Alors qu’en France le débat autour des cyber-assurances suit encore son cours et que la demande ne cesse de croître, les cyber-attaques sont devenues le quotidien de toutes les entreprises. Elles sont pratiquement inévitables et les coûts qui en résultent peuvent être particulièrement élevés. Les assureurs peuvent-ils proposer une cyber-assurance flexible et abordable pour toutes d’entreprises peu importe leur taille ?

Le paysage des menaces cyber

Dans un récent rapport, des chercheurs ont révélé que les petites et moyennes entreprises (PME) subissent actuellement 11 à 13 attaques par jour et par appareil. Pendant ce temps, l’augmentation des terminaux connectés, le télétravail et la transformation numérique des entreprises rendent la surface de la menace plus large et plus complexe que jamais. Les cyber-événements les plus médiatisés ces derniers temps impliquaient des attaques sophistiquées de ransomwares contre des infrastructures critiques et des entreprises technologiques. Ces derniers mois, de nombreux gouvernements à travers le monde ont placé la cybersécurité en tête des priorités de leurs politiques publiques.

Toutefois, en France près de 98% des entreprises sont des TPE-PME. Ces entreprises sont confrontées à un flot continu et incessant d’attaques, dont les auteurs utilisent une gamme d’outils moins sophistiqués, mais non moins efficaces, tels que le phishing, le DDoS (déni de service), le vol de données et les logiciels malveillants. De plus, il est de plus en plus fréquent d’observer des tendances et tactiques cybercriminelles émergentes telles que le RaaS (Ransomware-As-A-Service). Certains pirates se sont même spécialisés dans l’attaque de ces structures. Cela signifie que même les plus petites structures sont devenues des cibles intéressantes face à la facilité et à la rentabilité de l’opération du piratage.

Risque vs coût de l’assurance

L’impact d’une cyberattaque peut être dévastateur. Un jour, tout semble se dérouler normalement ; le lendemain, l’entreprise ne peut plus traiter les paiements par carte, les réapprovisionnements ou effectuer même les tâches automatisées les plus simples. Clients, partenaires et fournisseurs peuvent tous être victimes du chaos qui s’ensuit.

Aujourd’hui, de plus en plus d’industries sont connectées – que ce soit en interne entre collaborateurs qu’en externe avec ses partenaires fournisseurs. Une attaque n’a pas forcément besoin qu’un terminal soit mal protégé, il suffit d’une application pour smartphone, d’un système de point de vente (POS) ou d’une connexion numérique quelque part le long de la chaîne d’approvisionnement pour trouver et exploiter une faille. L’entrepôt compatible IoT, le logiciel de chaîne d’approvisionnement ou même la camionnette de livraison électrique sont aussi des points d’entrée possibles bien souvent négligés. Trouver une nouvelle porte d’entrée est un terrain de jeu pour les cybercriminels et le manque de sécurité a un prix.

La plupart des entreprises, quels que soient leur taille et leur secteur, ne sont pas correctement préparées à une cyberattaque, et ce bien que les conséquences et les coûts peuvent être élevés. Les PME sont généralement les plus touchées avec 60 % de fermeture dans les six mois suivant une cyber-attaque. Pourtant, en France, 82 % du marché de la cyber-assurance concernent les grandes entreprises, 13 % des ETI, PME et TPE se partageant les 5 % restant[1]. Ce même rapport explique que la raison invoquée par ces petites entreprises pour la non-souscription serait le coût des primes d’assurance trop élevé. En effet, lors de l’évaluation du risque par rapport au coût de la couverture, près d’un tiers des entreprises ont choisi de prendre le risque.

À noter que les différentes prises de paroles de la part de représentants publics contre le paiement de rançongiciels poussent les assureurs à examiner leurs provisions de couverture. Par ailleurs, l’année dernière, AXA France – un des plus grands assureurs généralistes du territoire – a annoncé qu’il ne couvrirait plus le coût des paiements de rançongiciels (ransomwares). Résultat : il y a un manque d’unité sur le marché de l’assurance pour les cyber-risques, qui rend le sujet complexe et inaudible pour les entreprises confrontées à un risque réel.

Mieux vaut prévenir que guérir

Créer un avenir plus durable pour la cyber-assurance signifie équilibrer le risque perçu pour les entreprises avec les coûts facturés. L’adoption d’une nouvelle approche de la cybersécurité axée sur la prévention ouvre la voie à cet équilibre. En matière de détection et de réponse cyber, ces dernières ne peuvent plus avoir une approche dépassée reposant sur la détection des menaces connues. Au lieu de cela, une approche de type prevention-first stop les acteurs de la menace aux portes du réseau, en utilisant des modèles de machine learning basés sur l’intelligence artificielle (IA). Ceci permet également d’identifier une menace avant qu’elle ne soit exécutée et avant même qu’elle ne soit connue.

Pour les entreprises disposant de ressources informatiques internes limitées – notamment les PME qui sont particulièrement vulnérables – il existe des assistances de soutien pouvant les accompagner avec des ressources spécialisées en sécurité via un abonnement mensuel. Couplé à l’approche de prevention-first, cela permet d’augmenter la capacité d’une entreprise à détecter, surveiller, réagir et prévenir les failles de sécurité, afin d’optimiser le temps de fonctionnement et de réduire le risque d’exposition aux attaques.

La prévention des failles ouvrirait la voie à un effet modérateur sur la hausse des primes d’assurance cybersécurité plus efficacement et sur le long terme. Le résultat serait donc de pouvoir accéder à un produit plus abordable pour le plus grand nombre d’entreprises souhaitant se couvrir des cyber-risques, et de rendre le marché plus attractif et durable pour les assureurs.