Celle-ci permet de minimiser les dommages et permet de financer des équipes d’investigation et de récupération de données en cas de cyberattaque. Le coût de la police semble raisonnable, compte tenu de ce qu’il en coûterait à une entreprise d’être victime d’une cyberattaque. Cela valait donc la peine pour de nombreuses organisations de l’adopter dans le cadre de leur stratégie de sécurité.

Les cyber-assureurs s’inquiètent du coût des cyber-attaques

Mais après avoir dû signer un grand nombre de contrats liées à des cyber-incidents et avoir passé de nombreuses heures au tribunal pour lutter contre les demandes d’indemnisation d’organisations, qui voulaient être dédommagées pour une cyberattaque, les assureurs ont compris que le risque de cyberattaque était beaucoup plus élevé qu’ils ne l’avaient anticipé.

Les cyberattaques sont tout simplement plus nombreuses, et leurs impacts bien plus importants que ce qu’ils n’avaient pu envisager au départ. Les assureurs commencent donc à revoir leurs offres à la hausse et modifient les conditions de dédommagements des sinistres. Il est devenu plus difficile pour les organisations de se faire indemniser, après une cyberattaque. Cette course se poursuit encore aujourd’hui. Les organisations cherchent à minimiser les risques, tandis que les assureurs tentent de tirer profit de ces risques. Cette spirale, combinée à l’augmentation constante des cyberattaques, finira par faire de l’assurance un outil moins susceptible de protéger les organisations contre le risque et l’impact d’une cyberattaque.

En fin de compte, il s’agit toujours d’adopter une approche holistique de la cybersécurité. La technologie, la politique et les équipes sont indispensables pour protéger activement une organisation. L’assurance peut encore jouer un (petit) rôle à cet égard. Mais ce n’est certainement pas quelque chose sur lequel il faut parier.

De plus en plus, les cyberassureurs s’inquiètent de voir leurs contrats incapables de couvrir les répercussions, à long terme, engendrées par les coûts des cyberattaques. L’un des problèmes réside dans la quantité significative de plaintes restées en suspens devant les tribunaux, il se pourrait d’ailleurs des années avant qu’elles ne soient définitivement réglées.

Les réclamations relatives à un seul incident peuvent s’étendre sur des années, dans le cadre de recours collectifs et d’enquêtes. Les assureurs n’ont pas encore pris conscience de l’ampleur des dégâts. Selon les assureurs, les lois relatives à la protection de la vie privée et les mesures réglementaires étendent le coût des incidents pendant des années après une attaque, ce qui pourrait se traduire par des coûts plus élevés et des exigences plus strictes pour les entreprises.

Les demandes d’indemnisation liées aux cyberattaques incluent souvent le coût de la réponse à l’incident, des enquêtes de forensic et le remplacement du matériel et des logiciels, couverts par de nombreuses polices d’assurance contre les cyberattaques. Cependant, les litiges liés aux violations de données et aux temps d’arrêt peuvent coûter cher aux entreprises, et la couverture de leurs polices d’assurance n’est pas toujours très claire. Les assureurs craignent que les demandes d’indemnisation liées à des cyberincidents persistent pendant des années, bien après la résolution des conséquences initiales d’un piratage, ce que nous appelons la responsabilité à long terme.

Les ransomwares touchent plus les entreprises dotées d’une cyber-assurance

Il se pourrait que les organisations disposant d’une cyber-assurance se reposent peut-être sur celle-ci de manière excessive, au lieu de renforcer leur sécurité pour s’assurer que les attaques n’aboutissent jamais.

La cyber-assurance doit être considérée comme une solution de dernier recours et non comme une garantie (en termes d’indemnisation). Cependant, selon le rapport Aperçu des ransomwares 2023 de Barracuda, ce n’est peut-être pas l’attitude adoptée par les organisations, si l’on utilise le taux d’attaques par ransomwares réussies comme mesure :

73% des organisations ont signalé au moins une attaque de ransomware réussie au cours des 12 derniers mois
77% des organisations ayant une cyber-assurance ont été touchées par au moins une attaque de ransomware réussie
65% des organisations sans cyber-assurance ont été touchées par au moins une attaque de ransomware réussie

Cette donnée étrange peut indiquer que les entreprises se fient excessivement à une police de cyber-assurance, autrement dit, elles estiment que la police d’assurance couvrira une attaque et ne prennent donc pas de précautions nécessaires en matière de cybersécurité.

Selon Barracuda, 27 % des entreprises déclarent ne pas être totalement préparées à une attaque, indépendamment d’une éventuelle cyber-assurance. Ceci est inquiétant, puisque 95 % des organisations touchées par un ransomware ont déclaré que leurs données étaient en réalité cryptées. Et pour aller plus loin sur le thème du « manque de préparation », le pourcentage d’organisations prêtes à payer la rançon a augmenté à mesure que les entreprises étaient victimes d’attaques multiples de ransomwares.

En somme, au lieu de tirer les leçons de la première attaque et de renforcer leurs efforts en matière de cybersécurité, les organisations n’ont rien entrepris ou presque, et en ont subi les conséquences sous la forme du paiement d’une rançon, potentiellement à plusieurs reprises.

Il n’y a aucune garantie qu’une cyber-assurance indemnise une entreprise, car les spécificités de l’attaque doivent correspondre aux conditions du contrat. Il est plus judicieux de mettre en place les solutions nécessaires, comprenant une formation de sensibilisation en matière de sécurité, pour réduire le risque d’une attaque réussie par ransomware.

L’état des cyberdéfenses organisationnelles a un impact sur les conditions de l’assurance cybernétique

Comme pour toute police d’assurance, l’assureur détermine les indicateurs de risque et inclut une forme d’évaluation lorsqu’il envisage de signer un contrat avec une entreprise, il doit déterminer le niveau de risque que son futur client représente. Après tout cela, il établit un tarif approprié et propose une police d’assurance... ou refuse d’accorder un contrat.

Il en va de même pour l’assurance cybernétique. Ici le risque est lié à la fois à au secteur d’activité de l’organisation, au pays dans lequel elle se trouve et (surtout) à la qualité de ses défenses cybernétiques. Il existe un lien assez direct entre la solidité d’un dispositif de sécurité et la possibilité d’obtenir une assurance, son coût et les conditions spécifiques de la couverture.

En résumé, les cyber-assureurs sont de plus en plus attentifs au risque qui existe en fonction de la qualité des cyber-défenses des entreprises. Sans connaître de précisions sur les types de solutions ou de stratégies qui ont eu un impact positif ou négatif sur la couverture, une formation de sensibilisation à la sécurité pour les collaborateurs d’une entreprise a un impact matériel sur la solidité de vos défenses.

— -