Les entreprises québécoises n'échappent pas au phénomène grandissant de la cybercriminalité. À défaut d'y échapper, elles feraient bien de considérer l'option d'assurer ce risque du XXIe siècle pour éviter de se retrouver avec d'éventuelles poursuites ruineuses.
«C'est une réalité, et il faudra en tenir compte au cours des prochaines années», affirme Lyne Benoît, vice-présidente spécialisée en responsabilité des administrateurs et dirigeants chez BFL Canada.
Les assureurs semblent avoir prévu le coup. Au cours des trois dernières années, une dizaine de compagnies d'assurance partout au pays ont ainsi "raffiné" ce type de protection, constate la vice-présidente.
On continue de s'assurer contre le feu, le vol et la perte d'affluence liée à un sinistre. Mais on prend désormais une police d'assurance responsabilité contre les cybercrimes.
La cybercriminalité, selon la définition sur Wikipédia, est «une notion large qui regroupe toutes les infractions pénales susceptibles de se commettre sur ou au moyen d'un système informatique généralement connecté à un réseau».
Rien à voir avec la criminalité conventionnelle...
Une notion abstraite
Lyne Benoît constate toutefois que cette nouvelle criminalité demeure «une notion abstraite» pour bon nombre de ses clients. «Nous avons encore beaucoup d'éducation à faire pour les sensibiliser aux risques liés au piratage de leurs systèmes informatiques, fait-elle observer. Nous leur disons que c'est leur réputation qui est en jeu lorsque surviennent de tels événements malheureux qui éclaboussent parfois leurs propres clients.»
Elle ne dispose pas de statistiques pour mesurer avec exactitude l'ampleur de cette nouvelle menace. Toutefois, en Belgique, où la cybercriminalité explose littéralement, plus de 2000 cyberincidents ont été rapportés par 350 entreprises ou organisations depuis 6 mois, d'après les données de la Cyber Emergency Response Team (CERT). Cette organisation soutenue par le gouvernement fédéral pourchasse les pirates informatiques jusque dans leurs derniers retranchements.
Une des solutions proposées aux entreprises infiltrées: transférer le risque à un assureur pour ne pas avoir à assumer les coûts liés aux dommages subis. Sans parler des heures consacrées à trouver comment le pirate a réussi à déjouer leurs systèmes informatiques.
«Il reste encore beaucoup de travail de sensibilisation à faire, reconnaît Lyne Benoît. Les chefs d'entreprise ont encore tendance à minimiser les risques associés à la cybercriminalité, parfois parce qu'ils ne disposent pas de toute l'information nécessaire pour faire un constat réaliste. Par exemple, si on demande au dirigeant d'entreprise si les systèmes informatiques sont vulnérables, il s'en remettra à ce que son gars à l'informatique lui a dit. Il aura le faux sentiment que son système est sécuritaire.»
Elle ajoute: «Nous vivons dans un environnement où l'informatique est présente partout. On va sur Google pour trouver un client ou un produit, on règle ses factures sur l'internet, on sauvegarde toutes nos données de façon électronique. On met tout sur un nuage, qui est comme une copropriété. Or, ce n'est pas parce qu'on est sur un nuage qu'on ne risque pas de se faire défoncer. Quelqu'un peut entrer dans la bâtisse, avoir accès à nos données et faire des ravages.»
Et que se passe-t-il quand le criminel s'infiltre dans notre système et s'empare de données confidentielles?
«Il n'y a pas, au Canada, d'obligation légale d'en faire la divulgation. Il n'y a pas de loi qui exige d'informer les autorités s'il y a eu bris dans le système, contrairement aux États-Unis où les règles sont extrêmement sévères et prévoient des pénalités importantes.»
Que faire alors pour éviter de se retrouver au coeur d'une tempête informatique après un vol comprenant des données de première main?
«Je ne peux que conseiller à mes clients de s'assurer en conséquence», répond simplement la vice-présidente du courtier en assurances.