L’augmentation de la demande pour la cyberassurance reflète malheureusement la menace croissante que représentent désormais les cyberattaques pour les organisations de toutes formes et de toute taille, dans presque tous les secteurs d’activité. Mais qu’est-ce que la cyberassurance, contre quoi protège-t-elle et, surtout, en vaut-elle la peine ? Cet article abordera la cyberassurance plus en détail et tentera de répondre à certaines des questions essentielles auxquelles les entreprises sont confrontées pour décider un investissement dans la cyberassurance est indiqué.
Cyberassurance : une protection nouvelle envers les menaces de cybersécurité
La cyberassurance est conçue pour protéger une entreprise contre les dommages financiers qui peuvent résulter de l’éventail de plus en plus divers des menaces de cybersécurité actuelles. Les ransomwares, les piratages, les violations de données, les attaques DDoS et les logiciels malveillants n’en sont que quelques exemples.
En cas d’attaque, les entreprises ont besoin de toutes les ressources possibles pour y faire face rapidement. C’est là que la cyberassurance peut être extrêmement utile, en particulier pour les petites entreprises, en fournissant le soutien nécessaire pour atténuer l’impact financier potentiellement dévastateur d’un tel événement.
Bien entendu, il est important de souligner que la cyberassurance ne doit jamais remplacer le déploiement adéquat d’un programme de sécurité des données. Elle est plutôt vouée à compléter et renforcer les outils et stratégies existants, pour offrir aux entreprises une autre option à envisager si le pire arrive.
Les domaines couverts par la cyberassurance
Les polices d’assurance cybernétique sont conçues pour couvrir trois principaux types de coûts, tous issus du même scénario de base : la perte de contrôle ou d’accès aux données critiques, aux systèmes informatiques ou aux systèmes de technologie opérationnelle. Ces trois coûts sont les suivants :
- Responsabilité en matière de respect de la vie privée et amendes réglementaires
Cela comprend la défense et l’indemnisation de la responsabilité envers des tiers pour manquement à assurer la sécurité de leurs données, ainsi que les coûts des enquêtes réglementaires découlant d’une violation de données, notamment les amendes et pénalités potentielles. - Coûts des fuites de données
Cela comprend les coûts majeurs associés à la fuite de données elle-même, tels que la criminalistique informatique pour déterminer la cause et la portée d’une fuite, les conseils juridiques, les conseils en relations publiques et le coût de notification/surveillance du crédit pour les personnes concernées. - Interruptions d’activité et autres dépenses
Cela comprend les pertes résultant des temps d’arrêt imprévus et des pertes de productivité, la perte de profits commerciaux et les dépenses engagées pour poursuivre les opérations.
Payer la rançon ou résoudre l’incident : les cas de Lake City et Atlanta
Pour comprendre la valeur (et le dilemme moral) que la cyberassurance peut apporter, voici deux exemples de villes américaines qui ont toutes deux été victimes de cyberattaques au cours des dernières années, mais qui ont choisi deux voies distinctes pour résoudre l’incident, conduisant à des résultats très différents.
En 2019, Lake City en Floride a été victime d’une attaque de ransomware qui a paralysé ses systèmes administratifs. Plutôt que de chercher des moyens de récupérer les données, la ville a choisi de payer la rançon du criminel d’environ 390 000 € via sa police d’assurance. L’administration elle-même n’a dû payer que la franchise de 8 900 euros. La compagnie d’assurance Beazley a réglé le solde conformément aux conditions de sa police. Il a été découvert plus tard que la décision de payer avait d’ailleurs été prise sur la recommandation de Beazley, après que l’analyse a suggéré que le travail nécessaire pour récupérer les données volées à partir des sauvegardes de données aurait probablement coûté des millions de dollars.
Le pragmatisme d’une telle décision est difficile à contester face aux faits. Non seulement une importante somme d’argent a été économisée sur le long terme, mais elle a permis à la ville de se remettre au travail beaucoup plus rapidement que ce qui aurait été possible autrement. Malheureusement, cela signifie également que les criminels se sont fait la malle en toute impunité avec près d’un demi-million de dollars de gains mal acquis.
En revanche, lorsque la ville d’Atlanta a été victime d’une attaque de ransomware SamSam en 2018, elle a refusé de payer la demande de rançon de 46 000 € et a choisi de récupérer les données par ses propres moyens. Bien que cette décision ait laissé les criminels les mains vides, on estime que le coût total pour la ville s’est monté à 7,5 humiliants millions d’euros.
Choisir le bon régime d’assurance
Pour les entreprises qui décident de souscrire une cyberassurance, il est essentiel de choisir la bonne police. Pour ce faire, de nombreux facteurs entrent en jeu. Toutefois, les points suivants devraient tous participer à la décision finale :
- La police couvre-t-elle les attaques qui ciblent directement votre entreprise ou toute attaque dont votre entreprise est victime ?
- Quelles sont les limites de la couverture en interne et pour les tierces parties selon les conditions de la police ?
- La police couvre-t-elle l’ingénierie sociale (par exemple, l’hameçonnage) et les attaques du réseau ?
- À combien se monte la franchise de la police ? La franchise peut varier énormément et considérablement jouer sur la probabilité que vous déclariez un sinistre en cas de violation.
- L’assureur propose-t-il un seul ou plusieurs types de polices ? La police est-elle une extension d’une autre police ? Une police indépendante est préférable, car elle est généralement plus complète.
Outre les cinq facteurs cités ci-dessus, il est également important de déterminer exactement quelles informations doivent être protégées et le niveau de couverture nécessaire. Bien qu’il soit toujours préférable de faire preuve de prudence sur ce point, il n’est pas nécessaire de s’enflammer pour une police beaucoup plus complète (et donc coûteuse) que ce dont vous avez réellement besoin.
Il convient de noter qu’un certain nombre des leaders des assurances se rassemblent dans le cadre de programmes tels que le Marsh’s Cyber Catalyst program, qui permettent aux cyberassureurs d’identifier les solutions de cybersécurité qu’ils jugent efficaces pour réduire les cyberrisques. Le recours à ces solutions de cybersécurité « de référence » peut limiter le risque pour une entreprise et lui permettre également de bénéficier de conditions générales plus favorables.
La profondeur et l’ampleur toujours croissantes des cybermenaces rencontrées dans le paysage moderne des entreprises ont entraîné une augmentation considérable de la demande en cyberassurance ces dernières années. Bien qu’elle ne doive jamais se substituer à une stratégie de cybersécurité robuste, elle peut fournir une couche de protection supplémentaire aux entreprises qui n’ont ni le temps ni les ressources nécessaires pour se remettre d’une fuite majeure par elles-mêmes. Toutefois, la cyberassurance soulève également des questions morales difficiles. Certains font valoir qu’elle encourage activement les criminels à cibler des entreprises connues pour avoir souscrit à une assurance, avec l’espoir de gains faciles. En fin de compte, investir ou non dans la cyberassurance est une décision individuelle, mais qui semble devenir de plus en plus le choix le plus prudent.
Par Jan van Vliet, VP EMEA chez Digital Guardian