Mylène Jarossay, la présidente du Club des experts de la sécurité de l'information et du numérique (Cesin) citée dans la dernière enquête Lucy de l’AMRAE, explique que la menace ne diminuent pas mais les entreprises se défendent de mieux en mieux. Malgré ces bonnes nouvelles, une cyberassurance n’est pas une couverture tous risques face à un gros sinistre. Philippe Cotelle, le président de la commission cyber de l’Amrae, explique dans l’enquête que les assureurs français ne collectent pas encore assez de primes pour faire face à un très gros sinistre.
La situation serait-elle plus mauvaise aux Etats-Unis au début de l’année 2023? Coalition, un prestataire de cyberassurance californien, annonce une augmentation de 12 % des sinistres cybernétiques au cours des six premiers mois de l'année 2023, en raison de l’augmentation des ransomwares et de la fraude par transfert de fonds (FTF). Les demandes d'indemnisation liées aux rançongiciels au cours du premier semestre 2023 auraient augmenté selon Coalition de 27 % par rapport au second semestre 2022. Autre enseignement, la fréquence des sinistres FTF aurait augmenté de 15 % au premier semestre 2023. D’après l’étude, les 3 ransomwares les plus actifs aux Etats-Unis sont BlackCat (15 %), Royal (12 %) et Black Basta (10 %).
Dans le rapport de Coalition, noter une information qui ne doit pas plaire à Microsoft, les utilisateurs de Microsoft365 seraient deux fois plus susceptibles de subir un sinistre que ceux de Google Workspace.
Face aux risques, quels outils de gestion des risques et méthodes adopter ?
Du côté des cyberassureurs, les primes augmentent, le périmètre de couverture diminue, les franchises s’accroissent. Pour rester rentables, les assureurs qui couvrent le risque cyber demandent des informations complètes et précises aux clients pour anticiper les dérapages. Côté outils numériques, les Système d'Information de Gestion du Risque (SIGR) utilisés par les gestionnaires des risques se déclinent en 3 fonctions essentielles. D’une part, un volet de gestion des risques pour identifier et prévenir les menaces. D’autre part, une déclinaison administrative pour les services de gestion. Enfin, une fonction d’audit interne qui numérise toutes les activités nécessaires. En bref, il s’agit d’une plateforme qui centralise toutes les données liées au risque afin d’apporter un éclairage argumenté et pertinent à la stratégie de l’entreprise dans ce domaine.Par exemple, la plateforme de gestion de l'exposition de l’éditeur Tenable fournit des informations comme la gestion des vulnérabilités, l'annuaire actif, la gestion de la surface d'attaque externe, la sécurité du cloud, etc.
Comme tous les outils numériques, les SIGR doivent s’appuyer sur l’expertise humaine des entreprises sur le terrain qui associe le savoir-faire et des modèles propriétaires. Cela permet aux entreprises d’estimer de manière très précise et réaliste le niveau de prévention. Le coût moyen annuel en mode SaaS d’un SIGR, hors services d’intégration, est de 95k €/an, un coût qui l’exclut du champ des TPE et petites PME.
