Les cyber-risques augmentent suite à l'impact combiné de l'augmentation des niveaux de menace, de l'expansion des surfaces d'attaque et des pénuries de compétences en matière sécuritaire qui désavantage les organisations. Confrontées à une probabilité accrue de subir une faille de sécurité préjudiciable, nombre d'entreprises peuvent envisager de transférer (une partie) de leur responsabilité à un opérateur tiers. Mais celles qui pensent qu'elles peuvent simplement utiliser la cyber-assurance pour remplacer les investissements dans de meilleures pratiques en cyber-sécurité se trompent. En fait, ces pratiques sont désormais toujours plus indispensables avant la cyber-assurance.

Qu'est-ce que la cyber-assurance ?
À la base, la cyber-assurance aide à protéger les entreprises de toutes tailles contre l'impact financier d'incidents graves - violations de données et fuites. Selon le type de police, elle pourrait fournir:
● L’accès à des évaluations préalables à une violation, à des fournisseurs approuvés et à des informations pour aider à renforcer la résilience avant un incident.
● L’assistance avec notification de post-infraction, enquête médico-légale, services juridiques et expertise en gestion de crise
● Un support financier pour les frais juridiques et les réclamations en dommages-intérêts contre l’entreprise
● Couverture des frais encourus pour maintenir l'activité opérationnelle et restaurer les données, ainsi que la perte de revenus.
Les polices peuvent varier considérablement, mais il y a deux grands types de couverture :
● Couverture primaire : liée à l'impact direct d'un cyber-incident sur l’entreprise. Cela couvre le coût des logiciels perdus ou endommagés, des frais juridiques, de la criminalistique, de la notification aux clients, du vol d'argent, etc.
● Couverture de tiers : concerne les réclamations déposées par d'autres contre l’entreprise pour les pertes qu'ils ont subies suite à un cyber-incident. Cela couvre les règlements juridiques avec les clients, les frais d'avocat, de comptabilité, etc.
Il faut savoir que les cyberattaques contre une entreprise, considérées comme des « actes de guerre » peuvent ne pas être couvertes par une police. A Londres Lloyd's a pris la décision controversée de forcer ses assureurs à insérer une clause d'exclusion pour la cyberguerre, afin de réduire la responsabilité en cas d’attaques sponsorisées par des états-nations . Toutefois, prouver qu'un acte de guerre a été commis par un acteur de menace peut être très difficile.

Pourquoi dois-je avoir une cyber-assurance ?
La plupart des entreprises comprendront pourquoi la cyber-assurance devrait représenter une industrie de 64 milliards de US$ en 2029. Une combinaison de cyber-menaces croissantes et des coûts associés, ainsi qu'une surveillance croissante de la part des régulateurs, obligent les entreprises à trouver des moyens éprouvés pour minimiser leur exposition au risque.
Le passage au travail hybride, combiné aux investissements dans le cloud et le numérique pendant la pandémie, a contribué à stimuler la productivité et les processus commerciaux plus agiles, mais a aussi augmenté la superficie des cyberattaques. Les terminaux de télétravail sans correcteur, les systèmes cloud mal configurés et les menaces véhiculées par les mobiles ne sont que le sommet de l'iceberg. Un rapport de 2022 affirme que 79 % des organisations estiment que les changements récents en matière de pratiques de travail ont eu un impact négatif sur la cyber-sécurité de leur organisation. Dans un autre rapport, 43 % des organisations mondiales confirment que leur surface d'attaque connaît « une croissance incontrôlable ». La surface d'attaque s'étend également aux chaînes d'approvisionnement complexes et aux employés potentiellement négligents. Rien qu’en 2021, on estime que 98 % des entreprises mondiales auraient subi une violation via leurs fournisseurs.

Résultats :
● En 2022, les États-Unis ont subi un nombre record de violations de données signalées publiquement
● En 2022, deux cinquièmes des organisations britanniques interrogées ont déclaré avoir subi une faille sécuritaire au cours des 12 mois écoulés
● Plus d'un quart (27 %) des responsables IT et des commerciaux britanniques s'attendent à ce que les attaques de compromission de mails professionnels et de "piratage et fuite" augmentent en 2023, et 24 % disent la même chose à propos des rançongiciels.
Les incidents sécuritaires graves sont plus probables aujourd'hui, mais coûtent aussi plus cher aux victimes. En 2021, le coût des incidents signalés au FBI a atteint 6,9 milliards de dollars US. Un an après, le total a atteint 10,3 milliards de dollarsUS, soit une augmentation de 49 %. Le total des cinq années jusqu'en 2022 atteint 27,6 milliards de dollars.

Comment puis-je bénéficier d'une couverture ?
Au cours des dernières années, le marché de la cyber-assurance a connu de grands changements. Une augmentation des violations par rançongiciels et des réclamations pendant la pandémie ont conduit certains à blâmer le secteur pour avoir indirectement encouragé les acteurs de la menace à lancer des attaques. Les pertes subies par de nombreux opérateurs ont entraîné des mesures correctives - une augmentation significative du taux des primes et une couverture réduite. Heureusement, les prix se stabilisent et les polices redeviennent abordables.
En grande partie, cela est dû à des politiques plus granulaires exigeant plus de clients potentiels. Ainsi, nous voyons évoluer le rôle de la cyber-assurance: de prêteur en dernier ressort à un partenaire sécuritaire incitant à un bon comportement. Bref, en obligeant les entreprises à instaurer des contrôles de sécurité et des mesures de cyber-hygiène conformes aux meilleures pratiques, les assureurs peuvent réellement améliorer la base de la gestion des cyber-risques.

Selon les types de polices, ces mesures pourraient inclure :
● Sauvegardes régulières des données (et hors site)
● Utilisation de mots de passe forts et uniques et d’une authentification à deux facteurs
● Analyse des vulnérabilités et gestion automatisée des correctifs basée sur les risques
● Programmes de formation de sensibilisation à la cyber-sécurité proposés en continu
● Logiciel de sécurité pour terminaux
● Plans de réactions aux incidents régulièrement testés
● Segmentation du réseau afin de minimiser le "rayon d'explosion" des attaques.

Et ensuite?
Les PME et les grandes entreprises classent toujours les cyber-incidents comme leur principale menace. Bien que les coûts continuent de grimper, elles se tourneront toujours plus vers la cyber-assurance. Ceci devrait améliorer la sécurité, réduire les risques et offrir une couverture plus abordable. Mais la route est longue : selon le Forum Economique Mondial (WEF), environ la moitié (48 %) des PME n'ont toujours pas de couverture, contre 16 % pour les grandes organisations. A l'avenir, pour optimiser l’utilisation de l'assurance, la lecture des petits caractères de la police sera plus importante que jamais.
Pour en savoir plus sur la cyber-assurance pour PME, ce manuel ESET vous aidera https://www.eset.com/int/business/resource-center/handbooks/cybersecurity-insurance-for-enterprises-making-an-educated-decision/