Mieux vaut prévenir que guérir, ce vieil adage reste pertinent pour les entreprises qui anticipent les dommages causés par une cyberattaque en améliorant leurs défenses numériques. C’est une évidence, le coût de la reprise d’activité est supérieur au montant de l’indemnisation si la victime ne s’est pas préparée même si les sinistres sont en réduction selon l’AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise).
Cet investissement dans la sécurité permet de négocier avec les compagnies d’assurance et de réaliser ainsi des économies substantielles. L’étude de Sophos donne un bon aperçu de la situation avec un panel de 5.000 responsables DSI et RSSI dans les entreprises de toutes tailles dans 14 pays pour les zones Amériques, EMEA et Asie-Pacifique.
Le premier facteur qui pousse les organisations à souscrire une cyberassurance est d’abord de les sensibiliser à l'impact de la cybercriminalité sur les entreprises, comme indiqué dans le graphique ci-dessous. En deuxième lieu, il s’agit d’un élément intégré à leurs stratégie de réduction des risques. Enfin, de leur permettre de travailler avec les clients et partenaires commerciaux qui le demandent.
Sans surprises, Chester Wisniewski, directeur Global Field CTO de Sophos. pointe le fait qu’un des points faibles de l’écosystème IT est l’authentification des comptes. « Notre dernier rapport indique par exemple que les identifiants compromis sont la cause première des attaques, alors que dans 43 % des investigations, l’authentification multifacteur (MFA) n’avait pas été configurée ». Or, l’authentification MFA est un préalable indispensable pour les compagnies d’assurance.
La cyberassurance est la carotte et le bâton en matière de sécurité IT
Le montant médian payé par les organisations dépourvues de cyberassurance s'élève à 3,41 millions de dollars, soit nettement plus que les 2 millions de dollars versés par les entreprises ayant souscrit une police d’assurance limitée et de 1,53 million de dollars pour celles qui ont souscrit des conditions plus étendues.Sans surprises, le coût de récupération des données en cas de cyberattaque est très souvent supérieur au montant couvert par la police d’assurance. Ainsi, seulement 1 % des entreprises ayant effectué une demande d’indemnisation ont déclaré que leur compagnie avait couvert l’intégralité des coûts supportés, y compris la remédiation des problèmes. Dans la plupart des cas, l’assureur n’a pas pris en charge l’intégralité des coûts. Selon l’étude « L’état des ransomwares 2024 » du même Sophos, le coût de récupération en cas d’attaque par un ransomware a augmenté de 50 % au cours de l’année dernière pour atteindre en moyenne 2,73 millions de dollars. Une information qui situe le niveau de risques financiers directs et indirects (atteinte à la confiance des clients
et fournisseurs, etc.).
Comme dans tous les secteurs assurantiels, le fait de démontrer à l’assureur que des moyens importants de défense ont été mis en œuvre permet d’abord aux souscripteurs d’une police d’y être éligibles. C’est le cas de 76 % des répondants à l’étude qui l’affirment.
Ensuite, ces souscripteurs déclarent obtenir de meilleurs tarifs (67 % des réponses). Enfin, 30 % des répondants disent obtenir de meilleures conditions d’assurance.
La rentabilité des investissements en termes de sécurité repose sur l’efficacité des défenses en cas d’attaque réussie mais aussi sur les fait que cela libère des ressources informatiques et qu’il y a moins d’alertes et de faux positifs.
« Il reste à espérer que la sécurité des entreprises continuera de s’améliorer à mesure que l’adoption de polices d’assurances cyber se poursuivra. […] Cela ne fera pas disparaître les attaques de ransomware, mais cela fait partie de la solution » précise Chester Wisniewski.