Lorsque l'on entend parler de cyberattaques et de "violations de données", de nombreuses personnes pensent à un pirate informatique malhonnête qui s'infiltre dans un système informatique pour voler des informations.
Ces types de cybercriminels constituent une menace bien réelle, bien sûr. Mais la majorité des violations de données résultent d'événements beaucoup plus banals et ordinaires, comme un ordinateur portable volé ou un clic involontaire,
Exemples de demandes d'indemnisation au titre de la cyber-responsabilité
Les petites entreprises sont de plus en plus exposées au risque de cyberattaque, mais ce n'est pas la seule menace. Voici quelques-uns des incidents les plus courants qui donnent lieu à une demande d'indemnisation au titre d'une cyberattaque ou d'une violation de données.
Ordinateurs volés
Un détaillant régional a passé un contrat avec un fournisseur de services tiers. Le prestataire de services a été la cible d'un voleur, qui a dérobé cinq de ses ordinateurs portables. Les ordinateurs contenaient les données personnelles de plus de 80 000 clients du détaillant.
Conformément aux lois applicables en matière de notification, ce n'est pas le fournisseur de services, mais le détaillant qui était tenu de notifier chacune des 80 000 personnes concernées.
Les dépenses liées à la notification et à la gestion de crise s'élèvent à elles seules à environ 5 000 000 $.
Le piratage des petites entreprises
L'ordinateur d'une entreprise a été piraté par un adolescent qui a volé des numéros d'assurance sociale et des données bancaires dans les dossiers de ses clients. L'adolescent a vendu ces informations à un site web qui les a ensuite utilisées pour créer et vendre de fausses identités.
Employé mécontent
Une employée pense qu'elle va être licenciée. En réaction, elle vole des informations personnelles, notamment des noms, des adresses, des numéros d'assurance sociale et d'autres informations personnelles contenues dans des dossiers de clients.
Elle a ensuite vendu les informations à un parent qui a utilisé les identités pour obtenir frauduleusement des cartes de crédit. Les personnes concernées ont porté plainte contre la société pour usurpation d'identité.
L'entreprise a dû faire face à des frais de notification et de surveillance de la solvabilité, et les frais juridiques ainsi que les dommages causés par les poursuites potentielles se sont élevés à plus de 500 000 dollars de dommages.
Un fabricant berné
Un fabricant du nord-est de l'Ohio a été convaincu de transférer 315 000 dollars à une personne en Chine sur la seule base de ce qui semblait être une demande légitime de paiement de matières premières envoyée par courrier électronique. Ils ont pu arrêter les fonds avant que le transfert ne soit terminé, mais il s'en est fallu de peu.
Vous pensez peut-être que cela ne peut pas vous arriver ou que vous ne vous laisseriez pas avoir par ce genre d'escroquerie. Mais le FBI a publié des informations indiquant que des voleurs avaient dérobé 215 millions de dollars en un peu plus d'un an en utilisant exactement cette escroquerie.
Les entreprises victimes ont probablement pensé que cela ne pouvait pas leur arriver à elles aussi.
Logiciels espions
Un ex-petit ami curieux voulait savoir ce que faisait son ex-petite amie. Il lui a donc envoyé un courrier électronique contenant une mauvaise surprise : un logiciel espion. Dès qu'elle a ouvert l'e-mail, le logiciel a surveillé l'activité de son ordinateur et lui a envoyé des mises à jour régulières.
Mais la victime a ouvert le courriel sur son ordinateur professionnel. En l'espace de deux semaines, le logiciel espion a envoyé à l'homme plus de 1 000 captures d'écran de données confidentielles concernant 150 clients.
L'entreprise a engagé des frais de notification et de surveillance du crédit pour les clients concernés.
Vol de données ou cyber-extorsion
Une société canadienne de technologie de l'information a passé un contrat avec un fournisseur de logiciels étranger. Le fournisseur a laissé certaines valeurs par défaut "administrateur" sur le serveur de la société et un "hacker à louer" a été payé 20 000 dollars pour exploiter la vulnérabilité.
Le pirate a exigé un paiement d'extorsion, faute de quoi il publierait en ligne les enregistrements de millions d'utilisateurs enregistrés.
Les dépenses et les paiements liés à l'extorsion devraient dépasser les 2 000 000 $.
