La cyber-assurance est souvent perçue comme une bouée de sauvetage pour les entreprises. Mais avec des primes en hausse et des conditions d’acceptation de plus en plus strictes, où se situe la véritable valeur de cette assurance ?
Lorsque vous souscrivez une assurance auto, vous le faites en toute bonne foi. Vous ne vous attendez pas à ce que votre assureur vous rembourse si vous ne respectez pas les limites de vitesse, si vous ne contrôlez pas vos freins ou vos pneus, ou si vous laissez votre voiture ouverte toute la nuit. Il existe un pacte entre vous et votre assureur. Vous assumez la responsabilité du bon état et de la mise en sécurité de votre voiture, et de vos propres actions. L’assurance vous indemnise alors en cas de problèmes imprévus, inévitables et graves.
La démarche est la même pour l’assurance cyber. En tant que société, vous êtes responsable à 100 % de votre propre cybersécurité, et les fournisseurs d’assurance sont là en cas de problème. Pour certaines entreprises, et notamment les petites et moyennes, avoir une cyberassurance peut faire la différence.
Cependant, plus le volume des cyberattaques augmente, plus il est difficile d’obtenir une assurance. Les pertes financières liées aux fraudes à l’assurance sont en effet devenues disproportionnées par rapport aux montants des primes demandées par les assureurs. Selon le rapport IBM Cost of a Data Breach Report 2023, le coût moyen mondial d’une violation de données en 2023 était de 4,45 millions de dollars, soit 15 % de plus qu’en 2020, tandis que la société d’analyse de blockchain Chainalysis a constaté que les acteurs du ransomware gagneront près de 900 millions de dollars sur le dos des victimes cette année. C’est ce que révèlent les récents incidents très médiatisés, parmi lesquels une attaque par ransomware contre MGM Resorts, qui a mis hors service plusieurs systèmes dans certains de ses principaux sites à Las Vegas et qui devrait coûter des millions en frais de remédiation. Certains ont même suggéré qu’il pourrait y avoir un lien direct entre les ransomwares et la cyber assurance. Les attaquants utiliseraient les informations des polices de cyberassurance exfiltrées pour orienter leurs demandes de rançon.
Dans un contexte de multiplication des cyberattaques, il n’a jamais été aussi important de souscrire une cyber assurance, en complément d’une solide posture en matière de cybersécurité. Cependant, les primes d’assurance ne cessent d’augmenter et les assureurs deviennent de plus en plus prudents quant aux risques qu’ils assument.
Au premier trimestre 2023, les primes d’assurance ont augmenté de 11 %. Cette hausse des prix est due au fait que les assureurs se demandent si leurs tarifs actuels couvrent correctement les risques liés aux cybermenaces. Face à cette préoccupation croissante, les assureurs durcissent leurs conditions d’acceptation et élèvent le niveau des exigences minimales en matière de cybersécurité pour les assurés.
Pour pallier les indemnisations, certaines compagnies d’assurance ont mis en place des mesures excluant certains coûts. Vous vous demandez peut-être ce que votre cyberassurance couvre vraiment. Pourriez-vous être indemnisé pour les pertes subies si un employé cliquait sur un e-mail de phishing ? Votre assureur accepterait-il d’honorer un paiement si vous payiez volontairement la demande d’un ransomware ? Cette question pourrait devenir problématique au moment où des pays comme l’Australie et les États-Unis envisagent d’interdire le paiement des ransomwares.
Habituellement, une police de cyberassurance couvre essentiellement la réponse à l’incident (RI), l’enquête judiciaire et les coûts de récupération associés à une attaque. La plupart des entreprises acceptent volontiers de souscrire une assurance dans ces conditions, car le coût d’une telle enquête pourrait avoir un impact négatif sur leur trésorerie, et elles savent que le coût d’une violation de données serait encore plus élevé. Cependant, un grand nombre d’entre elles n’ont pas mesuré les répercussions financières réelles, telles que la perte de parts de marché et son incidence sur le cours de l’action.
Lorsqu’une compagnie de cyberassurance couvre les frais d’enquête judiciaire et de récupération à la suite d’une attaque, ces entreprises peuvent faire appel à leurs équipes juridiques et de RI agréées, dont le rôle est précisément de déterminer si l’un des risques peut être couvert, et quel en est le coût. Leur approche pour répondre aux incidents ne tient pas compte de tous les risques commerciaux potentiels évoqués précédemment.
Les sanctions sont également plus lourdes en cas de violation de données, ce qui peut pousser certaines entreprises à se tourner immédiatement vers la cyberassurance pour tenter de couvrir ces coûts. Cependant, il est peu probable que les assureurs tiennent compte de ces amendes. Cela relève du domaine des conseillers juridiques et des cabinets d’avocats, ce qui signifie que la réaction à l’incident et l’enquête doivent être rapides et précises, et que les conclusions doivent être défendables lors d’une audience juridique.
Pour éviter tout incident, mieux vaut mettre en place des mesures préventives en matière de cybersécurité.
Les modalités de ce qui est assuré ou non par une police d’assurance dépendent en grande partie de la compagnie qui vous assure, mais dans l’ensemble, vous devez vous attendre à ce que les assureurs examinent de près vos pratiques de sécurité. Ils veulent être sûrs que vous avez bien pris toutes les mesures pour éviter les risques et les attaques. Ils vérifieront tout, la sécurité des e-mails, l’état de l’authentification multifactorielle et les procédures de sauvegarde jusqu’aux points d’extrémité, le cryptage, les pares-feux et la sensibilisation des utilisateurs.
La pérennité de l’assurance cyber reste un sujet de débat, mais il est évident que la prévention demeure le moyen le plus efficace de prouver votre sérieux en matière de sécurité et de vous prémunir contre les cyberattaques. Pour faire face à ces incidents, les entreprises doivent élargir leurs choix de mesures défensives pour compléter la couverture de la cyberassurance, au lieu de dépendre exclusivement d’elle. En réalité, la meilleure assurance c’est la prévention, mettre en place les bons outils et processus, comme l’utilisation adéquate des solutions de MDR/MPR (Détection et Prévention Gérées), pour éviter au maximum toute violation.
____________________________
Par Xavier Duros, expert en cybersécurité chez Check Point Software
puis