La cyber-assurance a démontré son avantage, ses limites et les problèmes qu’elle soulève dans les récentes attaques par ransomwares notamment. Mais elle se révèle chaque année un peu plus onéreuse, un peu plus restrictive, et un peu plus complexe. Décryptage…
Au cours de la dernière décennie, la cybersécurité a fait une entrée remarquée sur la scène grand public ! L’augmentation fulgurante du nombre d’attaques lors de la crise sanitaire du COVID-19, des incidents majeurs tels que l’attaque du Colonial Pipeline aux États-Unis (qui a provoqué une pénurie de carburant sur la côte est du pays), ainsi qu’un paysage géopolitique de plus en plus tendu sont autant de facteurs qui ont contribué à placer la cybersécurité sous les projecteurs de l’actualité mondiale.
Et alors que la cybercriminalité affecte toutes les facettes de notre vie quotidienne, et que les avancées technologiques ne suffisent plus pour enrayer la propagation, de nombreux professionnels de la sécurité se tournent vers une solution traditionnelle pour résoudre ce problème très moderne : la cyber assurance !
Parce que si l’on observe autour de nous, presque tout est assuré : les habitations, les véhicules et même la vie humaine ! Il semble donc étrange à première vue que la plupart des entreprises ne soient pas encore assurées contre un phénomène aussi potentiellement dévastateur que les attaques cyber.
Une étude récente conduite par l’assureur Hiscox a même révélé qu’un cinquième des entreprises aux États-Unis et en Europe sont devenues insolvables à la suite d’une cyberattaque. En toute logique, dans une telle situation, l’assurance devrait permettre d’apaiser les inquiétudes concernant la continuité des activités à la suite d’un incident, non ?
Malheureusement, ce n’est pas aussi simple qu’il n’y paraît. Il n’est pas évident de transposer les modèles d’assurance traditionnels au monde cyber. Car les facteurs qui déterminent la probabilité d’une cyberattaque sont à la fois innombrables et largement méconnus, surtout si on les compare aux statistiques historiques, vielles de plusieurs décennies, qui aident à déterminer les primes d’assurance pour une maison, une voiture ou même une vie.
Par conséquent, il est difficile, d’un point de vue purement assurantiel, d’évaluer le niveau de risque d’une organisation face à la menace cyber.
Par ailleurs, les professionnels de la cybersécurité eux-mêmes restent divisés quant à l’avenir de la cyber assurance. Si beaucoup la considèrent comme un « filet de sécurité » essentiel pour les petites entreprises, d’autres estiment que les obstacles sont insurmontables, et qu’il sera tout simplement impossible d’assurer le risque cyber. La vérité doit se situer quelque part entre les deux opinions…
L’histoire de la cyber assurance
Au début du millénaire, la Lloyds of London a rédigé la première police d’assurance cyber moderne. Mais ce produit n’a pas décollé. Pourtant, les chiffres semblaient prometteurs, au début : une estimation prudente datant de 2002 prévoyait qu’en 2005, la cyber assurance représenterait un marché mondial de 2,5 milliards de dollars. Las, cette estimation s’est avérée être cinq fois plus importante que ne l’était le marché en 2008.
Les assureurs ont ainsi constaté avec stupeur que le marché de la cyber assurance a diminué alors que l’économie de l’Internet progressait fortement !
Malgré de tels débuts décevants, le marché a tout même progressé : il était évalué à 7,36 milliards de dollars en 2020 et devrait atteindre 27,83 milliards de dollars en 2026. Mais force est de constater que la cyber assurance peine toujours à trouver sa place dans un monde cyber certes toujours plus menacé, mais aussi de plus en plus encombré.
Ainsi, en 2020, seulement 13 % des PME avaient souscrit une assurance cyber. Pire encore, une étude de la société GlobalData a révélé que 29 % des PME britanniques ont annulé leur police en 2021. Et en France il n’est pas rare d’entendre des RSSI se poser la même question…
Pourtant, les professionnels de la sécurité considèrent désormais les cyberattaques non plus comme un risque, mais bien comme une fatalité (ce qui est précisément le problème des assureurs, pour qui il doit exister un aléa afin de calculer un risque !).
Dans cette optique, l’adoption de la cyber assurance devrait progresser beaucoup plus rapidement que ce n’est le cas aujourd’hui. Qu’est-ce qui, au juste, empêche l’assurance cyber de connaitre le succès ?
Les problèmes de la cyber assurance
Le problème le plus pressant dans le secteur de la cyber assurance est sans doute le coût. Les primes ont explosé (jusqu’à +92 % l’an dernier par rapport à l’année précédente pour les principaux assureurs américains !). Pour un secteur qui ambitionne de s’adresser aux PME, la flambée des primes est un véritable frein à la souscription.
Le fait est que les primes sont aussi élevées parce que les attaques sont quasiment systématiques. Et c’est parfaitement logique : des cyberattaques inévitables obligent les assureurs à exiger des primes très élevées. C’est tout le problème du manque d’aléa évoqué précédemment. Et un tel niveau de primes, à son tour, limite l’adoption de l’assurance… et crée ainsi un cycle qui empêche ce marché de décoller.
Ensuite, d’autres problèmes apparaissent si l’on veut traiter la cyber assurance comme les autres branches de l’assurance traditionnelle. Ces dernières, telles que l’assurance habitation ou l’assurance des biens, disposent d’un vaste historique de sinistres et de décennies d’expérience qui a permis de développer un modèle commercial efficace et durable. Ce n’est évidemment pas le cas dans le domaine cyber, un secteur qui n’en est qu’à ses débuts.
Plus complexe encore : de nombreux facteurs déterminent le coût de l’assurance habitation : le taux de criminalité de la zone, la qualité des mesures de protection mises en œuvre, la valeur de la propriété, etc. Tous ces facteurs sont relativement faciles à quantifier et relativement statiques. Or, ce n’est pas le cas de la cyber assurance. Il est difficile de se faire une idée précise du niveau de sécurité exact d’une entreprise à travers de simples questionnaires. Et cela est particulièrement vrai pour les petites entreprises, car les vrais audits qui permettraient d’avoir une vision réelle du niveau de sécurité ne sont pas rentables à ce niveau de primes. Les professionnels de l’assurance le reconnaissent bien volontiers, et l’un d’entre eux a même déclaré : « Nous posons certes beaucoup de questions à travers nos questionnaires de souscription, mais je pense que si nous sommes tout à fait honnêtes avec nous-mêmes, nous ne faisons en réalité qu’effleurer cette évaluation technique ».
L’insuffisance de la normalisation contribue aux difficultés de calcul des primes de l’assurance cyber. Les mesures de sécurité minimales et les meilleures pratiques ne sont pas encore totalement standardisées et varient selon les sources. Non seulement cela rend les facteurs de risque plus difficiles à évaluer et quantifier, et donc les primes plus difficiles à calculer, mais cela encourage aussi les clients à choisir les polices avec les exigences les moins strictes — et donc à cocher la case sans pour autant bénéficier d’une couverture adéquate. Si cette situation perdure, il n’est pas exagéré de penser que la cyber assurance pourra nuire au paysage de la cybersécurité, en renforçant auprès des entreprises un faux sentiment de sécurité.
Cependant, malgré tous ces obstacles, la cyber assurance est loin d’être un pétard mouillé. Le secteur est certes encore très jeune, et il lui reste encore beaucoup de temps pour régler ses problèmes, mais son utilité auprès des entreprises ne fait pas débat.
Les solutions
Car la cyber assurance a le potentiel de révolutionner le paysage de la cybersécurité. Non seulement elle pourrait sauver les PME de la faillite, mais elle pourrait aussi renforcer la sécurité de l’économie dans son ensemble.
L’insuffisance de la normalisation constitue le principal obstacle au succès des polices de cyber assurance. Cependant, la normalisation pourrait être le plus grand atout du secteur ! L’écosystème devrait parvenir à un consensus sur les meilleures pratiques et les mesures de sécurité minimales dans le cadre des évaluations des risques. Les assureurs disposeraient ainsi d’une base de référence à partir de laquelle ils peuvent mesurer les facteurs de risque, et les entreprises pourraient prendre des mesures de base pour améliorer leur sécurité.
La culture du collaboratif permettrait également de remédier à bon nombre des problèmes auxquels la cyber assurance est confrontée. Le partage des données de sinistralité, par exemple, est essentiel pour rapprocher l’assurance cyber des formes traditionnelles d’assurance. Grâce à une mise en commun de leurs informations, les fournisseurs d’assurance, les entreprises et les acteurs de la cybersécurité sont en mesure d’étendre massivement le référentiel de renseignements sur les menaces, les incidents et les sinistres, afin d’établir une base plus solide pour la souscription et la modélisation des risques cyber.
Enfin, des évaluations gratuites des vulnérabilités avant la souscription d’une police d’assurance permettraient aux assureurs d’avoir un aperçu complet de la posture de sécurité de l’entreprise considérée, basé sur un référentiel indiscutable. Et bien entendu, du côté des entreprises elles-mêmes, une évaluation gratuite de la vulnérabilité ajouterait de la valeur à la police d’assurance et fournirait des conseils concrets et opérationnels pour réduire le coût de l’assurance, ce qui encourage l’adhésion.
L’avenir
Malgré tous les problèmes évoqués, l’assurance cyber semble être là pour rester. Il est important de se rappeler que le secteur n’en est qu’à ses débuts, surtout si on le compare aux branches traditionnelles de l’assurance. Avec un peu de temps et une approche adéquate, la cyber assurance pourrait avoir un impact majeur et positif sur le cyber-paysage. Ça vaut bien la peine de laisser sa chance au produit !
___________________
Par Hicham Bouali, One Identity
puis