risques. Diverses polices d assurance des risques cybernétiques sont offertes, chacune variant dans son libellé et, parfois, dans sa garantie. L analyse qui suit décrit le type de garantie dont dispose une organisation souscrivant une assurance des risques cybernétiques, notamment les situations qui ne sont probablement pas couvertes par ces polices, ainsi que les questions pertinentes à surveiller. 1. A Chronology of Data Breaches, Privacy Rights Clearinghouse, juin 2013. 2. U.S. Cost of a Data Breach Study, Ponemon Institute, 2009. 3. 2013 Data Breach Investigations Report (DBIR), Verizon Business, avril 2013.

Couverture de base des risques cybernétiques Couverture des risques propres Les polices d assurance des risques cybernétiques couvrent généralement les sinistres subis par l assuré, notamment la perte, le vol ou la divulgation non autorisée de renseignements confidentiels. Cette couverture inclut les frais engagés pour la notification de l atteinte, les relations publiques, la surveillance du crédit, le centre d appels et l enquête judiciaire. En examinant la couverture des risques propres prévue par une police d assurance des risques cybernétiques, un assuré doit porter une attention particulière au libellé qui déclenche cette couverture. Il n est pas rare que les polices d assurance des risques cybernétiques exigent que l assuré soit légalement tenu de notifier les personnes d une atteinte à la sécurité des données personnelles, avant que la couverture n entre en jeu. Toutefois, ce libellé pourrait être problématique au Canada, étant donné que la plupart des lois provinciales sur la protection de la vie privée ne contiennent aucune disposition obligeant la notification des victimes en cas d atteinte à la sécurité des données. Afin que la garantie de la police d assurance des risques cybernétiques soit conforme à la législation canadienne, la couverture des risques propres doit permettre à l assuré de choisir d aviser les personnes d une atteinte à la sécurité des données, même s il n est pas légalement tenu de le faire. Couverture des risques tiers Les polices d assurance des risques cybernétiques couvrent aussi généralement les pertes de tiers provoquées par l assuré, notamment les frais de défense, les dépens et les règlements. Souvent, les atteintes à la sécurité des réseaux qui entraînent des sinistres de tiers impliquent le piratage, les intrusions par logiciel malveillant, un code malveillant ou un cheval de Troie. Cependant, il y a eu des cas prouvés où un assuré a dû faire face à une réclamation en dommages-intérêts lorsqu une clé USB, un ordinateur portatif ou un autre dispositif contenant des renseignements confidentiels ont été perdus. Afin de tenir compte de tous ces scénarios, une police devrait fournir une couverture pour les sinistres subis par un tiers au cas où un assuré «aurait manqué de protéger les renseignements confidentiels». Il n est pas suffisant de préciser qu un «accès non autorisé à des renseignements confidentiels» met en jeu la garantie, car une telle définition ne tient pas compte du scénario qui prévoit la perte d un appareil contenant des renseignements confidentiels ou le vol de documents papier. Caractéristiques supplémentaires de la police d assurance des risques cybernétiques Protection contre les pertes d exploitation Certaines polices d assurance des risques cybernétiques peuvent fournir une protection contre les pertes d exploitation découlant de l interruption ou de l arrêt du système informatique de l assuré à la suite d une atteinte à la sécurité du réseau. Cette couverture est parfois assortie d une franchise distincte. Subsidiairement, certaines polices retarderont la date d entrée en jeu de la couverture suivant une défaillance de la sécurité ou du réseau. Idéalement, un assuré ne devrait pas être assujetti simultanément à une franchise et à une période d attente avant que la couverture des pertes d exploitation ne soit fournie. Même si la durée de la période de couverture varie d une police à l autre (généralement de 60 à 90 jours), de meilleures polices prévoiront une couverture jusqu à ce que le système informatique de l assuré soit entièrement restauré, le délai maximal étant d un an. Les principales variables à examiner dans la couverture des pertes d exploitation sont la durée de la période d attente, le montant de la franchise et la période d assurance. La couverture des pertes d exploitation de base prévue par les polices d assurance des risques cybernétiques n inclut pas la carence des fournisseurs et des clients, qui prévoit une garantie des pertes imputables à une interruption des activités commerciales en raison d une atteinte au système informatique 1 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue

Caractéristiques supplémentaires de la police d assurance des risques cybernétiques d un fournisseur de services tiers. Certains assureurs peuvent proposer cette couverture complémentaire facultativement, mais elle suppose généralement le versement d une prime supplémentaire. Cette couverture est aussi généralement assortie d un sous-montant de garantie et peut être chère et difficile à obtenir en raison du risque pour les assureurs qu une atteinte touchant un important fournisseur de service se répercute simultanément sur de nombreux assurés. Cyberterrorisme Aujourd hui, les cyberattaques parrainés par un État sont l une des sources extérieures d atteinte à la vie privée qui connaissent la plus forte croissance au sein des entreprises. Malheureusement, les polices d assurance des risques cybernétiques n ont pas toutes évolué de manière à reconnaître cette source grandissante de risques; en fait, de nombreuses polices contiennent toujours les exclusions de «guerre» et de «terrorisme», ce qui pourrait influer sur la couverture des pertes découlant de ces attaques. Lorsqu un assuré subit des pertes assurables, l auteur ou la raison de l attaque, à savoir si cette dernière est motivée par des objectifs idéologiques, ne devrait pas importer. Certains assureurs sont disposés à accorder des exceptions à ces exclusions, afin de préciser qu ils n excluent pas la couverture des actes de cyberterrorisme. Ce type d exception devrait être incorporé à chaque police d assurance des risques cybernétiques contenant des exclusions de «guerre», de «terrorisme» ou d autres exclusions similaires. Dans le cours normal des activités, un assuré peut stocker différents types de renseignements confidentiels, lesquels ne se limitent pas aux renseignements personnels des employés et des clients, mais incluent souvent des renseignements confidentiels sur les partenaires commerciaux de l assuré. Pourtant, certaines polices d assurance des risques cybernétiques n incluent que les renseignements personnels dans la définition d «information confidentielle». Cette définition restrictive priverait un assuré de garantie en cas de perte des renseignements organisationnels de nature délicate. Il est à noter qu une police d assurance des risques cybernétiques ne prévoit pas une couverture des risques propres pour les pertes découlant de la divulgation non autorisée des renseignements organisationnels confidentiels de l assuré. En outre, l assuré est souvent contractuellement tenu de protéger les renseignements organisationnels confidentiels des tiers (au moyen d une entente de nondivulgation) pour se prévaloir de la couverture. Idéalement, le libellé de la police inclura la couverture des renseignements organisationnels confidentiels et des renseignements personnels. Toutefois, il est courant que les polices d assurance des risques cybernétiques contiennent des exclusions pour les pertes découlant de la divulgation des secrets commerciaux de tiers, ce qui limiterait le champ d application de la garantie couvrant les renseignements organisationnels confidentiels. Dommages corporels et matériels Quasiment toutes les polices d assurance des risques cybernétiques excluront les dommages corporels et matériels (DC/DM) imputables aux cyberattaques et aux atteintes à la vie privée. Dans certains cas, l exclusion s étend aux sinistres en souffrance morale et en trouble émotif, ou en découlant. Cette large exclusion des DC/DM pourrait être problématique, étant donné qu un demandeur pourrait exiger des dommagesintérêts à plusieurs niveaux, notamment des dommages-intérêts pour souffrance morale et trouble émotif. Par conséquent, il est important que le libellé des exclusions des DC/DM prévoie explicitement une couverture pour les souffrances morales et les troubles émotifs lorsque ceux-ci sont directement imputables à l atteinte et qu il n y a pas de danger physique. Couverture des procédures réglementaires Certaines polices d assurance des risques cybernétiques prévoient une couverture des enquêtes et procédures réglementaires. Toutefois, comme le libellé n est pas uniforme, la couverture de certaines polices est plus robuste que d autres. La majorité des polices incluent la couverture des frais de défense engagés dans le cadre des procédures réglementaires, mais l assortissent à un sous-montant de garantie. Certaines polices plus exhaustives couvriront également les amendes et les sanctions, sous réserve de leur assurabilité en vertu de la loi. La définition des actions réglementaires varie souvent selon la police, et certaines lient les procédures à des poursuites au civil. Néanmoins, un assuré pourrait devoir faire face à diverses procédures réglementaires en vertu de la législation provinciale sur la protection des renseignements personnels. Les pouvoirs du commissaire à la protection de la vie privée varient d une province à l autre, mais dans la plupart des cas, en plus de pouvoir intenter une action civile au nom des victimes, le commissaire peut mener des enquêtes, 2 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue

Caractéristiques supplémentaires de la police d assurance des risques cybernétiques demander des documents, effectuer des audits et rendre des ordonnances qui obligent l assuré à améliorer son système de sécurité et de technologie ou à verser de l argent à un fonds de réparation. Les polices contenant une définition restrictive des procédures réglementaires ne couvriront probablement pas tous les frais juridiques que l assuré devrait assumer pour se défendre dans le cadre d une enquête ou d autres mesures réglementaires que le commissaire à la protection de la vie privée pourrait entreprendre. visant le respect des normes de l industrie des cartes de paiement. Toutefois, les associations qui assurent le respect des normes de l industrie des cartes de paiement tirent leur autorité de contrats et ne répondent probablement pas à la définition d «organisme de réglementation». La police doit séparément prévoir une couverture des amendes, des examens et des autres frais découlant du respect des normes de l industrie des cartes de paiement. En outre, on croit souvent à tort que la couverture des procédures réglementaires portera sur les pertes résultant d une enquête ou de mesures d application de la loi Éléments non inclus dans la couverture Les polices d assurance des risques cybernétiques sont conçues pour fournir une couverture dans de nombreux scénarios d atteinte à la sécurité des données et à la vie privée; toutefois, certaines situations ne sont généralement pas couvertes par ces polices. Par exemple, si un assuré est victime d une atteinte à son système de sécurité de réseau qui entraîne des dommages matériels, les pertes liées à ces dommages ne seront probablement pas couvertes. En outre, la fraude informatique ou les virements frauduleux de fonds, d argent ou de valeurs mobilières suivant une atteinte à la sécurité des réseaux ne seront typiquement pas couverts en vertu des polices d assurance des risques cybernétiques. C est plutôt l assurance contre les détournements qui pourrait couvrir ce type de risques. Enfin, au nombre des autres éléments normalement exclus de cette garantie, citons le coût d installation, de mise à niveau ou de maintien des systèmes informatiques et des programmes de sécurité connexes, tout montant dû ou versé relativement aux biens, aux produits ou aux services de l assuré, y compris les remboursements, les taxes, les amendes, les sanctions et les dommages-intérêts extrajudiciaires, les pertes découlant d une défaillance mécanique ou d erreurs de programmation, et les pertes résultant du contrôle, de la création, du développement ou de la fourniture d un contenu sur un site tiers. Notons toutefois que ce dernier risque peut être couvert par une assurance responsabilité relative aux médias électroniques. 3 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue

Préparé par Jennifer Drake LL.B Service des affaires juridiques et des recherches Coordonnées Brian Rosenbaum, LL. B. Vice-président principal et directeur national Service des affaires juridiques et des recherches 20, rue Bay, Toronto (Ontario) M5J 2N9 tél. : 1.416.868.2411 brian.rosenbaum@aon.ca Kathleen R. Cook, MBA, CPCU 1100, rue 1st S.-E., bureau 400, Calgary (Alberta) T2S 1B1 tél. : 1.403.267.7878 cell. : 1.403.472.0035 kathleen.cook@aon.ca Marie-Frédérique Senécal et directrice de courtage nationale tél : 1.514.840.7820 marie-frederique.senecal@aon.ca Denise Hall et directrice, Ontario tél : 1.416.868.5815 denise.hall@aon.ca Catherine Richmond, LL. B., CRM et directrice régionale tél. : 1.604.443.2429 catherine.richmond@aon.ca Aon Risk Solutions/Conseillers en gestion des risques Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue 4

À propos d Aon Aon plc (NYSE : AON) est le principal fournisseur mondial de services de gestion des risques, de courtage d assurance et de réassurance, et de consultation et d impartition en capital humain. Par l entremise de plus de 66 000 employés dans le monde, de ses ressources mondiales de premier ordre et de ses compétences techniques, Aon s unit pour aider ses clients dans plus de 120 pays à atteindre les résultats escomptés au moyen de solutions novatrices et efficaces visant la gestion des risques et des effectifs. Aon a été nommée à maintes reprises meilleur courtier au monde, meilleur intermédiaire en assurance, meilleur intermédiaire en réassurance, meilleur gestionnaire de captives et meilleur cabinet conseil en avantages sociaux par de multiples sources dans son secteur. Pour en savoir plus au sujet d Aon, visitez le site www.aon.com. Pour en savoir plus sur le partenariat mondial d Aon avec le club Manchester United, visitez le site www. aon.com/manchesterunited. Aon Reed Stenhouse 2015. Cette publication contient des renseignements généraux et ne vise pas à fournir un aperçu des garanties. L information n est pas destinée à constituer des conseils juridiques ou professionnels. Reportez-vous au libellé de la police d assurance pour vous familiariser avec les modalités, conditions, exclusions et limitations réelles de l assurance. Pour obtenir des renseignements plus précis sur la façon dont nous pouvons vous aider, communiquez avec Aon Reed Stenhouse Inc.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back