Des risques et des défis pourraient découler de l’adoption de protocoles de distanciation sociale et de confinement à la maison qui visent à réduire les effets de la COVID-19. Comme les employés, étudiants, patients et d’autres sont confinés à la maison dans des circonstances stressantes, et l’infrastructure de travail à distance étant sous pression, les organisations doivent porter attention à l’incidence sur leur profil de cyberrisques.
Le plus grand défi consiste à passer d’une présence physique à une présence virtuelle. Une fois que les organisations l’ont accepté, elles doivent prendre les mesures appropriées pour réduire les risques. Par exemple, elles peuvent accroître la sensibilisation des employés et autres utilisateurs aux cybermenaces, renforcer les systèmes technologiques, et examiner les couvertures d’assurance, en particulier les sinistres potentiels pouvant relever des polices d’assurance erreurs et omissions liée aux cyberrisques aux médias et à la technologie.
Sensibilisation et vigilance
L’augmentation du télétravail multiplie les occasions de cyberattaques, et les organisations qui commencent tout juste à mettre en œuvre des protocoles de télétravail y sont plus vulnérables. Par exemple, un utilisateur pourrait se connecter à l’aide d’un réseau à domicile soutenu par du matériel moins bien sécurisé.
Des cybercriminels ont déjà profité de personnes à la recherche d’information sur la pandémie. La COVID-19 hausse le nombre de tentatives d’hameçonnage et de piratage psychologique dans le cadre desquels les victimes sont attirées avec des renseignements sur le virus.
Le télétravail hausse également le risque que présentent des assouplissements des politiques et procédures de protection des renseignements personnels. Pour faciliter le télétravail, des employés pourraient emporter à la maison des documents imprimés ou transférer des renseignements personnels vers un dispositif de stockage ou un appareil personnel non chiffré ou non sécurisé, ce qui pourrait exposer les renseignements à des intrusions d’utilisateurs non autorisés ou à une utilisation ou une suppression inappropriée.
Les entreprises doivent proactivement rappeler aux employés qu’une bonne hygiène numérique est encore plus essentielle quand ils se connectent aux réseaux à distance. Les employés à la maison pourraient être chargés d’effectuer des corrections et des mises à jour des systèmes, de fermer leur session quand ils ne travaillent pas ou n’utilisent pas les réseaux, de mettre en sécurité le matériel informatique, de respecter les procédures appropriées concernant le traitement des données personnelles et de s’assurer que les mots de passe des appareils et du réseau Wi-Fi à la maison sont robustes.
Demandes pour les ressources des TI
Les organisations doivent également hausser la cybersécurité, notamment en procédant à des tests de la préparation des systèmes aux perturbations inévitables des activités. Les équipes des TI et de la sécurité de l’information sont de plus en plus appelées à gérer des problèmes qui résultent de cette soudaine transition vers le travail à distance.
La demande en outils de communication virtuels augmentera, de sorte que la disponibilité du système pourrait être réduite. Les pannes ou les dégradations des systèmes causeront des interruptions des activités et par conséquent des pertes de revenus et des charges supplémentaires.
Considérations d’assurance
Il existe déjà une assurance contre les atteintes à la vie privée, les atteintes à la sécurité et les pannes technologiques. En fait, une police contre les cyberrisques typique comprend divers services de prévention et d’atténuation des sinistres qui sont accessibles avant et après un incident. De plus, plusieurs assureurs communiquent proactivement avec les titulaires quand ils prennent connaissance de potentielles menaces ou vulnérabilités pouvant être exploitées.
Toutefois, vu l’ampleur sans précédent de la distanciation sociale, l’augmentation rapide de la demande de connexion à distance créera probablement de nouveaux vecteurs de réclamations liées aux cyberrisques, particulièrement dans trois aspects distincts :
- les cyberrisques;
- les erreurs et omissions en matière de technologie;
- la responsabilité civile des médias.
Certaines des circonstances uniques de la pandémie de COVID-19 pourraient limiter ou mettre à l’épreuve ces polices.
Garantie contre les cyberrisques
La plupart des polices d’assurance contre les cyberrisques comprennent une vaste gamme de protections pertinentes dans la situation actuelle. Elles comprennent la responsabilité liée à la sécurité du réseau, à la protection des renseignements personnels, aux interventions de sécurité et aux frais d’assistance juridique, à la récupération et à la restauration des données, aux coûts liés aux demandes de rançon, aux atteintes à la réputation, aux pannes du réseau et aux dépenses qu’elles causent, aux pannes des systèmes, aux pertes d’exploitation indirectes et aux obligations réglementaires en matière de protection des renseignements personnels.
Toutefois, la couverture pourrait ne pas s’appliquer dans certaines situations. Les polices d’assurance contre les cyberrisques comprennent généralement les exclusions et limites suivantes :
- Exclusions relatives à l’infrastructure. Les polices ne comprennent généralement pas la couverture en cas de défaillances des infrastructures ou des services d’électricité, d’eau, de gaz, des télécommunications (y compris Internet) ou d’ordre mécanique, qui ne relèvent pas du contrôle opérationnel direct de l’assuré.
- Limites de couverture relatives aux interruptions volontaires. La garantie pourrait ne s’appliquer qu’aux interruptions volontaires visant à prévenir la propagation de logiciels malveillants ou à limiter les dommages, et non pas pour l’amélioration de l’accès au réseau ou de ses fonctionnalités.
- Limites relatives aux définitions des systèmes informatiques ou des réseaux. Les titulaires de police devraient vérifier si les définitions importantes ont une incidence sur les protections relatives aux systèmes qui leur appartiennent, qu’ils exploitent ou qu’ils louent, et à ceux exploités par un tiers.
- Limites relatives aux définitions des défaillances de système. Pour que les protections s’appliquent, des polices peuvent exiger une « erreur » humaine ou de programmation, des preuves de tests ou de corrections apportées, ou des preuves d’utilisation du système avant la défaillance.
Assurance erreurs et omissions en matière de technologie
Les polices d’assurance erreurs et omissions en matière de technologie comprennent une protection contre les actes fautifs dans la prestation de services technologiques, ou les produits technologiques qui n’exécutent pas comme prévu des fonctions qui se rapportent potentiellement aux conditions actuelles. Toutefois, la couverture pourrait ne pas s’appliquer dans certaines situations dans les cas suivants :
- Les définitions des produits et services technologiques ou des actes fautifs. Les actes fautifs pourraient n’être couverts que lorsque des produits ou services technologiques sont offerts « moyennant des frais », ou s’ils sont fournis ou conçus pour être utilisés conjointement avec un service. Des polices couvrent seulement la négligence dans la prestation de services, et non « l’omission de fournir les services ».
- Les exclusions relatives aux pratiques commerciales trompeuses, aux lois antitrust et à la protection des consommateurs. Les polices pourraient ne pas couvrir les biens ou les services qui ne sont pas conformes à la qualité ou au rendement promis.
- Les exclusions relatives aux lésions corporelles et aux dommages matériels. La plupart des polices d’assurance erreurs et omissions couvrent les pertes financières causées par un tiers, à condition que les réclamations pour dommages corporels ou matériels d’un tiers soient d’abord traitées par les programmes d’assurance contre les accidents, et l’assurance erreurs et omissions ne s’appliquent qu’une fois les indemnités de la couverture contre les accidents épuisées.
- Exclusions relatives aux mesures gouvernementales. Une police d’assurance erreurs et omissions en matière de technologie pourrait exclure les réclamations liées aux agences gouvernementales, à moins qu’elles ne soient des clientes directes.
- Exclusions relatives aux pertes découlant de transactions et aux pertes de capitaux. Les réclamations pour les pertes découlant de transactions, de variation de la valeur des comptes et de transferts de fonds sont généralement exclues.
- Exclusions relatives aux excès d’échanges et de coupons. Les jeux promotionnels, les rabais, les coupons ou autres dont la valeur dépasse celle du contrat sont généralement exclus.
Assurance responsabilité civile des médias
Les polices de responsabilité civile des médias comprennent une protection contre un vaste éventail d’actes liés à la création ou à la diffusion de matériel médiatique (par exemple, de l’information, des sons, des images et des graphiques). En général, les couvertures de responsabilité civile des médias comprennent la diffamation ou le dénigrement de produit, l’infliction de détresse émotive, l’appropriation illicite de noms ou de ressemblances, les violations des droits à la vie privée et la violation de droits d’auteur ou de noms de domaine, ainsi que le plagiat.
Toutefois, les pertes et les dommages subis pourraient ne pas être couverts dans certaines circonstances. Les polices relatives aux médias comprennent généralement :
- Les exclusions relatives aux pratiques commerciales trompeuses, aux lois antitrust et à la protection des consommateurs. Les polices pourraient ne pas couvrir les biens ou les services qui ne sont pas conformes à la qualité ou au rendement promis.
- Les exclusions relatives aux lésions corporelles et aux dommages matériels. La couverture pourrait comprendre l’infliction de détresse émotionnelle, mais pas de dommages physiques.
- Exclusions relatives aux mesures gouvernementales. Les polices relatives aux médias peuvent exclure les réclamations liées aux agences gouvernementales, à moins qu’elles ne soient des clientes directes.
- Couverture relative aux médias pour les entités autres que les médias. La couverture pourrait être liée aux médias en ligne seulement ou à la prestation de services professionnels.
La nécessité de vérifier ses couvertures d’assurance.
Alors que la pandémie se poursuit, les professionnels du risque devraient consulter leurs conseillers en assurance pour examiner attentivement le libellé des polices pour avoir bien à l’esprit ce qui est couvert et ce qui ne l’est pas, et prendre les mesures nécessaires pour veiller à ce qu’elles s’appliquent en cas de sinistre.