Selon les chercheurs de Statista, le marché mondial de la cyberassurance devrait atteindre 20 milliards de dollars d’ici 2025. C’est une augmentation par rapport à un peu moins de 8 milliards de dollars en 2020.
La cyberassurance est désormais une méthode largement utilisée par les entreprises, en particulier les grandes organisations, pour se protéger des cyberattaques. « Tout le monde l’a », comme le dit un expert, du moins dans les grandes entreprises. Et les régimes de cyberassurance dédiés sont également de plus en plus courants parmi les petites et moyennes entreprises (PME).
La publicité entourant les cyberattaques, en particulier les rançongiciels, a suscité un intérêt pour la cyberassurance. Mais alors que les RSSI et les DSI considèrent de plus en plus l’assurance comme faisant partie de leur cadre de cybersécurité, cela n’est pas sans poser de problèmes. Les primes augmentent, les assureurs excluent davantage de risques – y compris les actes de guerre et les ransomwares – et les assurés peuvent être contraints de prendre des mesures de contrôle onéreuses pour obtenir la couverture dont ils ont besoin.
Heidi Shey, analyste en chef chez Forrester, affirme qu’il y a eu un « durcissement du marché » ces derniers temps et que certains assureurs, comme AXA France, refusent de souscrire une couverture contre les ransomwares.
Dans le même temps, des rapports indiquent que des groupes de rançongiciels ciblent activement les compagnies d’assurance cyber, faisant leurs réclamations juste en dessous des plafonds de chaque police.
« La principale tendance que nous avons constatée au cours des 12 derniers mois est une réduction de la limite d’indemnisation – le montant maximum qu’un assureur paiera dans le cadre d’une police – et l’augmentation du coût de la cyber-assurance en raison des pertes de ransomware impactant le portefeuille de cyber-assurance de touchent presque tous les assureurs », déclare Simon Gilbert du courtier d’assurances Elmore. Tout cela peut rendre difficile l’obtention de la bonne couverture.
Qu’est-ce que la cyber-assurance ?
La cyber-assurance se présente sous deux formes principales – en tant que police autonome, ou en tant que couverture contre les interruptions d’activité, ou même en tant qu’assurance générale pour les petites entreprises.
À son niveau le plus élémentaire, la cyberassurance verse une somme convenue pour aider les entreprises à prendre des mesures correctives et à rétablir les services. Mais le marché est complexe. Par exemple, certaines politiques excluent la perte d’argent due à la compromission des e-mails professionnels. La couverture d’assurance pour la perte de données client ou les réclamations pour dommages varie également considérablement, comme l’a noté le National Cyber Security Center (NCSC) dans son Cyber Insurance Guide.
« La cyberassurance existe depuis environ 20 ans, et au début, elle était axée sur les violations de données et le vol de données », a déclaré Matthew Martindale, partenaire spécialisé en cybersécurité et finance au sein du cabinet de conseil KPMG. « Mais récemment, l’accent a été mis sur les ransomwares. Cela a conduit à des changements dans la couverture, avec une plus grande concentration sur les perturbations des activités. »
Cela a conduit à la cyber-assurance offrant plus que de simples paiements en espèces. Les assureurs proposent une gamme de services de gestion et de réponse aux incidents, allant des communications et de l’assistance juridique à la criminalistique numérique. Cela peut s’étendre à la gestion des conséquences d’une violation de données ou d’enquêtes sur une fraude.
Certains assureurs proposent également des conseils en matière de cybersécurité et de gestion des risques pendant la durée de l’assurance. Ces services peuvent être très utiles, en particulier pour les entreprises dont les capacités de cybersécurité sont limitées ou inexistantes. Cependant, pour les organisations plus grandes ou plus matures, cela peut simplement dupliquer ou même compliquer les plans de réponse aux incidents existants.
Les défis de l’assurance
Bien que le marché de la cyberassurance soit appelé à se développer, il devient de plus en plus difficile pour les entreprises de souscrire la bonne couverture.
Le plus grand défi est le coût. Les primes augmentent et la couverture d’assurance est réduite. De plus, les assureurs peuvent rechercher des mesures de sécurité et de conformité que certaines entreprises ne peuvent pas se permettre.
« Je dirais que les primes augmentent et je pense que cette tendance va se poursuivre car le paysage technique et juridique devient de plus en plus complexe », explique Ilia Kolochenko, fondateur de la société de sécurité Immuniweb. Comme risque croissant, il souligne l’augmentation des amendes en vertu de la loi sur la protection des données, certains assureurs refusant de souscrire de nouvelles affaires.
Il conseille aux RSSI d’être très prudents lors de la conception des contrats de cyberassurance, car un manque d’attention aux détails peut signifier que les entreprises n’ont pas la couverture qu’elles pensaient avoir achetée.
« Les pièges les plus courants que nous voyons sont soit trop d’exclusions, soit la politique utilise un langage trop large », déclare Kolochenko. Cela conduit les assureurs à refuser de payer.
Et comme le souligne le NCSC, les cybermenaces évoluent rapidement. Les RSSI doivent évaluer si la couverture s’applique aux menaces nouvelles ou émergentes. Sinon, la politique peut être d’une utilité plus limitée.
Un autre problème est la nécessité pour les entreprises de prendre des mesures de cybersécurité spécifiques avant d’acheter une couverture. Bon nombre de ces mesures sont des mesures que les entreprises responsables prendront de toute façon, d’autres sont trop lourdes, coûteuses ou d’une valeur pratique douteuse.
Il s’agit d’un défi particulier pour les petites entreprises, déclare Muttukrishnan Rajarajan, membre du Chartered Institute of Information Security et professeur d’ingénierie de la sécurité à la City, Université de Londres.
« Les pièges les plus courants que nous voyons sont soit que vous avez trop d’exclusions, soit que la politique utilise un langage trop large. »
Ilia Kolochenko, Immuniweb
« Même si les PME connaissent l’assurance, je vois que le plus grand défi dans l’interaction avec elles est qu’elles sont poussées à perfectionner leur cyber-hygiène et à obtenir une certification comme Cyber Essentials Plus avant même de tenter une cyber-assurance », déclare Rajarajan.
« Dans de nombreux cas, ils n’ont tout simplement pas les ressources ou le budget pour relever les défis et mettre en œuvre des contrôles, les laissant non assurés, que ce soit en raison d’une préparation à l’assurance plate ou de primes prohibitives. »
Les grandes entreprises font face à leurs propres difficultés. « La cyberassurance est difficile à obtenir aujourd’hui, car les assureurs emploient une équipe rouge ou des testeurs d’intrusion pour évaluer les programmes de sécurité des clients potentiels afin de s’assurer qu’ils respectent un certain niveau de normes de cybersécurité », a déclaré James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4.
Ces tests sont effectués avant qu’une politique ne soit convenue. Même dans ce cas, la couverture d’assurance sera probablement inférieure à celle de 2019, déclare McQuiggan. Il souligne que les politiques ont augmenté d’environ 50 % entre 2018 et 2019 et que les entreprises « constatent désormais des augmentations de 5 % à 18 % par trimestre en raison des attaques de ransomwares ».
D’autres observateurs de l’industrie voient des problèmes similaires. « L’inclusion irréaliste ou inutile dans les listes de contrôle de la cyberassurance est un défi pour les RSSI », a déclaré Rob Demain, PDG de la société de sécurité e2e-assure. « Par exemple, une liste de contrôle peut demander si une entreprise applique des correctifs de sécurité dans les 30 jours suivant leur publication. Toutes les entreprises n’ont pas besoin de chaque patch et peuvent ne pas être en mesure de l’appliquer dans les 30 jours. Une autre liste de contrôle peut indiquer que l’entreprise doit avoir un SIEM [security information and event management] Surveillance 24h/24 et 7j/7 par un SOC [security operations centre]. L’achat, le déploiement et la gestion d’un SIEM et la mise en œuvre d’une réponse 24h/24 et 7j/7 peuvent coûter 250 000 £ pour lesquels les entreprises n’ont tout simplement pas le budget.
Certains grands assureurs n’approuvent que 5% des candidats, explique Demain. « Ce pourcentage infime doit également rester conforme tout au long de l’année, ce qui est difficile à réaliser avec une évaluation continue et rigoureuse », ajoute-t-il. Cependant, cela ne signifie pas que la cyber-assurance est sans valeur.
Faire fonctionner la cyberassurance
Le marché de la cyberassurance souffre certainement de sa complexité, et les assureurs et leurs clients ont compliqué les choses en utilisant des polices pour payer les demandes de ransomware.
« La bonne nouvelle est que dans la plupart des cas, les assureurs sont prêts à accepter la limite totale d’interruption d’activité due aux attaques de ransomwares », déclare le courtier Simon Gilbert. « Ce sont les demandes de rançon réelles qui ont été le plus repoussées. »
Mais même lorsque les politiques sont plus coûteuses et restrictives, elles sont toujours utiles. Les entreprises devraient avoir une attitude très cool vis-à-vis des cyber-risques pour ne pas souscrire d’assurance du tout.
Cependant, les RSSI et les propriétaires de risques doivent être réalistes avec leurs conseils d’administration quant à ce que les politiques peuvent et ne peuvent pas faire. Malgré tous les tests et conseils précontractuels, la cyberassurance n’arrêtera pas les attaques. Cela ne peut pas non plus empêcher la perte d’activité ou l’atteinte à la réputation.
Comme le dit un expert en assurance, une police cybernétique est un « filet de sécurité ». Il est destiné à prévenir les dommages potentiellement mortels. Les conseils d’administration peuvent ajuster le niveau de couverture dont ils ont besoin et les primes qu’ils paient en fonction de leur propre appétit pour le risque.
« La cyberassurance n’arrêtera pas une cyberattaque, mais elle aidera une entreprise à se rétablir plus rapidement et, dans la plupart des cas, à prévenir une défaillance catastrophique », déclare Gilbert.
« De nombreuses entreprises ont utilisé l’assurance comme une sorte de béquille pour traverser en boitant et éviter certains changements technologiques difficiles. »
Matt Middleton-Leal, Qualys
Et les entreprises peuvent faire beaucoup pour mettre de l’ordre chez elles. Ces dernières années, certainement avant la pandémie, certaines entreprises se sont trop appuyées sur la cyberassurance pour couvrir les risques qu’elles auraient pu – et auraient dû – atténuer elles-mêmes.
Cela était en partie dû à un manque de ressources et de compétences, explique Matt Middleton-Leal, directeur général pour l’Europe, le Moyen-Orient et l’Afrique (EMEA) Nord chez le fournisseur Qualys. « Je pense que le défi est que de nombreuses organisations ont utilisé l’assurance comme une sorte de béquille pour leur permettre de traverser et d’éviter certains changements technologiques difficiles », dit-il.
« Il existe actuellement environ 185 000 vulnérabilités dans le monde. Mais si vous résumez cela en termes de risques encourus, cela revient probablement à 30, 40 ou 50, ce sont des choses que les entreprises doivent corriger et empêcheront les violations de se produire, bien sûr pas dans tous mais à grande échelle de cas.
Middleton-Leal ajoute : « La réduction du risque global est bien plus importante que l’achat d’une assurance. Mais les organisations ne l’ont pas fait parce qu’elles ne pouvaient pas obtenir ces données et les relier au risque approprié. »
C’est un domaine où les assureurs – et les RSSI – pourraient travailler plus étroitement ensemble. Les assureurs veulent souscrire des polices rentables, du moins à moyen et long terme. Les organisations ont besoin d’une assurance qui les protège contre les pires cyberattaques et permet aux conseils d’administration de compenser les risques qui ne peuvent être supportés ou atténués en interne.
En fin de compte, la cyberassurance concerne autant la gestion des risques d’une entreprise que la protection de ses systèmes ou de ses données.
« D’après mon expérience, les assurés ont encore beaucoup à faire pour comprendre leur cyber-risque et le communiquer à leurs conseils d’administration et administrateurs », déclare Martindale de KPMG. « Quel risque courons-nous, quel risque pensons-nous pouvoir prendre et quelle est notre tolérance au risque ? »
Répondre à ces questions aidera les RSSI à tirer le meilleur parti de toute cyber-couverture.
Le poste Que doit savoir un RSSI ? est apparu en premier sur Germanic News.
