Une étude de Delinea révèle un déficit de cyberassurance
août 2023 par Delinea
Delinea publie son étude 2023 State of Cyber Insurance, révélant un élargissement du fossé entre les assureurs et les entreprises qui peinent encore à obtenir une couverture complète à un tarif accessible. D’après cette étude, tirée d’une enquête auprès de plus 300 entreprises aux États-Unis, le temps et les efforts nécessaires pour obtenir une cyberassurance augmentent nettement. Le nombre des entreprises qui y passent 6 mois ou plus explose en effet d’une année sur l’autre.
L’enquête, réalisée par Censuswide pour le compte de Delinea, avait pour but de découvrir les nouvelles tendances et l’évolution des comportements par rapport à une étude similaire l’an passé, laquelle avait établi que la demande de cyberassurance était à son comble. Cette année, le nombre des entreprises ayant fait jouer leur cyberassurance plusieurs fois est passé à 47 %, tandis que 67 % des participants à l’enquête indiquent que leurs tarifs d’assurance ont bondi de 50 à 100 % au moment de leur demande de souscription ou de renouvellement. Alors qu’une seule entreprise déclarait qu’il lui avait fallu plus de 6 mois pour obtenir ou renouveler une cyberassurance dans l’étude de 2022, elles sont au moins une vingtaine dans la même situation en 2023.
Cependant, l’enquête révèle l’existence d’une liste croissante de clauses d’exclusion susceptibles de rendre la cyberassurance inopérante, notamment l’absence de protocoles de sécurité (43 %), les erreurs humaines (38 %), les actes de guerre (33 %) ou encore le non-respect des procédures conformes (33 %). Même si une entreprise parvient à obtenir ou renouveler une cyberassurance entrant dans ses moyens financiers, l’indemnisation d’un sinistre peut se voir rejetée ou du moins minorée en raison d’une clause imprimée en petits caractères.
« L’an dernier, il est devenu évident que les cyberassureurs tirent les enseignements de leurs données et que le secteur arrive à présent à maturité. À ses débuts, ceux-ci s’efforçaient seulement de répondre à une demande considérable mais ils prennent aujourd’hui conscience de la nécessité de réduire leurs propres risques face à des circonstances évitables ou incontrôlables », observe Joseph Carson, Chief Security Scientist et RSSI consultatif chez Delinea. « D’après les résultats de notre enquête, la plupart des entreprises n’abordent pas la question de la cyberassurance avec la même diligence : elles cherchent simplement à se couvrir. Elles négligent alors de vérifier si leur contrat d’assurance de l’année précédente correspond encore à leurs besoins actuels ou si des clauses ont été modifiées à l’occasion de son renouvellement. Ce “déficit de cyberassurance” pourrait bien mettre nombre d’entreprises dans une situation délicate lorsqu’elles souhaiteront faire appel à ce filet de sécurité financier en cas de cyberincident. »
Cela dit, de nombreuses entreprises continuent d’investir dans des solutions de cybersécurité afin de se protéger et de répondre aux conditions de plus en plus strictes des cyberassureurs. 96 % d’entre elles ont fait l’acquisition d’au moins une solution de ce type pour que leur demande de cyberassurance puisse être approuvée. En outre, 81 % ont reçu le budget nécessaire pour obtenir la couverture souhaitée, tandis que 36 % des participants à l’enquête indiquent qu’il s’agit désormais d’une exigence de leur conseil d’administration ou de leur direction.
Étant donné que la majorité des cyberattaques font intervenir le vol d’identifiants, il n’est pas surprenant que les assureurs exigent la mise en place de contrôles de sécurité dans ce domaine. La moitié environ des participants à l’enquête signalent que des contrôles en matière de gestion des identités et accès (IAM) (51 %) et de gestion des accès à privilèges (PAM) (49 %) sont rendus obligatoires par leur contrat de cyberassurance. De plus, la direction alloue le budget nécessaire : 50 % ont acquis des solutions IAM, 45 % une chambre forte virtuelle pour leurs mots de passe et 44 % des systèmes de contrôle PAM requis pour bénéficier d’une couverture.
« Si des entreprises ne disposent pas encore de ces solutions de contrôle d’accès, il est temps pour elles de les mettre en place avant de tenter de souscrire ou de renouveler une cyberassurance. Il s’agit de dispositifs de sécurité indispensables dans le cadre d’une stratégie de cybersécurité, aussi fondamentaux que des logiciels antimalwares, de chiffrement des données, de firewall et de détection d’intrusion ou encore de correction et de gestion des vulnérabilités », conclut Joseph Carson.