Selon IBM, le coût moyen d’une violation de données a atteint le niveau record de 4,24 millions de dollars. Cela pourrait désormais obliger une entreprise à mettre la clé sous la porte. La souscription à une cyberassurance fait donc partie intégrante d’une stratégie proactive d’atténuation des risques.
Et, bien qu’elle ne puisse pas protéger les données et les systèmes les plus précieux d’une organisation, elle peut aider à minimiser les perturbations commerciales post-incident, à accélérer les efforts de récupération, ainsi qu’à réduire les coûts portés à l’entreprise et, dans certains cas, aux partenaires et clients.
Un coût plus élevé et la fin des garanties
Selon Mordor Intelligence, le marché mondial de la cyberassurance devrait croite de 25 % par an en moyenne entre 2020 et 2026, pour atteindre près de 28 milliards de dollars. Mais il suffit de quelques attaques bien orchestrées pour réduire à néant les milliards de primes collectés par les compagnies d’assurance ; car les remboursements sont parfois tellement exorbitants que des assureurs ont déjà subi des sinistres massifs. Mais les cyber-risques liés à la pandémie persistent et la demande en assurance continue donc de croître en parallèle.
En réponse à ces conditions de marché, les primes d’assurance ont fortement augmenté dans tous les domaines. Les normes de souscription, les conditions des polices et les modalités de remboursement deviennent également beaucoup plus strictes ; avec parfois des couvertures réduites de moitié. En 2021, Reuters a ainsi rapporté qu’AIG avait augmenté ses prix de près de 40% à l’échelle mondiale, tout en mettant en œuvre des conditions d’accès plus strictes pour faire face à des cyber-risques en forte croissance.
Ressentant la pression, certains courtiers en assurance refusent même de couvrir l’entièreté des risques. Des renouvellements sont ainsi refusées et les exigences de pré-audit sont beaucoup plus strictes, obligeant à une posture de sécurité plus forte dans les contrôles et aussi dans les plans de réponse aux incidents. L’incapacité de répondre à ces nouvelles exigences peut entraîner une augmentation des taux pouvant allant jusqu’à 300 %. À moins d’apporter des changements immédiats pour renforcer leurs contrôles de sécurité, souvent dans un délai de 60 jours, les clients risquent de perdre complètement leur couverture existante. Le besoin urgent de déployer des contrôles et de démontrer rapidement la réduction des risques pousse par conséquent de nombreuses organisations à explorer des solutions de sécurité SaaS qui offrent un retour sur investissement rapide.
Les garantis et politiques de sécurité demandés
Le paysage de la cyberassurance évolue très rapidement, il est important d’en comprendre les dernières exigences et d’aborder le processus avec une parfaite connaissance des attentes. Si une organisation en envisage pour la première fois, ou s’apprête à renouveler sa police, il lui sera demandé de remplir un questionnaire sur ses outils, contrôles et processus de cybersécurité existants. Le « score » obtenu alors aide le courtier d’assurance à quantifier le niveau de risque et la stratégie de sécurité globale. Bien que le processus d’évaluation de chaque courtier en assurance diffère, certains contrôles de sécurité sont nécessaires pour qu’une organisation obtienne, ou conserve, la couverture de son assurance ; tels que les contrôles et les meilleures pratiques de gestion des identités et des accès (IAM), conformément aux normes de l’industrie.
Par ailleurs, étant donné que les attaques les plus dommageables proviennent bien souvent d’identifiants à privilèges compromis, des contrôles de gestion des accès à privilèges (PAM) sont demandés pour protéger les accès aux systèmes et aux données critiques. Les contrôles des accès standards, par exemple, peuvent également être demandés pour renforcer les défenses contre les ransomwares, protéger les données sensibles dans les environnements cloud et résoudre les problèmes de conformité. Les assureurs veulent aussi avoir la garantie que l’authentification multi-facteurs (MFA) est utilisée afin de renforcer la sécurité et d’authentifier les accès administrateur aux comptes à privilèges. A l’ère du travail hybride, les exigences des assureurs en matière d’authentification multi-facteurs s’étendent de même pour les accès à distance au réseau et à la messagerie électronique. Enfin, les assureurs augmentent les exigences de sécurité des accès à privilèges pour les fournisseurs tiers afin de minimiser les risques liés à la supply chain.
Le secteur de l’assurance tend finalement à continuellement améliorer son approche pour faire face à la nature systémique des cyber-risques. Dans ce cadre, les assureurs s’unissent pour aider leurs clients à naviguer sur le marché de la cybersécurité et à mettre en œuvre des outils et des processus plus efficaces. La gestion des accès à privilèges reste ainsi au cœur d’une stratégie de cybersécurité réussie, afin que les actifs les plus critiques soient correctement protégés.