Aon Risk Solutions/Conseillers en gestion des risques Assurance des risques cybernétiques Une solution de transfert du risque pour répondre à une responsabilité accrue Janvier 2015
Introduction La fréquence et la gravité des cyberattaques et des atteintes à la vie privée s intensifient. De nouvelles atteintes sont signalées dans le monde entier pratiquement chaque semaine, plus de 600 millions de dossiers aux États-Unis contenant des renseignements personnels étant touchés par une atteinte à la sécurité depuis 2005 1. L institut Ponemon a évalué le coût moyen d une atteinte à la sécurité des données pour des entreprises américaines à plus de 200 $ par dossier compromis en 2009 2. Bien qu il y ait une prise de conscience croissante des risques cybernétiques que de nombreuses entreprises prennent des mesures pour mettre à jour leurs systèmes de sécurité informatique, le nombre d atteintes à la sécurité qui restent inconnues pendant 6 mois ou plus continue d augmenter chaque année 3. En conséquence, la cybersécurité et la sécurité des renseignements personnels occupent le premier rang des préoccupations en matière de risques des entreprises. Les statistiques indiquent que même les systèmes de sécurité de pointe ne sont pas infaillibles, comme en témoignent un nombre croissant d organisations. Par conséquent, les organisations se tournent également vers les polices d assurance des risques cybernétiques, afin de transférer leurs risques. Diverses polices d assurance des risques cybernétiques sont offertes, chacune variant dans son libellé et, parfois, dans sa garantie. L analyse qui suit décrit le type de garantie dont dispose une organisation souscrivant une assurance des risques cybernétiques, notamment les situations qui ne sont probablement pas couvertes par ces polices, ainsi que les questions pertinentes à surveiller. 1. A Chronology of Data Breaches, Privacy Rights Clearinghouse, juin 2013. 2. U.S. Cost of a Data Breach Study, Ponemon Institute, 2009. 3. 2013 Data Breach Investigations Report (DBIR), Verizon Business, avril 2013.
Couverture de base des risques cybernétiques Couverture des risques propres Les polices d assurance des risques cybernétiques couvrent généralement les sinistres subis par l assuré, notamment la perte, le vol ou la divulgation non autorisée de renseignements confidentiels. Cette couverture inclut les frais engagés pour la notification de l atteinte, les relations publiques, la surveillance du crédit, le centre d appels et l enquête judiciaire. En examinant la couverture des risques propres prévue par une police d assurance des risques cybernétiques, un assuré doit porter une attention particulière au libellé qui déclenche cette couverture. Il n est pas rare que les polices d assurance des risques cybernétiques exigent que l assuré soit légalement tenu de notifier les personnes d une atteinte à la sécurité des données personnelles, avant que la couverture n entre en jeu. Toutefois, ce libellé pourrait être problématique au Canada, étant donné que la plupart des lois provinciales sur la protection de la vie privée ne contiennent aucune disposition obligeant la notification des victimes en cas d atteinte à la sécurité des données. Afin que la garantie de la police d assurance des risques cybernétiques soit conforme à la législation canadienne, la couverture des risques propres doit permettre à l assuré de choisir d aviser les personnes d une atteinte à la sécurité des données, même s il n est pas légalement tenu de le faire. Couverture des risques tiers Les polices d assurance des risques cybernétiques couvrent aussi généralement les pertes de tiers provoquées par l assuré, notamment les frais de défense, les dépens et les règlements. Souvent, les atteintes à la sécurité des réseaux qui entraînent des sinistres de tiers impliquent le piratage, les intrusions par logiciel malveillant, un code malveillant ou un cheval de Troie. Cependant, il y a eu des cas prouvés où un assuré a dû faire face à une réclamation en dommages-intérêts lorsqu une clé USB, un ordinateur portatif ou un autre dispositif contenant des renseignements confidentiels ont été perdus. Afin de tenir compte de tous ces scénarios, une police devrait fournir une couverture pour les sinistres subis par un tiers au cas où un assuré «aurait manqué de protéger les renseignements confidentiels». Il n est pas suffisant de préciser qu un «accès non autorisé à des renseignements confidentiels» met en jeu la garantie, car une telle définition ne tient pas compte du scénario qui prévoit la perte d un appareil contenant des renseignements confidentiels ou le vol de documents papier. Caractéristiques supplémentaires de la police d assurance des risques cybernétiques Protection contre les pertes d exploitation Certaines polices d assurance des risques cybernétiques peuvent fournir une protection contre les pertes d exploitation découlant de l interruption ou de l arrêt du système informatique de l assuré à la suite d une atteinte à la sécurité du réseau. Cette couverture est parfois assortie d une franchise distincte. Subsidiairement, certaines polices retarderont la date d entrée en jeu de la couverture suivant une défaillance de la sécurité ou du réseau. Idéalement, un assuré ne devrait pas être assujetti simultanément à une franchise et à une période d attente avant que la couverture des pertes d exploitation ne soit fournie. Même si la durée de la période de couverture varie d une police à l autre (généralement de 60 à 90 jours), de meilleures polices prévoiront une couverture jusqu à ce que le système informatique de l assuré soit entièrement restauré, le délai maximal étant d un an. Les principales variables à examiner dans la couverture des pertes d exploitation sont la durée de la période d attente, le montant de la franchise et la période d assurance. La couverture des pertes d exploitation de base prévue par les polices d assurance des risques cybernétiques n inclut pas la carence des fournisseurs et des clients, qui prévoit une garantie des pertes imputables à une interruption des activités commerciales en raison d une atteinte au système informatique 1 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue
Caractéristiques supplémentaires de la police d assurance des risques cybernétiques d un fournisseur de services tiers. Certains assureurs peuvent proposer cette couverture complémentaire facultativement, mais elle suppose généralement le versement d une prime supplémentaire. Cette couverture est aussi généralement assortie d un sous-montant de garantie et peut être chère et difficile à obtenir en raison du risque pour les assureurs qu une atteinte touchant un important fournisseur de service se répercute simultanément sur de nombreux assurés. Cyberterrorisme Aujourd hui, les cyberattaques parrainés par un État sont l une des sources extérieures d atteinte à la vie privée qui connaissent la plus forte croissance au sein des entreprises. Malheureusement, les polices d assurance des risques cybernétiques n ont pas toutes évolué de manière à reconnaître cette source grandissante de risques; en fait, de nombreuses polices contiennent toujours les exclusions de «guerre» et de «terrorisme», ce qui pourrait influer sur la couverture des pertes découlant de ces attaques. Lorsqu un assuré subit des pertes assurables, l auteur ou la raison de l attaque, à savoir si cette dernière est motivée par des objectifs idéologiques, ne devrait pas importer. Certains assureurs sont disposés à accorder des exceptions à ces exclusions, afin de préciser qu ils n excluent pas la couverture des actes de cyberterrorisme. Ce type d exception devrait être incorporé à chaque police d assurance des risques cybernétiques contenant des exclusions de «guerre», de «terrorisme» ou d autres exclusions similaires. Dans le cours normal des activités, un assuré peut stocker différents types de renseignements confidentiels, lesquels ne se limitent pas aux renseignements personnels des employés et des clients, mais incluent souvent des renseignements confidentiels sur les partenaires commerciaux de l assuré. Pourtant, certaines polices d assurance des risques cybernétiques n incluent que les renseignements personnels dans la définition d «information confidentielle». Cette définition restrictive priverait un assuré de garantie en cas de perte des renseignements organisationnels de nature délicate. Il est à noter qu une police d assurance des risques cybernétiques ne prévoit pas une couverture des risques propres pour les pertes découlant de la divulgation non autorisée des renseignements organisationnels confidentiels de l assuré. En outre, l assuré est souvent contractuellement tenu de protéger les renseignements organisationnels confidentiels des tiers (au moyen d une entente de nondivulgation) pour se prévaloir de la couverture. Idéalement, le libellé de la police inclura la couverture des renseignements organisationnels confidentiels et des renseignements personnels. Toutefois, il est courant que les polices d assurance des risques cybernétiques contiennent des exclusions pour les pertes découlant de la divulgation des secrets commerciaux de tiers, ce qui limiterait le champ d application de la garantie couvrant les renseignements organisationnels confidentiels. Dommages corporels et matériels Quasiment toutes les polices d assurance des risques cybernétiques excluront les dommages corporels et matériels (DC/DM) imputables aux cyberattaques et aux atteintes à la vie privée. Dans certains cas, l exclusion s étend aux sinistres en souffrance morale et en trouble émotif, ou en découlant. Cette large exclusion des DC/DM pourrait être problématique, étant donné qu un demandeur pourrait exiger des dommagesintérêts à plusieurs niveaux, notamment des dommages-intérêts pour souffrance morale et trouble émotif. Par conséquent, il est important que le libellé des exclusions des DC/DM prévoie explicitement une couverture pour les souffrances morales et les troubles émotifs lorsque ceux-ci sont directement imputables à l atteinte et qu il n y a pas de danger physique. Couverture des procédures réglementaires Certaines polices d assurance des risques cybernétiques prévoient une couverture des enquêtes et procédures réglementaires. Toutefois, comme le libellé n est pas uniforme, la couverture de certaines polices est plus robuste que d autres. La majorité des polices incluent la couverture des frais de défense engagés dans le cadre des procédures réglementaires, mais l assortissent à un sous-montant de garantie. Certaines polices plus exhaustives couvriront également les amendes et les sanctions, sous réserve de leur assurabilité en vertu de la loi. La définition des actions réglementaires varie souvent selon la police, et certaines lient les procédures à des poursuites au civil. Néanmoins, un assuré pourrait devoir faire face à diverses procédures réglementaires en vertu de la législation provinciale sur la protection des renseignements personnels. Les pouvoirs du commissaire à la protection de la vie privée varient d une province à l autre, mais dans la plupart des cas, en plus de pouvoir intenter une action civile au nom des victimes, le commissaire peut mener des enquêtes, 2 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue
Caractéristiques supplémentaires de la police d assurance des risques cybernétiques demander des documents, effectuer des audits et rendre des ordonnances qui obligent l assuré à améliorer son système de sécurité et de technologie ou à verser de l argent à un fonds de réparation. Les polices contenant une définition restrictive des procédures réglementaires ne couvriront probablement pas tous les frais juridiques que l assuré devrait assumer pour se défendre dans le cadre d une enquête ou d autres mesures réglementaires que le commissaire à la protection de la vie privée pourrait entreprendre. visant le respect des normes de l industrie des cartes de paiement. Toutefois, les associations qui assurent le respect des normes de l industrie des cartes de paiement tirent leur autorité de contrats et ne répondent probablement pas à la définition d «organisme de réglementation». La police doit séparément prévoir une couverture des amendes, des examens et des autres frais découlant du respect des normes de l industrie des cartes de paiement. En outre, on croit souvent à tort que la couverture des procédures réglementaires portera sur les pertes résultant d une enquête ou de mesures d application de la loi Éléments non inclus dans la couverture Les polices d assurance des risques cybernétiques sont conçues pour fournir une couverture dans de nombreux scénarios d atteinte à la sécurité des données et à la vie privée; toutefois, certaines situations ne sont généralement pas couvertes par ces polices. Par exemple, si un assuré est victime d une atteinte à son système de sécurité de réseau qui entraîne des dommages matériels, les pertes liées à ces dommages ne seront probablement pas couvertes. En outre, la fraude informatique ou les virements frauduleux de fonds, d argent ou de valeurs mobilières suivant une atteinte à la sécurité des réseaux ne seront typiquement pas couverts en vertu des polices d assurance des risques cybernétiques. C est plutôt l assurance contre les détournements qui pourrait couvrir ce type de risques. Enfin, au nombre des autres éléments normalement exclus de cette garantie, citons le coût d installation, de mise à niveau ou de maintien des systèmes informatiques et des programmes de sécurité connexes, tout montant dû ou versé relativement aux biens, aux produits ou aux services de l assuré, y compris les remboursements, les taxes, les amendes, les sanctions et les dommages-intérêts extrajudiciaires, les pertes découlant d une défaillance mécanique ou d erreurs de programmation, et les pertes résultant du contrôle, de la création, du développement ou de la fourniture d un contenu sur un site tiers. Notons toutefois que ce dernier risque peut être couvert par une assurance responsabilité relative aux médias électroniques. 3 Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue
Préparé par Jennifer Drake LL.B Service des affaires juridiques et des recherches Coordonnées Brian Rosenbaum, LL. B. Vice-président principal et directeur national Service des affaires juridiques et des recherches 20, rue Bay, Toronto (Ontario) M5J 2N9 tél. : 1.416.868.2411 brian.rosenbaum@aon.ca Kathleen R. Cook, MBA, CPCU 1100, rue 1st S.-E., bureau 400, Calgary (Alberta) T2S 1B1 tél. : 1.403.267.7878 cell. : 1.403.472.0035 kathleen.cook@aon.ca Marie-Frédérique Senécal et directrice de courtage nationale tél : 1.514.840.7820 marie-frederique.senecal@aon.ca Denise Hall et directrice, Ontario tél : 1.416.868.5815 denise.hall@aon.ca Catherine Richmond, LL. B., CRM et directrice régionale tél. : 1.604.443.2429 catherine.richmond@aon.ca Aon Risk Solutions/Conseillers en gestion des risques Assurance des risques cybernétiques : Une solution de transfert du risque pour répondre à une responsabilité accrue 4
À propos d Aon Aon plc (NYSE : AON) est le principal fournisseur mondial de services de gestion des risques, de courtage d assurance et de réassurance, et de consultation et d impartition en capital humain. Par l entremise de plus de 66 000 employés dans le monde, de ses ressources mondiales de premier ordre et de ses compétences techniques, Aon s unit pour aider ses clients dans plus de 120 pays à atteindre les résultats escomptés au moyen de solutions novatrices et efficaces visant la gestion des risques et des effectifs. Aon a été nommée à maintes reprises meilleur courtier au monde, meilleur intermédiaire en assurance, meilleur intermédiaire en réassurance, meilleur gestionnaire de captives et meilleur cabinet conseil en avantages sociaux par de multiples sources dans son secteur. Pour en savoir plus au sujet d Aon, visitez le site www.aon.com. Pour en savoir plus sur le partenariat mondial d Aon avec le club Manchester United, visitez le site www. aon.com/manchesterunited. Aon Reed Stenhouse 2015. Cette publication contient des renseignements généraux et ne vise pas à fournir un aperçu des garanties. L information n est pas destinée à constituer des conseils juridiques ou professionnels. Reportez-vous au libellé de la police d assurance pour vous familiariser avec les modalités, conditions, exclusions et limitations réelles de l assurance. Pour obtenir des renseignements plus précis sur la façon dont nous pouvons vous aider, communiquez avec Aon Reed Stenhouse Inc.