Préoccupations des captives : assurer la cybersécurité

Ces dernières années, les incidents liés à la cybersécurité ont fait les gros titres partout dans le monde.  Il est rare qu’il se passe une semaine sans qu’une importante atteinte à la protection des données soit mentionnée.  La cybersécurité fait référence à une série de mesures utilisées pour protéger l’intégrité des ordinateurs, des réseaux, des programmes et des données électroniques d’un accès et d’une utilisation non autorisés et de dommages. La gouvernance de la cybersécurité comprend des politiques et des protocoles d’exploitation adoptés pour maintenir un comportement approprié en ce qui concerne l’hygiène cybernétique. 

Qu’est-ce que cela signifie pour les assureurs de captives?

En tant que sociétés autonomes assujetties à la réglementation, les captives doivent faire preuve de diligence raisonnable pour toutes les questions pertinentes, notamment pour exercer leurs activités de manière autonome, en tenant compte des évolutions importantes dans le secteur.  L’objectif fondamental crée une obligation sans égard à la conformité spécifique imposée par la réglementation, la loi, etc.; il s’agit de questions de diligence raisonnable élémentaire et de risque lié à la réputation.  L’organisme régissant l’assureur de captive a l’obligation de surveiller les enjeux environnementaux, et d’après le niveau de gravité ou de risque pour l’organisation, de prendre des mesures raisonnables, même si la réglementation ou la loi ne l’exige pas.

Les propriétaires de captives doivent exercer une diligence raisonnable, mais il existe également une liste de plus en plus longue d’exigences cybernétiques pour les captives. Deux exemples clés de lois ou de règlements actuellement en place – qui donnent un aperçu utile de ce qui est à venir dans d’autres secteurs – sont les obligations réglementaires concrètes en place pour les assureurs de captives domiciliés à New York, ainsi que pour les assureurs de captives qui font affaire avec des citoyens de l’Union européenne, ou qui utilisent leurs données.  Plusieurs autres domiciles sont en bonne voie de respecter les exigences cybernétiques qui entreront en vigueur ou les efforts actuellement en cours.

En voici quelques exemples :

  • Règlement général sur la protection des données (RGPD) de l’Union européenne;
  • Exigences en matière de cybersécurité pour les sociétés de services financiers du New York State Department of Financial Services;
  • California Consumer Privacy Act of 2018;
  • Insurance Data Security Model Law de la National Association of Insurance Commissioners des États-Unis (que certains États devraient adopter sous une forme quelconque sous peu);
  • Bermuda Personal Information Protection Act 2016;
  • Législation relative à la protection des données, qui entrera en vigueur aux îles Caïman en janvier 2019.

Ces lois et règlements touchent directement les captives, leurs gestionnaires, leurs propriétaires et leurs sociétés mères à l'échelle mondiale. Les principales exigences imposées par ces lois devraient, si ce n’est pas déjà le cas, être requises bientôt dans de nombreux territoires, et même là où elles ne seront pas obligatoires, établir la norme pour les pratiques exemplaires. En conséquence, et d’après la trajectoire des lois, règlements, propositions et signaux globaux de ce qui constitue une diligence raisonnable, Marsh recommande que tous les assureurs de captives s’efforcent de mettre en place un cadre de gouvernance élémentaire de la cybersécurité regroupant une évaluation de la vulnérabilité, la documentation, les fournisseurs de services tiers et les rapports d'événement.

Données électroniques de « grande valeur »

Bien que les données recueillies par les captives varient, les assureurs, les captives et les tiers administrateurs ont tendance à recueillir un grand nombre de données, dont des données considérées comme des renseignements permettant d’identifier les personnes et des renseignements sur la santé protégés.  Les sources courantes comprennent les affidavits biographiques, les documents bancaires et les dossiers de réclamation.  En outre, les captives et leurs tiers administrateurs ont souvent accès à de l’information confidentielle ou même à de « l’information privilégiée », car cette formule s’applique dans divers territoires.  Par exemple, la perte de renseignements détaillés sur la responsabilité en matière de produits pourrait nuire à l’entreprise commanditaire ou avoir une incidence sur sa participation à des fusions et acquisitions éventuelles.

Prochaines étapes

Avec plusieurs lois déjà en vigueur et d’autres qui sont en voie d’être entérinées partout sur le globe, le message est clair – les entités doivent exercer une diligence raisonnable complète relativement à la cybersécurité si leurs activités comprennent la collecte, l’utilisation, la transmission ou le stockage de renseignements communs aux assureurs de captives.  Ce secteur suscite un grand intérêt, en particulier en ce qui concerne la déclaration des atteintes à la protection des données, la collecte et l’utilisation de renseignements personnels, et les normes de conduite minimales des sociétés relativement à la cybersécurité.  Cet enjeu sera crucial au cours des prochaines années, et les propriétaires de captives devraient commencer à travailler avec leurs fournisseurs de services pour introduire la gouvernance de la cybersécurité, par exemple, en établissant des procédures d’atténuation des risques adéquates, en réduisant la quantité de données protégées dans le flux de travail, en effectuant des évaluations de la vulnérabilité et en réalisant d’autres projets connexes pour protéger leurs intérêts contre la menace grandissante de cyberattaques.

Solutions d’assurance captive Marsh explore et examine activement de nouvelles versions de technologies ou de logiciels plus perfectionnées afin de répondre aux besoins de gouvernance de la cybersécurité de nos clients. Nous avons conçu du matériel spécialisé et formons continuellement notre personnel sur les facteurs de risque liés aux diverses formes de données, les menaces à la cybersécurité, les mesures d’atténuation des risques, et ce à quoi doit ressembler la gouvernance au sein d’une entité.  Ce matériel et nos initiatives de formation permettront à nos clients de personnaliser plus facilement leur programme de gouvernance de la cybersécurité avec leurs équipes de gestion de captives en fonction de leurs besoins et avec un maximum d’efficacité.  Outre la recherche de formation, d’outils, de modèles et de soutien administratif auprès des gestionnaires de captives, les propriétaires de captives devraient également recourir à des experts juridiques, conformité et en cybersécurité, s’il y a lieu.