Par: Naomi Grosman    |    Temps de lecture : 16 min

Dans le présent numéro, nous examinons la manière dont le milieu de l’assurance de dommages anticipe les cybermenaces envers les organisations et leur clientèle, s’y prépare et y réagit.

La cyberassurance des entreprises : tendances et garanties

Dans le cadre de la négociation d’un contrat, une entreprise échange de multiples courriels avec un fournisseur en vue de déterminer le coût d’acquisition d’un produit. Après entente, l’entreprise effectue un virement de 1,6 million de dollars au fournisseur.

Trente jours plus tard, le fournisseur communique avec l’entreprise pour l’aviser que le paiement est dû : « Vous n’avez pas viré les fonds. »

L’entreprise, étonnée, dément cette affirmation : « Oui, nous avons fait le paiement. »

À l’insu des deux parties, un tiers avait infiltré les négociations en accédant d’une manière complètement indétectable aux boîtes de courriels.

” Organizations with under 1,000 employees account for up to 77% of ransomware attacks.” Ady Sharma, Aon

Au fil de l’échange de courriels, le tiers avait modifié les coordonnées bancaires, empêché le fournisseur d’envoyer le véritable contrat et fait signer un contrat trafiqué aux deux parties.

Voilà un exemple réel d’une cyberintrusion misant sur le piratage psychologique, laquelle a mené à la plus importante réclamation du genre dont a dû s’occuper Neal Jardine, directeur, Service des renseignements sur les cyberrisques mondiaux et des réclamations chez BOXX Insurance.

« L’auteur de la menace a reçu un paiement de 1,6 million de dollars, explique M. Jardine. La situation n’a été découverte que 30 jours plus tard. Même s’il s’agit d’un gain très élevé pour une cyberintrusion misant sur le piratage psychologique, la plupart des incidents du genre sont aussi simples. L’auteur de la menace modifie les renseignements de facturation et communique avec la victime pour lui rappeler de payer les sommes dues. »

Des intrusions qui passent sous le radar

Certaines cyberintrusions font les manchettes, mais la grande majorité passent sous le radar et constituent un risque important pour les petites et moyennes entreprises.

Ady Sharma est vice-président, Exploitation commerciale cybersécurité – Canada et responsable, Développement commercial – Ontario chez Aon. Il travaille en cyberassurance depuis près de 10 ans.

D’après son expérience, il existe deux principaux types de cyberintrusion : le piratage psychologique, soit un virement de fonds erroné en raison d’une modification des instructions; et l’attaque par rançongiciel, soit l’infiltration de l’infrastructure informatique d’une entreprise par un tiers qui crypte les données jusqu’au paiement d’une rançon (le plus souvent en cryptomonnaies comme le Bitcoin).

Par ailleurs, selon les dernières données, les entreprises très exposées aux attaques par rançongiciel sont bien plus petites que celles mentionnées dans les manchettes.

« Les organisations qui comptent moins de 1 000 employés représentent jusqu’à 77 % des victimes d’attaques par rançongiciel », affirme M. Sharma en citant les données de Covware, un agrégateur de cas sur ce type d’attaque.

Il soutient que deux raisons ont poussé les cybercriminels à délaisser les cibles de grande notoriété pour se concentrer sur les petites et moyennes entreprises.

Ces deux raisons revêtent la même importance.

Premièrement, les mesures de cybersécurité des petites et moyennes entreprises sont souvent déficientes en raison d’un manque de ressources et d’expertise.

« Les tiers n’ont donc aucun mal à s’infiltrer dans les systèmes, précise M. Sharma. Le gain n’est pas très élevé, mais l’attaque est facile et nécessite peu de temps. »

Deuxièmement, les cyberattaques visant les petites et moyennes entreprises attirent en général peu l’attention du public.

« Les médias veulent couvrir des nouvelles “excitantes” comme les intrusions chez Equifax et Marriott, dit M. Sharma, car c’est ce que veut leur lectorat. Dans certains cas, les attaques contre de grandes organisations entraînent aussi des bouleversements géopolitiques, un jeu qui n’en vaut pas la chandelle pour les criminels. »

Par exemple, l’arrestation de cybercriminels impliqués dans l’attaque par rançongiciel menée en 2021 contre Colonial Pipeline a révélé la grande notoriété que de tels événements peuvent gagner. En effet, cette attaque a incité le président américain Joe Biden à renforcer la cybersécurité du pays et à exercer une certaine pression sur les dirigeants de la Russie, où se trouvaient les pirates informatiques allégués.

Selon M. Sharma, se faire prendre n’est pas dans l’intérêt des auteurs de menaces.

« Il ne s’agit pas simplement de criminels astucieux, mais plutôt d’hommes et de femmes d’affaires qui cherchent à faire de l’argent. La cybercriminalité est une machine très bien huilée. »

Imran Ahmad, associé, chef canadien, Technologies et cochef canadien, Gouvernance de l’information, protection des renseignements personnels et cybersécurité chez Norton Rose Fulbright Canada indique que les petites entreprises sans contact direct avec la clientèle ne comprenaient auparavant pas comment les cyberrisques pouvaient affecter leurs activités.

« Les entreprises de petite et moyenne taille étaient bercées par l’illusion qu’elles ne couraient aucun risque réel, explique-t-il. Elles ne voyaient pas la pertinence, pour un tiers, de pirater leurs systèmes. »

Comme les cyberattaques sont dorénavant omniprésentes, les entreprises sont conscientes qu’une cyberintrusion peut interrompre leurs activités.

M. Ahmad souligne d’ailleurs que les pirates informatiques réinventent constamment leurs méthodes.

Le piratage psychologique

Dans sa pratique, Imran Ahmad a constaté que le rançongiciel constitue le principal mode d’attaque. Il a également noté un recours à la fraude par courriel d’entreprise, c’est-à-dire le détournement de fonds grâce au piratage psychologique.

Neal Jardine affirme que le nombre d’intrusions par piratage psychologique commence à surpasser celui d’attaques par rançongiciel. Bien que le piratage psychologique génère des gains inférieurs, sa faible complexité technologique – même pour les personnes ayant peu de connaissances informatiques – permet aux criminels de multiplier les attaques.

« Le piratage psychologique est en croissance étant donné que les cybercriminels veulent mener des attaques rapides à petite échelle, ajoute M. Jardine. Son faible coût favorise une fréquence élevée d’attaques, contrairement au rançongiciel, dont le coût élevé limite la fréquence des attaques. C’est pourquoi le piratage psychologique remplace peu à peu le rançongiciel. »

Les gains tirés d’une attaque par rançongiciel vont jusqu’à 1 000 000 $, alors que ceux obtenus d’une attaque par piratage psychologique varient généralement de 100 000 $ à 150 000 $. Cependant, étant donné la fréquence élevée des attaques de ce type, les gains sont semblables au bout du compte.

Les entreprises réaliseront très bientôt qu’elles ont intérêt à investir adéquatement dans la cybersécurité.

Peu importe leur type, les cybercrimes constituent un enjeu important. M. Ahmad indique que les entreprises de toutes tailles et de toutes industries sont engagées dans une course pour gérer les cyberrisques.

Il a consacré près de la moitié de ses 20 années de pratique en droit à la cybersécurité et à la protection de la vie privée. Il a d’ailleurs écrit le premier guide canadien sur les aspects juridiques des plans d’intervention en cas de cyberincident, intitulé Cybersecurity in Canada: A Guide to Best Practices, Planning, and Management.

« Dans les 10 dernières années, la cybersécurité et la gestion des risques ont représenté des domaines d’intérêt pour les entreprises, et seules quelques entreprises ont été victimes d’une intrusion, précise M. Ahmad. Ces domaines se sont depuis transformés en enjeux dominants sur lesquels tout le monde se concentre, ce qui a fait augmenter les investissements en cybersécurité, en gouvernance et en protection juridique. »

Il note d’ailleurs une multiplication importante des lois sur la cybersécurité.

En juin dernier, le gouvernement fédéral a présenté le projet de loi C-27 qui, s’il est adopté, transformerait la législation canadienne sur la protection de la vie privée en remplaçant entre autres la Loi sur la protection des renseignements personnels et les documents électroniques par la Loi sur la protection de la vie privée des consommateurs.

« Ces changements moderniseraient la législation sur la protection de la vie privée, notamment en imposant la déclaration de toute intrusion aux personnes concernées, souligne M. Ahmad. Ils introduiraient de nouveaux pouvoirs et augmenteraient les amendes possibles. »

En ce moment, un manquement à l’obligation d’avis en cas d’intrusion ne donne pas lieu à une amende importante. Si le projet de loi est adopté, les amendes correspondraient à un pourcentage du chiffre d’affaires des entreprises.

Selon M. Ahmad, l’évolution de l’environnement législatif entraîne une hausse de la demande de cyberassurance et de l’activité juridique connexe.

« Il y a 10 ans, ma pratique comptait au plus trois personnes qui exerçaient le cyberdroit. Aujourd’hui, le cabinet compte 22 personnes qui s’occupent de ces dossiers à temps plein. Règle générale, les cabinets ne connaissent pas une croissance aussi rapide. »

La préparation aux intrusions

Imran Ahmad consacre la majorité de son temps à l’accompagnement des entreprises à la suite d’une intrusion. Il s’agit non seulement d’assurer leur défense en cas de poursuite, mais surtout de les aider à prendre des mesures efficaces lors d’un tel incident.

« Grâce à leur contrat de cyberassurance, les entreprises ont accès à des experts, y compris des accompagnateurs en gestion des intrusions, dit M. Ahmad. Elles sont donc mieux outillées pour répondre à une intrusion que si elles devaient se débrouiller par leurs propres moyens. »

Sans l’aide d’experts, une entreprise pourrait mal gérer les intrusions et en payer le fort prix, notamment :

• en déclarant une intrusion trop rapidement aux autorités;
• en attendant trop longtemps avant de déclarer une intrusion;
• en répondant directement à un pirate informatique, ce qui entraîne parfois des conséquences supplémentaires;
• en supprimant les données piratées et en utilisant la copie de sauvegarde, ce qui ouvre la porte à une double extorsion étant donné que la vulnérabilité initiale n’a pas été éliminée.

« Les entreprises qui ne possèdent pas l’expertise nécessaire et qui ne se préparent pas adéquatement vont choisir d’improviser, constate M. Ahmad. Celles qui ont souscrit une assurance et qui se sont préparées vont être en mesure de bien gérer la situation. »

Bien que les entreprises saisissent mieux la gravité des cyberrisques, elles ont de la difficulté à déterminer les mesures qu’elles doivent prendre pour les atténuer.

Le marché de la cyberassurance devient en outre de plus en plus étroit, ce qui complique l’obtention de garanties convenables.

Selon Derek Faulconer, directeur régional chez Westland Insurance, un cabinet de courtage établi à Markham, les compagnies d’assurance ont haussé les franchises et les primes tout en diminuant les montants de garantie.

« Il y a 15 ans, personne ne se préoccupait vraiment des cyberrisques, soutient-il. La cyberassurance était une nouvelle branche d’assurance sans attrait – vente très difficile, aucune réelle adoption. »

Au fil des années, la cyberassurance est devenue la branche d’assurance des entreprises ayant connu la croissance la plus rapide. Les courtiers disent maintenant à leur clientèle de ne pas se demander « si » elle sera victime d’une cyberintrusion, mais plutôt « quand » elle le sera. Les entreprises connaissent mieux le risque qu’avant.

« Au cours des deux à trois derniers cycles d’assurance, les primes ont grimpé étant donné que la fréquence des attaques et que le montant des rançons ont augmenté, ajoute M. Faulconer. Les pirates informatiques sont de plus en plus audacieux. Comme les compagnies d’assurance ont perdu de l’argent, elles renouvellent les contrats en haussant les primes de parfois 30 %. »

Même si leur profil de risque n’a pas changé, les entreprises doivent s’attendre à une augmentation de leur prime d’assurance.

Ady Sharma affirme qu’un marché étroit influence la capacité d’une entreprise à souscrire un contrat d’assurance.

Les libellés des contrats de cyberassurance, qui sont assez uniformes au sein du marché, ne changeront pas. Cela comprend la garantie couvrant les frais remboursables de la personne assurée en cas de cyberattaque et la garantie couvrant la responsabilité civile en cas de poursuites ou d’actions réglementaires.

La disponibilité de la cyberassurance est toutefois en train de diminuer.

« Les compagnies d’assurance examinent attentivement le profil de risque des entreprises, ce qui n’était pas le cas avant, observe M. Sharma. Cette nouvelle approche garantit la viabilité de la cyberassurance, un aspect auquel on ne s’attardait pas jusqu’à maintenant. »

D’après lui, même s’il est possible que le prix du produit se corrige par lui-même, les besoins en cyberassurance sont là pour de bon.

Les exigences de cybersécurité des compagnies d’assurance ont également changé.

« L’authentification multifacteur fait maintenant partie des mesures exigées, indique M. Sharma. Elle ajoute une couche de protection au moment de la connexion à un environnement vulnérable. »

Lorsque l’authentification multifacteur est activée, l’utilisateur qui souhaite se connecter à son compte en ligne est invité à confirmer son identité en entrant un code unique.

M. Sharma constate que les compagnies d’assurance exigent aussi la mise en place d’un outil de détection et de réponse au point d’accès qui surveille en tout temps les cybermenaces, l’adoption de plans de gestion des incidents, ainsi que l’offre d’une formation aux utilisateurs qui aborde l’erreur humaine.

Les avantages d’investir en cybersécurité

Neal Jardine fait la comparaison suivante : « On ne peut pas obtenir une assurance automobile adéquate si on conduit sans pneus d’hiver, tout comme on ne peut pas souscrire une cyberassurance convenable si on n’adopte aucune mesure de cybersécurité. »

Les petites et moyennes entreprises n’investissent pas dans des systèmes de sécurité à la fine pointe de la technologie, car elles n’en voient pas les avantages.

« L’investissement en sécurité n’est pas attrayant, note M. Jardine. Les entreprises ne se rendent pas compte de leur vulnérabilité et veulent transférer leur risque sans prendre de mesures particulières. Par contre, les compagnies d’assurance n’acceptent pas ce transfert sans la mise en place de solutions de protection contre les sinistres. »

Il souligne quelques-unes des bonnes pratiques de cybersécurité, dont l’authentification multifacteur, la sauvegarde de données sur des serveurs distincts hors site, l’application de correctifs de sécurité, ainsi que l’installation de pare-feu et d’antivirus.

« L’authentification multifacteur fait partie des nouvelles normes, explique-t-il. Les entreprises doivent la mettre en place si elles veulent souscrire une assurance. »

Selon lui, les entreprises réaliseront très bientôt qu’elles ont intérêt à investir adéquatement dans la cybersécurité.

« Les gens refusaient d’utiliser la ceinture de sécurité en voiture jusqu’à ce que son efficacité soit prouvée. C’est la même chose pour la cybersécurité. Les petites et moyennes entreprises n’en voient pas l’efficacité – pour l’instant. »

M. Jardine précise que la panne nationale ayant affecté le réseau de Rogers Communications le 8 juillet dernier n’influencera probablement pas l’opinion ni les pratiques des entreprises à l’égard de la cyberassurance. En effet, cette panne n’a pas été déclarée un cyberincident.

Rogers soutient que la panne était le résultat d’une défaillance du système du réseau à la suite d’une mise à jour de maintenance de son réseau de base.

« Rogers nuirait à sa réputation s’il affirmait que la panne découlait d’un cyberincicent, dit M. Jardine. Les gens pourraient croire que leurs données personnelles ont été compromises. Comme Rogers n’a pas fait une telle déclaration, l’assurance des pertes d’exploitation incluse dans les contrats de cyberassurance des entreprises affectées par la panne ne s’appliquera probablement pas. »

Même en cas de cyberincident (une simple hypothèse), si aucun renseignement permettant d’identifier une personne n’a été piraté, Rogers n’a aucune obligation d’avis au public.

« Hypothétiquement, si les seuls renseignements volés sont le nom et l’adresse, ceux-ci figurent déjà dans l’annuaire. »

La panne a commencé tôt le 8 juillet et a persisté par endroits jusqu’au lendemain. Elle a notamment affecté des services d’urgence et les paiements par débit. Selon NetBlocks, une organisation londonienne qui surveille le Web à l’échelle mondiale, la connectivité au Canada atteignait seulement 75 % de ses niveaux habituels.

Le Conseil de la radiodiffusion et des télécommunications canadiennes a ordonné à Rogers de lui fournir des explications détaillées sur la cause de la panne de son réseau. Selon un article de CBC, on ne sait toutefois pas si les constats seront rendus publics.

Les cyberrisques des particuliers

L’interconnectivité est une réalité au Canada.

Au pays, 97 % des adultes de 25 à 44 ans possèdent un téléphone intelligent. Pour la majorité d’entre eux, cet objet est le dernier qu’ils utilisent avant de se coucher.

Des appareils ménagers courants se contrôlent au moyen d’un téléphone intelligent et d’une connexion sans fil : c’est ce qu’on appelle l’Internet des objets. Ainsi, 70 % des adultes de 18 à 64 ans possèdent des appareils de divertissement qui sont contrôlés au moyen d’une connexion sans fil et 26 % d’entre eux ont un appareil de domotique qui contrôle l’électricité et l’éclairage.

Les pertes financières liées aux fraudes de particuliers ont dépassé 43 millions de dollars canadiens en 2019.

Maria Messina, vice-présidente et directrice, Services de gestion des risques portant sur la personne chez Chubb Canada, souligne que les gens sont aujourd’hui très dépendants des données et de leur accessibilité.

« Chaque ménage compte en moyenne 10 appareils connectés, comme une tablette, un téléphone, une télévision ou un lecteur. On s’attend d’ailleurs à ce que ce chiffre augmente. La plupart des gens stockent aussi toute leur vie sur leur ordinateur. »

Et l’interconnectivité expose les particuliers aux cybercrimes.

La protection des connexions

« Quiconque utilise le Web, un ordinateur ou les médias numériques peut être victime d’un cybercrime », indique Maria Messina.

Selon le Centre antifraude du Canada, les pertes financières liées aux fraudes de particuliers ont dépassé 43 millions de dollars canadiens en 2019. Ces données tiennent seulement compte des cas signalés.

L’industrie de l’assurance s’efforce toutefois de s’attaquer aux cyberrisques qui guettent les particuliers.

« Il existe un tout nouveau produit, soit le contrat de cyberassurance des particuliers », dit Jessica Visser, directrice, Service des partenariats et des programmes chez BOXX Insurance, un agent général principal de Toronto qui se spécialise dans cette branche.

Elle ajoute que de nombreuses grandes compagnies d’assurance annexent un avenant contre les cyberrisques au contrat d’assurance du propriétaire occupant. Bien que ce genre d’avenant soit courant, bien établi et généralement considéré comme une cyberassurance des particuliers, il ne couvre pas certains cyberrisques importants.

« L’avenant ne couvre pas les cyberincidents inclus dans les contrats des entreprises, même s’ils peuvent aussi affecter les particuliers », constate Mme Visser.

Les contrats de cyberassurance des entreprises offrent habituellement une garantie portant sur les pertes financières et la responsabilité civile liées à une cyberintrusion.

Règle générale, l’avenant contre les cyberrisques annexé à un contrat d’assurance habitation couvre uniquement les frais juridiques attribuables à un vol d’identité. La personne assurée a également accès à un avocat qui l’aidera à rétablir son dossier de crédit, à obtenir de nouveaux documents et à gérer les problèmes connexes.

Contrairement à l’avenant, le contrat de cyberassurance des particuliers couvre bien plus que le vol d’identité et les frais juridiques en découlant.

« Ce contrat protège vraiment les gens contre les risques auxquels ils s’exposent lorsqu’ils naviguent en ligne. »

Ces risques, nombreux, ont des conséquences financières et psychologiques pour les victimes.

D’après Mme Visser, un cyberincident suppose en général la réparation, le remplacement ou la restauration des appareils personnels compromis. Il cause parfois des pertes financières directes en raison d’un vol d’identité ou d’une tentative d’extorsion, par exemple lorsqu’un tiers exige le versement d’une rançon afin de décrypter les données dans un ordinateur.

Outre les données qui peuvent être volées ou altérées, il y a aussi le problème de la cyberintimidation : certains contrats de cyberassurance des particuliers couvrent les évaluations ou services psychologiques; d’autres vont même jusqu’à inclure les frais de changement d’école.

« Ces garanties conviennent aux besoins des parents puisque les enfants, vu leur peu d’expérience de vie, tendent à s’investir émotionnellement dans leur statut en ligne, explique Mme Visser. La cyberassurance des particuliers s’avère également très pertinente pour les aînés, qui représentent un segment très exposé au vol d’identité en ligne. »

Elle précise que les cyberrisques menacent particulièrement les habitations où se trouvent des appareils de divertissement contrôlés par une connexion sans fil, de même que des appareils de domotique contrôlant l’électricité et l’éclairage puisqu’ils offrent un accès non protégé aux réseaux domestiques. Ces cyberrisques vont de la désactivation du système de sécurité domestique au vol de renseignements personnels, en passant par l’accès aux caméras et l’enregistrement d’images.

Le télétravail

Selon Statistique Canada, la part de personnes qui travaillent à la maison est passée de 5 % en 2016 à 32 % en 2021. La montée en popularité du télétravail a d’ailleurs estompé en partie la distinction entre les cyberrisques des particuliers et ceux des entreprises.

La montée en popularité du télétravail a d’ailleurs estompé en partie la distinction entre les cyberrisques des particuliers et ceux des entreprises.

« Le télétravail comporte un conflit d’intérêts inhérent entre la sphère personnelle et la sphère professionnelle, observe Jessica Visser. Aucun contrat n’est identique, mais je crois que les cyberrisques des particuliers qui se réalisent pendant qu’une personne utilise à des fins personnelles un ordinateur fourni par son employeur ne seraient pas couverts. Seule une cyberassurance des particuliers couvrirait une telle situation. »

Elle affirme qu’une pratique exemplaire consiste à ne pas utiliser à des fins personnelles l’ordinateur et le téléphone fournis par l’employeur.

Toutefois, il est irréaliste de s’attendre à ce que tout le monde adopte cette pratique. Neal Jardine soutient ainsi que l’interconnectivité implique une responsabilité sociale.

« Imaginez que vous êtes en télétravail et que vous menez des affaires personnelles sur votre ordinateur de travail, dit-il. En raison de votre négligence, un pirate informatique vole des renseignements personnels qui permettent de vous identifier ou d’identifier une autre personne. Si vous ne détenez aucune cyberassurance des particuliers, on pourrait vous tenir responsable. »

Maria Messina ajoute que l’environnement de télétravail a mis en évidence la nécessité de la cyberassurance des particuliers.

« Étant donné que nous sommes constamment en ligne, nous sommes vulnérables aux cyberattaques, dit-elle. Les médias sociaux, l’école virtuelle, les jouets intelligents, les appareils de domotique sont autant d’éléments qui justifient l’achat d’une cyberassurance des particuliers. »

Bien que ce genre d’assurance soit déjà offert sur le marché, peu de personnes y recourent.

Derek Faulconer note que la réputation de la cyberassurance des particuliers aujourd’hui correspond à celle de la cyberassurance des entreprises il y a 10 ans.

« Quelques compagnies offrent la cyberassurance des particuliers, mais les ventes sont difficiles à conclure, observe-t-il. C’était la même situation lorsque la cyberassurance des entreprises a fait son apparition sur le marché. Tant que les gens n’ont pas vécu un cyberincident ou entendu un proche en parler, ils n’achèteront pas de contrat, même si la prime est peu élevée. Les produits existent, mais leur adoption est presque nulle. »

M. Jardine pense qu’il faudra un certain temps avant que la cyberassurance des particuliers devienne populaire. Pour l’instant, comme la cyberassurance des entreprises est à ses débuts, son adoption est contrecarrée par un facteur humain : le sentiment d’embarras ressenti lorsqu’on souscrit ce produit.

« Peu de gens parlent de la cyberassurance des particuliers. On ne va pas raconter à son voisin qu’on a été victime d’une attaque par rançongiciel. »

Cela n’a rien d’étonnant : jusqu’à récemment, les cyberincidents qui touchaient les entreprises n’étaient même pas divulgués au public.

La compréhension des risques des particuliers

« Lorsque les pirates informatiques menaçaient de divulguer une intrusion aux médias, les entreprises prenaient peur et acceptaient de payer la rançon pour garder l’incident sous silence, explique Neal Jardine. De nos jours, la fréquence des cyberincidents a fait baisser la valeur médiatique de ceux-ci. »

Selon lui, comme la cyberassurance des entreprises il y a quelques années, la cyberassurance des particuliers n’est pas une chose dont on veut se vanter : on ne veut pas avouer qu’on se protège contre ce type de risque.

Maria Messina estime que la demande de cyberassurance des particuliers augmentera en même temps que la sensibilisation du public.

En ce moment, ce genre d’assurance est considéré comme utile alors qu’il devrait être vu comme nécessaire.

« Dans les dernières années, les gens sont devenus de plus en plus conscients des cyberrisques, mentionne Mme Messina. Bien que l’appétit de notre clientèle pour la cyberassurance des particuliers ait augmenté, nous devons mieux sensibiliser les gens aux cyberattaques dont ils pourraient être victimes. »

Jessica Visser s’attend à ce que l’adoption de la cyberassurance des particuliers prenne du temps, mais qu’elle augmente au fur et à mesure que les gens comprennent mieux les risques.

D’ici à ce que ce genre d’assurance devienne commun, il n’est pas judicieux de se fier aux avenants contre les cyberrisques. Ces avenants offrent une garantie inadéquate, et la présentation d’une réclamation à la suite d’un cyberincident nuit parfois à l’assurabilité future du titulaire de la police d’assurance habitation.

« Le contrat d’assurance habitation doit uniquement couvrir l’habitation, insiste Mme Visser. Même s’il répond à un besoin, l’avenant n’a pas suffisamment évolué en même temps que le reste du marché pour que son existence soit justifiée. »

Elle conclut : « En tant que courtière, je ne laisserai jamais une cliente porter préjudice à son assurabilité future en assurance habitation à cause d’une garantie supplémentaire. Comme la plupart des gens doivent assumer une franchise de 1 000 $, ils ne présenteront pas de réclamation à la suite d’un cyberincident soit parce que les sommes perdues ne sont pas assez élevées, soit parce que leur assurabilité serait ensuite compromise. »