Les cyberattaques sont une menace désormais connue de tous, et les ransomwares ont largement gagné en efficacité ces dernières années, notamment en termes de génération de revenus. Cette situation a incité les entreprises à se tourner vers la cyberassurance pour se prémunir contre les lourdes répercussions financières de ces attaques.
La vraie valeur de la cyberassurance ne se trouve pas là où l’on croit
Face à une demande sans précédent, le marché de l’assurance est devenu très volatile : les primes augmentent, les règles concernant ce qui est couvert et ce qui ne l’est pas se multiplient, et des normes minimales ont été instaurées pour les entreprises qui souhaitent bénéficier d’une assurance. Si certaines voient ces augmentations et ces nouvelles règles d’un mauvais œil, beaucoup d’entre elles finiront par considérer cette évolution comme quelque chose de positif.
Souscrire une assurance à l’ère du numérique
Si la cybersécurité est parfois perçue comme un domaine mystérieux, le physique et le numérique sont en réalité bien plus semblables qu’il n’y parait. Il y a trente ans, les entreprises qui cherchaient à protéger leurs actifs critiques pensaient d’abord à souscrire une assurance contre des dangers matériels, tels que les incendies ou le vol d’équipement. Aujourd’hui, les risques sont davantage liés au numérique : une majorité d’entreprises a déjà subi au moins une attaque de ransomware au cours de l’année dernière.
Il n’est donc pas étonnant que la cyberassurance ait gagné en popularité auprès de nombreuses entreprises ; le secteur devrait d’ailleurs atteindre 84,62 milliards de dollars (soit une croissance de 24 %) d’ici à 2030. Toutefois, étant donné que de plus en plus d’organisations souscrivent une assurance et en réclament le remboursement par la suite, son coût n’a cessé d’augmenter et les primes ont grimpé en flèche au cours des trois dernières années. Cette augmentation n’est pas le seul changement opéré par les assureurs, qui cherchent à rentabiliser la cyber-protection au maximum. De nouvelles pratiques, devenues courantes, comme l’évaluation approfondie des risques, l’introduction de normes de sécurité minimales ou encore la réduction de la couverture ont peu à peu été incorporées aux polices d’assurance au cours de ces dernières années.
Refuser de payer la rançon
Dernièrement, il semblerait que la cyberassurance soit devenue un sujet de discorde se résumant à une question essentielle : faut-il payer ou pas ? Si beaucoup contestent l’idée selon laquelle les entreprises ayant souscrit une assurance sont plus susceptibles de payer des rançons, un rapport de 2023 sur les entreprises victimes de ransomwares a révélé que 77 % des rançons ont été payées par l’assurance souscrite. Toutefois, de nombreux assureurs essayent de mettre un terme à cette pratique. Par ailleurs, selon ce même rapport, 21 % des entreprises excluent désormais, et de manière explicite, les ransomwares de leurs polices d’assurance. En outre, plusieurs assureurs excluent expressément le paiement de rançon de leur police d’assurance et proposent de ne couvrir que les coûts liés aux temps d’arrêt et aux sinistres.
Cette approche semble être la plus judicieuse, puisque payer des rançons n’est pas la finalité de l’assurance, une pratique qui aurait plutôt tendance à engendrer de nouveaux problèmes. En effet, les gangs de criminels « marquent » les entreprises promptes à payer la rançon pour penser à renouveler l’attaque une seconde fois et pour partager ensuite l’information avec d’autres gangs. Une étude a d’ailleurs révélé que 80 % des entreprises ayant choisi de payer la rançon ont été à nouveau victimes d’une attaque de ransomware. La reprise des activités, une fois le paiement réalisé, peut également prendre un certain temps avant de récupérer les clés de décryptage. Enfin, si le décryptage fonctionne, une entreprise sur cinq se retrouve tout de même dans l’incapacité de récupérer ses données, même après avoir payé.
Renforcer les polices d’assurance
Heureusement pour les assureurs, payer la rançon avec l’argent de l’assurance est une tendance qui disparaît progressivement. D’autres changements accompagnent la disparition de cette pratique : par exemple, les entreprises qui ont besoin de souscrire une cyberassurance doivent respecter des normes minimales en matière de sécurité et de résilience face aux attaques de ransomwares, en utilisant notamment des sauvegardes cryptées et immuables, et en déployant une stratégie solide pour garantir la disponibilité de leurs systèmes, y compris des processus de reprise après sinistre bien définis pour éviter les temps d’arrêt dus à une attaque de ransomware.
Les entreprises sont désormais plus résistantes face aux ransomwares, disposent d’une cyber-résilience solide, de plans de reprise après sinistre bien définis, et n’utilisent leur assurance que dans l’optique d’atténuer l’impact des cyberattaques et le coût des temps d’arrêt pendant qu’elles récupèrent leurs données grâce à des sauvegardes immuables.