Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

Risques en contexte

Cyberintrusions : il y a plus que vos systèmes d’entreprise qui sont à risque d’être perturbés

Publié par Eleni Petros 07 Septembre 2017

Les conséquences d’une cyberintrusion pour votre entreprise pourraient aller bien au-delà d’une perte d’exploitation et poser un risque potentiel important pour les administrateurs et les dirigeants. De nombreuses entreprises touchées par la récente cyberattaque Petya/GoldenEye ont eu beaucoup de mal à relever leurs ventes et à reprendre le cours normal de leurs activités et ont même vu, dans certains cas récents, de hauts dirigeants démissionner.

Ces démissions étaient peut-être une coïncidence, mais l’effet d’une cyberattaque sur une entreprise peut être considérable, possiblement de l’ordre de millions de dollars en pertes de ventes, en coûts de reconstitution et de sécurisation des systèmes selon des normes plus élevées afin de déjouer toute nouvelle attaque. 

En plus de provoquer des pertes d’exploitation, les cyberintrusions attirent l’attention sur le degré d’attention que le conseil d’administration d’une entreprise porte à la gestion des cyberrisques.  Par conséquent, des perturbations au niveau du conseil ne sont pas inattendues.

Vérification de la protection d’assurance responsabilité civile de vos administrateurs et dirigeants compte tenu des récentes attaques

Les sociétés mondiales doivent souvent prendre en compte plusieurs régimes réglementaires et environnements d’exploitation lorsque vient le temps de déterminer leurs obligations et leur approche relativement aux cyberrisques.  Les conseils de direction devraient élaborer des stratégies adéquates qui tiennent compte de ces facteurs.  Cependant, il devient évident que ces stratégies doivent être plus qu’un exercice consistant à cocher des cases sur un formulaire : la gestion des cyberrisques devrait désormais faire partie intégrante du quotidien des conseils de direction. 

Afin de bien protéger les administrateurs et dirigeants de votre société en cas de cyberincident, il est essentiel de s’assurer que :

  • L’assurance responsabilité civile des administrateurs et dirigeants (assurance A&D) s’appliquera en cas de litige découlant de réclamations traditionnelles alléguant un manquement aux obligations fiduciaires relatives à un cyberincident.
  • Les montants de garantie, y compris les montants pour pertes non indemnisables (« volet A »), ont été revus et sont suffisants. Idéalement, une police d’assurance A&D devrait fournir une protection à tous les cadres supérieurs de l’entreprise qui prennent part aux décisions relatives aux cyberrisques et prévoir une couverture élargie pour les enquêtes réglementaires.
  • Vous devriez user de prudence avec les extensions d’assurance des cyberrisques : elles peuvent en réalité réduire la protection relative aux cyberrisques pour les administrateurs si elles ne sont pas libellées adéquatement.

Des entreprises de tous genres et de toutes tailles ont été victimes de cyberattaques. Tout manquement par un conseil de direction à participer au soutien d’un programme de cybersécurité complet et à en assurer la surveillance et la tenue à jour continues pourrait mettre en jeu la responsabilité personnelle de ses membres, au motif d’un manquement à leur devoir fiduciaire envers l’entreprise.

Eleni Petros