La cybercriminalité augmente, et face à cette tendance, les assureurs augmentent le montant de leurs primes et durcissent les critères de sélection de leurs assurés. Les cyber-assurances doivent en effet être envisagées comme un élément de l’arsenal de cyber résilience à disposition de l’entreprise.
Les cyber-assurances sont-elles la solution pour protéger les données des entreprises ?
Cyber-assurances et stratégie de protection
Ces derniers mois, les entreprises se sont, à juste titre, mises en quête d’une assurance en prévision de cyberattaques devenues quasi inévitables. Une récente étude révèle que 85 % des entreprises dans le monde ont été victimes d’une attaque de ransomware réussie en 2022, contre 76 % l’année précédente. Le secteur de l’assurance peine à s’adapter à cette nouvelle menace qu’il ne maîtrise pas encore, alors que de plus en plus d’entreprises se mettent en quête d’une assurance pour se prémunir. Les tarifs des cyber-assurances ont augmenté de 28 %au 4ème trimestre 2022, après une hausse de 53 % au 3ème trimestre.
En parallèle, les critères de sélection se sont durcis, les primes ont augmenté et le périmètre des types d’incidents couverts s’est restreint. Une réalité qui n’étonne plus, surtout dans le contexte d’un secteur jeune et volatile où les cyber-incidents présentent une complexité spécifique. Or, pour une entreprise, la déclaration d’un sinistre peut s’avérer compliquée et la procédure risque de prendre beaucoup de temps notamment en demande de justificatifs, alors même que les ressources peuvent venir à manquer à la suite d’un cyber-incident. Et même si elle parvient à se faire indemniser, l’entreprise doit être consciente que cet argent ne pourra pas réparer les conséquences plus générales de l’incident. Dans le cas d’une cyberattaque, les conséquences sont plus spécifiques et nuancées. Si un grave incident de sécurité s’est bel et bien produit et un matelas financier peut certes s’avérer utile, mais il ne suffira pas à lui seul pour éteindre l’incendie.
Immédiatement après une attaque de ransomware, les entreprises doivent relever le défi de la reprise d’activité, avec la restauration des données, des applications et la disponibilité des systèmes, car chaque seconde perdue peut coûter des milliers d’euros. À cela s’ajoute en général l’impossibilité de restaurer les systèmes là où l’attaque s’est produite, car, non seulement il s’agit d’une scène de crime à préserver pour les besoins de l’enquête, mais rien ne garantit que l’environnement soit sûr et intact.
Que peuvent faire les entreprises ?
En prenant en compte toutes ces considérations, il ne s’agit pas de ne pas contracter une assurance, mais plutôt de faire en sorte que celle-ci s’inscrive dans une stratégie plus vaste de cyber résilience, avec des procédures de sécurité robustes, de sauvegarde et de reprise d’activité, non seulement pour essayer de réduire la probabilité d’une attaque, mais surtout pour préparer l’entreprise à y répondre.
Les entreprises doivent identifier les données et systèmes indispensables à leur bon fonctionnement et en conserver une copie en lieu sûr en prévision d’une attaque de ransomware. Parfois elles pensent que c’est déjà le cas, soit en interne, soit via leur prestataire cloud, or le plus souvent il n’en est rien. Il est tout aussi important de conserver des copies multiples des données sous diverses formes, notamment hors site, hors ligne et sur des supports immuables. Enfin, les entreprises doivent mettre en place des processus de maintien de leur disponibilité et de reprise d’activité après un sinistre pour éviter et limiter les temps d’arrêt autant que possible.
Le secteur de la cyber-assurance va continuer d’évoluer et de s’adapter à mesure que le paysage des menaces s’étend. Cela est tout à fait naturel compte tenu du flou et de la mutation constante des événements à assurer. Mais si une assurance peut aider une entreprise à rester à flot en cas de sinistre, elle n’est qu’une pièce du puzzle. Alors que les conditions d’éligibilité ne cessent de se durcir, les entreprises ne doivent donc pas se contenter de viser le strict minimum requis, mais plutôt s’efforcer d’aller bien au-delà en adoptant une approche plus globale de la protection de leurs données.