Une nouvelle étude Delinea met en lumière un écart grandissant entre les attentes des entreprises et les offres des cyberassureurs. Le temps et les coûts associés à l’obtention d’une cyberassurance sont en hausse en 2023, tandis que les clauses d’exclusion se multiplient.
Selon la nouvelle étude Delinea « 2023 State of Cyber Insurance », réalisée auprès de plus de 300 entreprises aux États-Unis, le temps nécessaire pour obtenir une cyber-assurance a considérablement augmenté. Le nombre d’entreprises ayant passé plus de 6 mois dans ce processus a explosé en un an. Parallèlement, 67 % des entreprises sondées ont vu leurs tarifs d’assurance augmenter de 50 à 100 % lors de la souscription ou du renouvellement.
Pour autant, l’étude montre clairement que les entreprises ont besoin d’une telle assurance face à l’intensité et la gravité des attaques : 47% des entreprises interrogées ont fait jouer plusieurs fois leur cyberassurance !
Les clauses d’exclusion, un piège silencieux
L’étude révèle également une augmentation des clauses d’exclusion qui pourraient au final rendre la cyberassurance inopérante. Parmi elles, l’absence de protocoles de sécurité (43 % des entreprises l’ont vu apparaître dans leur contrat), les erreurs humaines (38 %), les actes de guerre (33 %) et le non-respect des procédures conformes (33 %) sont les plus courantes.
« Au début, les cyberassureurs s’efforçaient seulement de répondre à une demande considérable mais ils prennent aujourd’hui conscience de la nécessité de réduire leurs propres risques face à des circonstances évitables ou incontrôlables », observe Joseph Carson, Chief Security Scientist et RSSI consultatif chez Delinea. « D’après les résultats de notre enquête, la plupart des entreprises n’abordent pas la question de la cyberassurance avec la même diligence : elles cherchent simplement à se couvrir. Elles négligent alors de vérifier si leur contrat d’assurance de l’année précédente correspond encore à leurs besoins actuels ou si des clauses ont été modifiées à l’occasion de son renouvellement. Ce “déficit de cyberassurance” pourrait bien mettre nombre d’entreprises dans une situation délicate lorsqu’elles souhaiteront faire appel à ce filet de sécurité financier en cas de cyberincident. »
Investissement en cybersécurité : une condition sine qua non
Néanmoins, 96 % des entreprises ont investi dans au moins une solution de cybersécurité supplémentaire ou particulière pour que leur demande de cyberassurance soit approuvée. Les contrôles en matière de gestion des identités et accès (IAM) et de gestion des accès à privilèges (PAM) sont devenus des exigences contractuelles pour environ la moitié des entreprises sondées.
« Si des entreprises ne disposent pas encore de ces solutions de contrôle d’accès, il est temps pour elles de les mettre en place avant de tenter de souscrire ou de renouveler une cyberassurance. Il s’agit de dispositifs de sécurité indispensables dans le cadre d’une stratégie de cybersécurité, aussi fondamentaux que des logiciels antimalwares, de chiffrement des données, de firewall et de détection d’intrusion ou encore de correction et de gestion des vulnérabilités », conclut Joseph Carson.
puis