AVIS D’EXPERT – La 9ème édition du baromètre du CESIN a révélé qu’en 2023, 49 % des entités interrogées ont été victimes d’au moins une cyberattaque réussie. Pour faire face au risque d’interruption coûteuse de leurs activités, les entreprises réduisent les risques de vols de données en améliorant leur dispositif de sécurité et atténuent l’impact financier des cybermenaces en souscrivant une police de cyberassurance. En 2023, toujours selon le CESIN, 7 entreprises sur 10 ont souscrit une cyberassurance, et la plupart envisage de renouveler ses contrats. Par Ilia Sotnikov, Security Strategist chez Netwrix.
Avant d’offrir la possibilité à une organisation de souscrire un contrat, les compagnies d’assurance doivent évaluer le niveau de sécurité de celle-ci. En fonction des résultats de cet audit, le fournisseur déterminera s’il est disposé à émettre une cyberassurance et à quel tarif. Au-delà de ces exigences susceptibles d’être perçues comme des limites, les responsables informatiques devraient percevoir ces conditions comme l’opportunité de renforcer la cyber-résilience de leur entreprise.
L’évaluation des risques et le champ d’application
Les exigences et les primes relatives à une cyberassurance varient selon le niveau de risque évalué. Sans contrôles de base adéquats, aucune assurance n’est disponible, le respect de toute exigence supplémentaire pouvant contribuer à réduire la prime d’assurance. En effet, l’objectif principal de la souscription à une cyberassurance est de se prémunir contre les pertes financières résultant d’une cyberattaque réussie. Cela inclut la récupération des données et des systèmes, les coûts d’interruption d’activité et les frais liés à la restauration des identités des clients ou des données compromises. Toutefois, il est peu probable que des conséquences à long terme soient couvertes, telles que la perte de bénéfices due au vol de propriété intellectuelle. Dans le cadre de toute police d’assurance, des clauses supplémentaires peuvent être incluses. Elles peuvent englober des aspects tels que le plafond maximal de couverture, les procédures à suivre en cas d’incident avec les autorités compétentes, ou encore la nécessité de recourir à des services professionnels spécialisés dans la négociation de rançons. Il n’existe pas non plus de consensus mondial sur le remboursement des rançons. Tous les assureurs ne couvrent pas ce type de dépenses. En outre, certains experts estiment que cela peut encourager d’autres attaques et financer des activités criminelles. Dans certaines juridictions, le débat porte sur l’opportunité d’interdire purement et simplement le paiement de celles-ci.
Les mesures de sécurité indispensables pour être assuré
Nos récentes recherches ont révélé que la moitié des organisations assurées contre les cyber-risques a pris des mesures de sécurité supplémentaires, que ce soit pour se conformer aux exigences de la cyberassurance choisie ou simplement pour être admissibles à une telle couverture. De manière générale, les entreprises qui envisagent de souscrire à une cyberassurance doivent démontrer un niveau de sécurité informatique solide. Il s’agit notamment de mettre en œuvre des protocoles de protection des données et de gestion des cyber-risques, et de proposer une formation régulière pour leur personnel sur les meilleures pratiques de sécurité. Les organisations doivent également effectuer régulièrement des évaluations de vulnérabilité et des tests de pénétration pour identifier et corriger les vulnérabilités potentielles de leur infrastructure informatique. Les compagnies d’assurance sont flexibles dans leurs exigences en fonction de la taille de l’organisation et de la nature de ses activités régulières. Par exemple, la mise en œuvre de l’authentification multifacteur ne signifie pas nécessairement qu’il faille l’imposer à tous les utilisateurs. Un assureur peut exiger une authentification supplémentaire uniquement pour les utilisateurs ayant un accès privilégié à des données et à des systèmes sensibles. En outre, bien qu’un processus solide de gestion des correctifs soit généralement nécessaire, le délai de déploiement des mises à jour peut-être plus fastidieux pour les PME que pour les entreprises multinationales. Cependant, le fondement demeure le même : les compagnies d’assurance s’attendent à ce que chaque client exerce son « devoir de diligence », à savoir comment l’entreprise comprend, gère et communique les risques. Ce devoir varie selon des éléments tels que la taille de l’entreprise, son domaine d’activité, le type de données traitées et le niveau de couverture souhaité. Une transparence totale sur les incidents de cybersécurité passés et une collaboration étroite avec l’assureur pour évaluer et atténuer les risques futurs sont des éléments essentiels pour la souscription réussie d’une cyberassurance.
Comment tirer davantage parti de l’audit de cyberassurance
Investir dans une cyberassurance est une décision qui est souvent incitée par la direction générale, mais c’est aux responsables informatiques qu’il incombe de remplir les conditions nécessaires à sa souscription. Le processus d’audit peut notamment fournir des informations précieuses sur la position de l’organisation en matière de sécurité. De manière générale, les assureurs possèdent une expertise en risques informatiques plus affutée que les équipes IT des organisations. Les compagnies d’assurance travaillent avec des clients de divers secteurs et procèdent quotidiennement à des évaluations des risques. Elles ont une visibilité globale et actualisée des cybermenaces, et proposent des services ainsi que des mesures qui permettent de réduire les risques, comme des formations et des services de renseignements sur les menaces. Souscrire une cyberassurance permet donc de tirer parti de leur savoir-faire pour renforcer la sécurité et garantir la conformité aux exigences législatives et sectorielles. Bien entendu, les compagnies d’assurance n’ont pas une connaissance exhaustive de toutes les nuances d’une entreprise spécifique, et certaines de leurs suggestions peuvent ne pas correspondre exactement à leurs processus opérationnels. Il est cependant important d’examiner attentivement et respectueusement toutes les recommandations, et toute divergence de point de vue peut être discutée entre les deux parties. Cocher toutes les cases de la liste fournie par l’assureur ne garantit pas automatiquement la sécurité de l’entreprise. Néanmoins, cet audit pourrait mettre en évidence les lacunes en matière de sécurité et encourager des investissements supplémentaires, dans la mesure où la mise en œuvre de nouvelles solutions de sécurité réduit le coût de la cyberassurance.
Ilia Sotnikov, Security Strategist chez Netwrix