Attaques informatiques Les primes d’assurance explosent

INFOGRAPHIE LA PRESSE

Les cybercriminels coûtent cher aux entreprises, et pas seulement en rançons. Depuis deux ans, les primes d’assurance cyberrisques ont littéralement explosé, tandis que les assureurs échaudés sont plus pointilleux que jamais.

Publié le 19 nov. 2022

Karim Benessaieh La Presse

« Au niveau financier, ç’a été un film d’horreur »

Perçue il y a quelques années comme le produit d’avenir, la cyberassurance est plutôt devenue un boulet peu rentable pour les assureurs. Coincées entre les cybercriminels plus actifs et plus gourmands que jamais et la rareté des assurances offertes, les entreprises doivent quant à elles jongler avec des hausses considérables de primes et des critères d’admission resserrés. Le marché est « en sérieuse période de correction », constatent des experts.

Tous les professionnels interrogés par La Presse ont observé que les primes d’assurance cyberrisques avaient considérablement augmenté depuis au moins deux ans, un phénomène encore peu documenté pour lequel on ne dispose pas de statistiques globales.

« Dans certains cas, on parle de hausses d’au-delà de 100 % », note Imran Ahmad, chef, technologies et cybersécurité, au cabinet Norton Rose Fulbright Canada.

La Fédération canadienne de l’entreprise indépendante (FCEI) et le Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ) préparent actuellement des études sur ce sujet. Le président sortant de ce dernier organisme, Jean-Pierre Tardif, en connaît un bout : en un an, la prime d’assurance cyberrisques de son cabinet, Assurancia Groupe Tardif de Thetford Mines, est passée de 14 000 $ à 32 000 $, une hausse de 129 %. « Au niveau financier, ç’a été plus qu’un film d’horreur », résume-t-il.

Même constat à la Société de transport de Montréal (STM), où on a subi « une hausse importante de [la] prime avec une réduction de la couverture », précise par courriel le porte-parole Philippe Déry.

PHOTO ROBERT SKINNER, ARCHIVES LA PRESSE

Le tout ne serait pas lié au fait que nous ayons été victimes d’une cyberattaque dans le passé, puisque cette tendance s’observerait partout dans les grandes sociétés, selon les échanges que nous avons avec nos homologues.

Philippe Déry, porte-parole de la STM

Dix pages de questions

À ces primes en hausse s’ajoute un nouveau phénomène : les assureurs se montrent maintenant plus difficiles et vont parfois refuser les entreprises jugées trop à risque.

Chez CFC, établi à Londres et qui compte 10 000 clients au Canada, on pousse par exemple l’enquête plus loin en ratissant le web clandestin (dark web) pour voir si l’entreprise a déjà été victime d’une fuite de données. « Nous avons 135 personnes qui se consacrent spécifiquement à la cybersécurité », explique au bout du fil Lindsey Nelson, responsable du cyberdéveloppement.

La Presse a pu consulter le formulaire maintenant exigé par deux assureurs importants en cyberrisques, Beazley et Zurich, qui comptent respectivement 5 et 10 pages. Tests d’intrusion, vérification des antécédents judiciaires des employés, politique de destruction des données, authentification à double facteur, tout est passé en revue par une centaine de questions.

La souscription à une assurance cyberrisques est très serrée, simplement obtenir une soumission est difficile. Les assureurs sont sélectifs, ils vont prioriser les dossiers bien présentés.

Mathieu Brunet, ex-président du Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ)

Les raisons

Ce n’est que depuis 2015 que le Bureau du surintendant des institutions financières compile de façon distincte les assurances cyberrisques. En sept ans, le nombre de polices en vigueur au Canada est passé de 620 à 131 361. Les assureurs considérés comme canadiens représentent 96 % du marché.

En parallèle, le nombre de réclamations a suivi une courbe ascendante, passant de 2601 en 2015 à 28 083 au deuxième trimestre de 2022.

Enfin, on comprend mieux la réticence des assureurs quand on compile ce qu’on appelle le « taux de sinistres » depuis 2015. Il s’agit du ratio brut entre les indemnités versées et les primes encaissées. À ce ratio s’ajoutent tous les frais d’administration. « Pour qu’une assurance soit rentable, elle doit être en dessous de 60 % », explique Walid Khayate, directeur de pratique conseil en gestion intégrée des risques et cyberrisques chez BFL Canada, un des trois plus importants courtiers au pays.

« Sérieuse correction »

Au Bureau d’assurance du Canada, on estime que le ratio net, qui additionne les indemnités et les frais d’exploitation, s’établit plus précisément à 230 % depuis trois ans.

« Pour chaque dollar de prime demandé, les assureurs ont déboursé 2,30 $ », résume Anne Morin, porte-parole. Les assureurs doivent notamment assumer la perte de productivité, le remplacement du matériel informatique, les actions collectives et même le remboursement de la rançon, une solution choisie par 58 % des entreprises touchées pour un coût moyen de 458 200 $, selon un sondage commandé en 2021 par Palo Alto Networks.

En 2018, on voyait des rançons de 300 000 $, maximum. Maintenant, n’importe quel dossier monte à 2 ou 5 millions, ça peut aller jusqu’à 40 millions, même si c’est rare.

Imran Ahmad, chef, technologies et cybersécurité, au cabinet Norton Rose Fulbright Canada

En résumé, offrir une assurance cyberrisques n’est plus rentable, et ne l’a été que trois fois depuis 2015. D’où la hausse fulgurante des primes exigées depuis deux ans. « Le marché au Canada est en sérieuse période de correction, note Lindsey Nelson, de CFC. Les attaques coûtent maintenant des centaines de millions de dollars dans le monde. »

Décevant eldorado

Présentée il y a quelques années, notamment par la firme Standard & Poor’s, comme le produit qui sera le plus important d’ici 2030, l’assurance cyberrisques a provoqué une avalanche d’offres d’assureurs relayées par les courtiers. « On est passé des Esso et Walmart à des actifs plus intangibles, basés sur le numérique », explique Walid Khayate, de BFL Canada.

La pandémie, qui a accéléré la numérisation des entreprises et généralisé le télétravail, les cyberattaques en hausse ainsi que des réglementations gouvernementales qui rendent les entreprises plus vulnérables aux poursuites ont chamboulé cette industrie.

Les assureurs étaient « un peu trop motivés, et pas très outillés » pour ce nouveau marché pour lequel on ne disposait pas d’historique, note-t-il. « Ils ont eu un réveil, ils ne pouvaient plus supporter les pertes. C’est complexe pour tout le monde, les données sont partielles, et en cybersécurité, ce qui arrive dans le passé n’est pas déterminant pour le futur. Les vecteurs d’attaque changent, un système qui avait 50 000 vulnérabilités ne sera plus là dans trois ans. »

Dans une version précédente, Jean-Pierre Tardif était présenté comme l’ex-président du Regroupement des cabinets de courtage d’assurance du Québec. Il en était en fait au moment de l’entrevue le président sortant. Quand à Mathieu Brunet, présenté comme le président, il en était en fait l’ex-président. Nos excuses.

21 %

Plus d’une entreprise sur cinq comptant moins de 500 employés au Canada a déclaré avoir été victime d’une cyberattaque en 2021.

Source : Bureau d’assurance du Canada, sondage Léger

279 millions

Somme versée en indemnités de cyberresponsabilité au Canada en 2021. C’était 24,4 millions en 2015.

Source : Bureau d’assurance du Canada

24 %

Proportion des entreprises ayant souscrit à une assurance cyberrisques, intégrée à une couverture globale ou, dans 15 % des cas, à la pièce.

Source : Bureau d’assurance du Canada, sondage Léger août 2021

Des assureurs refroidis

Constat troublant, bien des organismes publics et parapublics trouvent difficilement une assurance cyberrisques à prix raisonnable.

« Chubb, un des plus gros assureurs au Canada, ne touche plus à certains secteurs, comme les écoles, les cégeps, les hôpitaux », révèle Walid Khayate, chez BFL Canada. « Ils n’aiment pas ça : ces organismes ont beaucoup de données et c’est souvent mal géré. »

Les cégeps, par exemple, doivent conserver leurs dossiers d’élèves, contenant parfois des données hautement confidentielles, pendant 35 ans. « Un responsable de cégep me disait récemment que les cyberattaques viennent souvent de leurs propres élèves, qui se font la main à essayer de percer le système… »

L’Union des municipalités du Québec (UMQ) a trouvé une parade intéressante, qui l’a mise provisoirement à l’abri de l’inflation des primes et du manque d’intérêt des assureurs : un regroupement pour des assurances cyberrisques dont les conditions ont été établies à l’issue d’un appel d’offres, de 2019 à 2024. Au total, 102 municipalités, « de toutes les tailles, mais surtout entre 20 000 et 60 000 habitants », y ont adhéré, indique Patrick Lemieux, porte-parole de l’UMQ.

L’avantage qu’on a, et c’est pour ça qu’on a suscité l’intérêt, c’est notre pouvoir d’achat et la capacité de négociation que permet le regroupement. Ça fait en sorte que c’est plus intéressant pour un assureur que si une municipalité y va en solo.

Patrick Lemieux, porte-parole de l’UMQ

Sévères, mais aidants

Les primes en hausse sont souvent conjuguées avec des couvertures et des montants réduits, et on encourage les clients à opter pour des franchises plus élevées qu’ils devront assumer en cas d’incident.

Les petites et moyennes entreprises sont particulièrement touchées, rapporte Michel Leonard, économiste en chef à l’Insurance Information Institute, établi à New York. « Ces compagnies sont soudainement plus conscientes des risques, elles cherchent une couverture, mais la demande croît plus rapidement que la capacité. C’est aussi pour cela que les primes ont plus que doublé. »

Le fait que les assureurs soient rendus plus pointilleux n’a pas que des inconvénients, estime Lindsey Nelson, de CFC. C’est qu’ils offrent maintenant des services en amont permettant de renforcer la cybersécurité de leurs clients. « Comme cyberassureur, bien sûr qu’on est intéressé à avoir moins de réclamations, autant que nos clients qui veulent subir moins d’attaques, explique-t-elle. Nous avons prévenu 12 000 attaques dans les deux dernières années. »

Pour Walid Khayate, il s’agit de « la bonne approche », où assureurs et clients trouvent leur compte.

La majorité des assureurs font même des scans de vulnérabilité, font des tests de pénétration dans les entreprises, demandent de segmenter les réseaux WiFi qui sont souvent si mal protégés.

Walid Khayate, directeur de pratique conseil en gestion intégrée des risques et cyberrisques chez BFL Canada

Les assureurs ont de plus la capacité technique d’intervenir en cas de cyberattaque, qui fait souvent défaut aux plus petites entreprises. « Les clients qui n’ont pas de cyberassurance me posent souvent la question : qui dois-je appeler en cas d’incident ? Un ami TI, mon cabinet d’avocats ? rapporte Imran Ahmad, de Norton Rose Fulbright Canada. Avec un assureur, on a tous les fournisseurs de services, un package qu’on peut utiliser instantanément. »

À lire dimanche : « Identité numérique : une solution, mille interrogations », un dossier de Nicolas Bérubé dans la section Contexte.

Entreprises En continu

Entreprises

Malgré l’ultimatum américain La maison-mère de TikTok n’a pas l’intention de vendre l’application

(Pékin) La maison-mère chinoise de TikTok, ByteDance, a annoncé jeudi n’avoir aucune intention de vendre son application malgré une nouvelle loi américaine qui l’oblige à couper ses liens avec le réseau social sous peine d’interdiction aux États-Unis.

Publié à 22h20
Entreprises

Premier trimestre Snapchat reprend son souffle

(San Francisco) Snap, la maison mère de Snapchat, a vu son chiffre d’affaires décoller au premier trimestre, à près de 1,2 milliard de dollars, un rebond inattendu pour le réseau social plébiscité par les adolescents, mais qui peine à séduire les annonceurs.

Publié à 21h48
Entreprises

Les investissements dans l’IA riment avec bénéfices, assurent Google et Microsoft

(San Francisco) Google et Microsoft ont fait plaisir aux investisseurs jeudi avec des profits conséquents, supérieurs aux attentes, et surtout des perspectives optimistes sur leur capacité à générer des revenus de leurs investissements massifs dans l’intelligence artificielle (IA).

Publié à 16h28 Mis à jour à 19h48
Entreprises

Premier trimestre TFI International annonce une baisse de ses bénéfices

(Montréal) TFI International affirme que son bénéfice net pour le premier trimestre s’est élevé à 92,8 millions US, en baisse par rapport aux 111,9 millions US un an plus tôt.

Publié à 19h08
Entreprises

Les prévisions d’Intel déçoivent

(New York) Le fabricant américain de semi-conducteurs Intel a publié, jeudi, une perte nette au premier trimestre, assortie de prévisions pour la période en cours qui ont hérissé le marché, provoquant une chute de l’action.

Publié à 18h13
Entreprises

Trans Mountain entraîne une hausse de la demande de forage, selon Precision Drilling

(Calgary) La finalisation de l’expansion de l’oléoduc Trans Mountain entraîne une explosion de la demande de services de forage, affirme Kevin Neveu, chef de la direction de Precision Drilling.

Publié à 17h09
Entreprises

Premier trimestre Alphabet excelle avec 23,7 milliards de dollars de profits

(San Francisco) Alphabet, la maison mère de Google, a réalisé un chiffre d’affaires de plus de 80 milliards de dollars au premier trimestre, dont elle a dégagé 23,7 milliards de bénéfice net, d’après son communiqué de résultats publié jeudi, deux résultats bien supérieurs aux attentes du marché.

Publié à 16h32
Entreprises

Teck Resources voit sa production de cuivre s’accroître

Teck Resources a vu sa production de cuivre augmenter au premier trimestre par rapport à l’année précédente alors que son projet d’agrandissement de Quebrada Blanca s’est accéléré vers la pleine production.

Publié à 11h02 Mis à jour à 15h36
Entreprises

Bombardier Croissance des commandes, mais baisse des revenus

Sous l’aile d’un nouveau logo, Bombardier a fait état jeudi d’une croissance de son carnet de commandes au premier trimestre alors même que la demande mondiale d’avions d’affaires ralentissait.

Publié à 8h15 Mis à jour à 13h54
Entreprises

Le bénéfice net de Airbus grimpe de 28 % au premier trimestre

(Paris) Le bénéfice net d’Airbus a grimpé de 28 % au premier trimestre 2024, à 595 millions d’euros (872 millions de dollars canadiens), reflétant l’augmentation de la livraison d’avions par l’avionneur, engagé dans une forte remontée en cadence de sa production.

Publié à 12h46
Entreprises

Industrie minière BHP veut racheter Anglo American pour 38,8 milliards US

(Londres) Le géant minier australien BHP veut racheter son rival britannique Anglo American pour 38,8 milliards de dollars, ce qui représenterait l’un des plus gros mariages du secteur depuis des années et créerait le principal producteur de cuivre au monde.

Publié à 6h27 Mis à jour à 7h44
Entreprises

Hausse de 43 % des plaintes en télécoms

Le nombre de plaintes des consommateurs canadiens pour leurs services de télécommunications a augmenté de 43 % pour la fin de l’année 2023, une situation qualifiée de « préoccupante » par la Commission des plaintes relatives aux services de télécom-télévision (CPRST).

Publié à 2h05 Mis à jour à 6h00
Entreprises

Premier trimestre Ford fait mieux qu’attendu, marqué par un repli dans les véhicules électriques

(New York) Le constructeur automobile américain Ford a publié mercredi des résultats contrastés au premier trimestre, dépassant les attentes des analystes avec son bénéfice par action qui est la variable qu’ils affectionnent le plus.

Publié hier à 19h05
Entreprises

Meta double ses profits, mais ses investissements dans l’IA inquiètent

(San Francisco) Meta, la maison mère de Facebook, Instagram et WhatsApp, a doublé son bénéfice net au premier trimestre, mais le coût de plus en plus élevé de ses investissements dans l’intelligence artificielle (IA) inquiète Wall Street.

Publié hier à 17h29
Entreprises

Les fortes ventes dans les pharmacies Brunet et Jean Coutu stimulent Metro

Les ventes des pharmacies Jean Coutu et Brunet ont été vigoureuses pendant l’hiver grâce à la saison grippale, au nouveau programme de fidélité « Moi » et à une nouvelle stratégie de marchandisation.

Publié hier à 15h27
Entreprises

Rogers Communications annonce une chute de 50 % de son bénéfice

(Toronto) Rogers Communications a rapporté un bénéfice de 256 millions au premier trimestre, en baisse par rapport à 511 millions il y a un an, alors que l’entreprise a dû faire face à des coûts plus élevés liés à ses efforts d’acquisition et de restructuration de Shaw Communications.

Publié hier à 13h33