[Tribune] Souscrire à une cyberassurance, un challenge pour les entreprises
publié le par William Culbert
Lorsqu’il est question de cybersécurité, dirigeants d’entreprises et directeurs informatiques s’interrogent souvent sur les polices de cyberassurance. Tous craignent que leurs primes explosent et constatent une complexité croissante des procédures de souscription, avec un questionnaire de sécurité strict couvrant leurs pratiques internes, leur approche de gestion des risques et les initiatives qu’ils prennent pour réduire leur exposition au risque.
Pour renouveler leur contrat de cyberassurance, certains clients doivent d’ailleurs présenter leur politique de sécurité en détail aux assureurs. Alors comment évolue le secteur des cyberassurances ? Quelles sont les causes de ces changements ? Et à quoi doit s’attendre une entreprise qui souhaite souscrire ou renouveler son contrat de cyber-responsabilité ? William Culbert, Directeur EMEA Sud de BeyondTrust nous livre son analyse.
Evolution des assurances de cybersécurité
Les premières assurances de cyber-responsabilité datent de la fin des années 1990. A l’origine, elles couvraient surtout les conséquences d’erreurs humaines plus que la malveillance (ex. cyberattaques). Le marché des cyberassurances s’est depuis adapté à l’évolution des menaces.
Au cours des 5 à 10 dernières années, les polices d’assurance de cybersécurité se sont généralisées dans les entreprises et font désormais partie de toute stratégie de gestion des risques. Pour les assurés, c’est la garantie d’être indemnisés, tout du moins en partie, en cas de cyberattaque.
Puis est arrivée l’année 2020, la pandémie mondiale, le confinement et le recours massif au télétravail, une obligation pour les entreprises, jusque-là protégées par 4 murs et un périmètre réseau, de s’adapter à un modèle décentralisé. Rares sont les entreprises qui étaient préparées à de tels scénarios. Prises de court, beaucoup ont dû changer leurs pratiques de sécurité à la hâte pour s’adapter au télétravail. Sans surprise, cette situation de crise a coïncidé avec une augmentation alarmante des cyberattaques, avec des compromissions de grande ampleur comme SolarWinds Orion, Colonial Pipeline, JBS Meats, Kaseya… Outre les temps d’arrêt provoqués par cette prolifération d’attaques, les cas de dossiers compromis ont augmenté de 141% en 2020 par rapport à 2019. En 2020, les attaques de ransomwares ont augmenté de 150% et ont causé depuis de nombreux dommages tant dans le secteur privé que public. Le montant moyen des rançons a littéralement explosé, passant de 115.000 dollars en 2019 à 312.000 dollars en 2020 pour atteindre 570.000 dollars au premier semestre 2021.
Des conditions de souscription de cyberassurance de plus en plus strictes
Si les criminels qui propagent des ransomwares en retirent de plus en plus de profits, le secteur des cyberassurances en subit les conséquences. Pour rester solvables et continuer de fonctionner, de nombreux assureurs proposant des contrats de cyber sécurité n’ont d’autre choix que d’augmenter les primes et de réduire le périmètre de couverture, voire de quitter le marché des cyberassurances. Ils soumettent aussi leur souscription à des conditions toujours plus strictes et imposent à leurs clients la mise en place de contrôles de sécurité de type PAM (Privileged Access Management).
Un conducteur imprudent ou malchanceux, déjà impliqué dans plusieurs accidents de la route, ou qui aura eu plusieurs contraventions pour dépassement de la vitesse autorisée s’attend à ce que les tarifs de son assurance auto augmentent ou à ce que l’assureur refuse de reconduire son contrat. Il en va de même pour le marché des cyberassurances. Du point de vue d’un cyberassureur, les conditions actuelles font que tous ceux qui souhaitent y souscrire ne sont pas nécessairement de bons candidats et les clients ne sont pas tous des bons clients. Les conditions de souscription d’une cyber responsabilité sont examinées à la loupe et la décision dépendra des réponses données par les clients, nouveaux ou préexistants, aux questionnaires de sécurité. Les compagnies de cyberassurance tendent également à recruter des professionnels de la sécurité pour les aider à sélectionner les bons candidats et refuser ceux qui ne répondent pas aux critères ou dont le profil de risque est trop important. Certains assureurs optent également pour une approche modulaire avec des contrats distincts pour les malwares, spywares et ransomwares, par exemple. Une entreprise pourra ainsi prétendre à une assurance de base contre les malwares, mais pas contre le risque lié aux ransomwares.
Aujourd’hui, un cyberassureur ne prendra pas le risque de couvrir une entreprise qui n’aurait pas mis en place des mesures robustes de protection contre les cybermenaces. Parmi les nombreux contrôles de sécurité qu’exigent désormais les cyberassureurs, on note notamment : l’instauration du principe de moindre privilège (y compris, suppression des droits admin) sur les comptes humains et machines, l’authentification multifactorielle pour les accès à distance de l’extérieur du réseau par les employés ou des tiers (ex. VPN, PC distant), l’identification des indicateurs de compromission (IoC) et possibilité de les corriger, mise en place de mesures de défense contre les ransomwares, etc.
Bien sûr, une solution PAM ne réglera pas toutes les problématiques de sécurité et ne suffit pas pour remplir tous les critères de souscription d’une cyberassurance. Cependant, le maintien de contrôles de sécurité des accès privilégiés est l’une des recommandations les plus efficaces pour se protéger des cyber-risques, réduire la surface d’attaque et se donner les meilleures chances de pouvoir souscrire à une cyberassurance aux meilleurs tarifs. La gestion des accès privilégiés peut aider à éliminer les vecteurs d’attaque internes et externes et ainsi protéger les privilèges d’accès à l’ensemble des actifs, sur site, dans le cloud, sur les endpoints ou même ceux utilisés par des fournisseurs.
Quelles que soient les solutions choisies, il sera de la responsabilité de l’entreprise d’appliquer des programmes de cybersécurité et des contrôles adaptés des technologies déployées. Les assureurs veillent à ce que leurs clients tiennent leurs engagements de réduction des risques, de diminution de la surface d’attaque et de perfectionnement de leurs stratégies de sécurité IT. En cas de cyberattaque, ils pourront demander des preuves que les contrôles de sécurité prescrits étaient bien en place et actifs. Il suffira d’un contrôle défectueux ou absent, sur un seul endpoint ou une seule application, pour que l’assureur plaide la faute devant la justice.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Un conducteur imprudent ou malchanceux, déjà impliqué dans plusieurs accidents de la route, ou qui aura eu plusieurs contraventions pour dépassement de la vitesse autorisée s’attend à ce que les tarifs de son assurance auto augmentent ou à ce que l’assureur refuse de reconduire son contrat. Il en va de même pour le marché des cyberassurances. Du point de vue d’un cyberassureur, les conditions actuelles font que tous ceux qui souhaitent y souscrire ne sont pas nécessairement de bons candidats et les clients ne sont pas tous des bons clients. Les conditions de souscription d’une cyber responsabilité sont examinées à la loupe et la décision dépendra des réponses données par les clients, nouveaux ou préexistants, aux questionnaires de sécurité. Les compagnies de cyberassurance tendent également à recruter des professionnels de la sécurité pour les aider à sélectionner les bons candidats et refuser ceux qui ne répondent pas aux critères ou dont le profil de risque est trop important. Certains assureurs optent également pour une approche modulaire avec des contrats distincts pour les malwares, spywares et ransomwares, par exemple. Une entreprise pourra ainsi prétendre à une assurance de base contre les malwares, mais pas contre le risque lié aux ransomwares.
