Effacer les frontières entre cyberrisques, risques technologiques et risques liés à la propriété intellectuelle dans le secteur public canadien | Axis Insurance

L'industrie

Toutes les industries

Solutions

Toutes les solutions
Table des matières

L'infrastructure numérique est désormais à la base de presque tous les services publics au Canada. Des opérations municipales aux systèmes de santé en passant par les environnements d'apprentissage en classe, les organismes publics s'appuient sur un réseau complexe de technologies interconnectées. Lorsque ces systèmes tombent en panne, l'impact est immédiat et très visible. Un seul incident impliquant un fournisseur de technologies tiers peut rapidement se répercuter sur plusieurs municipalités, divisions scolaires, organismes de santé et agences gouvernementales. Ce qui était autrefois un problème technologique localisé peut désormais devenir une perturbation multi-organisationnelle en quelques minutes. Les conséquences sont importantes.

Les entités publiques peuvent être confrontées à :

  • Interruption de service et arrêts opérationnels
  • Enquêtes sur l'exposition des données et la confidentialité
  • Atteinte à la réputation et surveillance accrue de la part du public
  • Coûts financiers et de remise en état considérables

Ces résultats mettent en évidence une réalité qui s'impose de plus en plus dans l'ensemble du secteur : les entités publiques ne sont plus de simples prestataires de services, elles sont devenues des opérateurs technologiques.

Les entités publiques sont désormais des opérateurs technologiques

Le secteur public moderne exploite des écosystèmes numériques aussi complexes que ceux de nombreuses entreprises privées. Cela comprend la gestion de logiciels, la prise en charge de plateformes intégrées et la maintenance d'environnements de données partagés entre les agences, les partenaires et les fournisseurs. Pour de nombreuses organisations, cet écosystème comprend :

  • Plateformes en ligne pour les impôts, les services publics et les permis
  • Systèmes d'information sur les étudiants et de gestion de l'apprentissage
  • Outils pour les patients et les clients
  • Applications sur mesure, plateformes de données partagées et publications numériques

Ces outils offrent des avantages opérationnels évidents, mais ils modifient également le profil de risque de l'organisation. Lorsque les systèmes tombent en panne ou que les services numériques sont interrompus, les pertes qui en résultent sont rarement couvertes par une seule police d'assurance. Un seul événement peut déclencher :

  • Responsabilité civile liée à la cybercriminalité
  • Technologie et responsabilité professionnelle
  • Interruption d'activité
  • Risques liés aux médias et à la propriété intellectuelle

Les structures traditionnelles de couverture du secteur public n'ont pas été conçues pour un tel niveau d'interconnexion. Il en résulte un besoin croissant de comprendre comment ces risques se recoupent et où peuvent exister des lacunes.

Une exposition croissante et souvent négligée

Les acteurs malveillants ciblent de plus en plus les chaînes d'approvisionnement technologiques. Au lieu d'attaquer des organisations individuelles, ils se concentrent sur les logiciels et les services qui en soutiennent plusieurs. Une seule compromission peut avoir des répercussions sur des dizaines d'entités publiques en même temps. Parallèlement, les organisations publiques génèrent et stockent plus d'actifs incorporels que jamais auparavant. Les données propriétaires, les applications développées en interne, les contenus numériques originaux et les outils de workflow uniques font tous l'objet de considérations en matière de propriété intellectuelle.

Ces risques sont souvent insuffisamment couverts par les programmes d'assurance standard des municipalités, des établissements d'enseignement, des établissements de santé et des organismes publics. Les lacunes en matière de couverture apparaissent le plus souvent là où les risques liés à la cybersécurité, aux services professionnels et à la propriété intellectuelle se recoupent, c'est-à-dire dans le domaine où la numérisation du secteur public progresse le plus rapidement.

Les angles morts des contrats et des risques liés aux fournisseurs

À mesure que les entités publiques développent leurs capacités numériques, elles font de plus en plus appel à des sociétés tierces pour l'hébergement, le développement de logiciels, l'intégration de systèmes et le support technique continu. La commodité et l'expertise offertes par ces fournisseurs sont évidentes, mais la structure contractuelle qui régit ces relations crée souvent des risques cachés. Plusieurs questions méritent d'être prises en considération :

  1. Les clauses d'indemnisation et de limitation de responsabilité transfèrent souvent le risque à l'entité publique.
    • De nombreux fournisseurs de technologies incluent des clauses qui limitent leur responsabilité financière, quelle que soit l'ampleur des conséquences d'une défaillance. Dans la pratique, cela signifie qu'un client municipal ou éducatif peut supporter la majeure partie des pertes, même si la cause première incombe au fournisseur.
  2. L'assurance cyber ne comble pas automatiquement les lacunes contractuelles.
    • Même si un cyberévénement trouve son origine chez un tiers, la réponse de l'assureur dépend des termes de la police. Les pertes découlant d'obligations contractuelles, de défaillances au niveau des services ou de problèmes de performance des fournisseurs peuvent ne pas être couvertes.
  3. Les normes de performance, les contrôles de sécurité et les délais de réponse doivent être intégrés dans le contrat.
    • Des attentes claires en matière de disponibilité, de fréquence des correctifs, de délais de notification des violations et de traitement des données peuvent réduire considérablement l'exposition, mais elles doivent être contractuelles et non présumées.
  4. L'insolvabilité des fournisseurs lors d'un cyberévénement est un risque émergent et important.
    • Certains fournisseurs de services technologiques ne disposent pas des ressources nécessaires pour survivre à des incidents majeurs. Si un fournisseur fait faillite en cours d'événement, les entités publiques peuvent se retrouver avec des systèmes non pris en charge, un accès limité aux données et aucun recours.

Lorsque des services essentiels dépendent de fournisseurs, les hypothèses deviennent des responsabilités. Les contrats qui n'étaient autrefois que des formalités administratives déterminent désormais l'issue des mesures prises en cas de crise, du redressement financier et de la confiance du public. Si le risque lié aux fournisseurs n'est pas examiné avec la même rigueur que la posture cyber interne, l'exposition n'est pas seulement théorique, elle est déjà intégrée dans les opérations quotidiennes. Le moment est venu de renforcer les contrats, de clarifier les obligations et de renforcer l'alignement des assurances, avant qu'un fournisseur ne devienne le maillon faible dans un incident très médiatisé.

Questions qui méritent d'être posées

À mesure que les opérations du secteur public deviennent plus interconnectées et dépendantes de la technologie, des lacunes apparaissent souvent dans des domaines que les décideurs considèrent comme déjà couverts. Quelques questions stratégiques permettent de déterminer rapidement si les politiques, les contrats et les responsabilités sont harmonisés ou si des risques cachés se développent en coulisses.

  • Nos polices d'assurance cyber et responsabilité civile professionnelle couvrent-elles clairement le même événement ?
  • Le développement ou le partage d'outils numériques soulève-t-il des questions relatives à la propriété intellectuelle ?
  • Sommes-nous protégés si une défaillance technologique tierce interrompt nos services ?
  • Qui dirige et coordonne les interventions lorsque plusieurs politiques sont concernées ?

Si ces réponses ne sont pas claires, le risque peut déjà être présent.

Les risques liés au secteur public ont évolué et les stratégies d'assurance doivent évoluer en parallèle.

Il est temps pour les municipalités, les organisations à but non lucratif, les divisions scolaires, les organismes de santé et les agences publiques de réexaminer la manière dont les risques liés à la cybersécurité, à la technologie et à la propriété intellectuelle s'articulent au sein de leurs programmes d'assurance.

La clarté avant un incident est bien plus précieuse que la certitude après coup. Si vous êtes préoccupé par la responsabilité professionnelle ou les risques liés aux technologies émergentes, contactez notre équipe dès aujourd'hui pour en discuter.

Contacter le secteur public +

Partager l'article :

Barrie Latter

Consultant principal, Ventes, Secteur public+

Je m'appelle Barrie Latter et je suis consultant principal pour le secteur public chez Axis Insurance. Je possède plus de 15 ans d'expérience dans le domaine de l'assurance et de la gestion des risques, et j'ai consacré ma carrière à aider les municipalités et les organismes du secteur public partout au Canada.

BIOGRAPHIE DE L'AUTEUR

Plus d'informations

Tous les points de vue