Les organisations victimes d’une attaque, qui paient une rançon et dont l’assurance couvre les pertes font du ransomware l’un des cybercrimes les plus lucratifs pour les criminels en ligne. On parle même de « pandémie numérique ». Et ces derniers mois, aucun secteur n’a été épargné !
Face à la multiplication de ce type d’attaques, deux options majeures s’offrent aux entreprises : d’une part se tourner vers des cyberassurances afin de limiter les dégâts dans l’hypothèse d’un ransomware, et d’autre part, améliorer leurs dispositifs de sécurité pour éviter de subir des cyberattaques. Malheureusement, beaucoup d’entre elles considèrent que c’est « soit l’un, soit l’autre », ce qui entraîne des pertes et un changement radical dans la manière dont les assureurs évaluent ces risques aujourd’hui.
Après que les autorités françaises, en avril dernier, aient reproché aux assureurs d’encourager l’augmentation des attaques par ransomware en acceptant de payer les rançons, ces derniers sont devenus beaucoup plus vigilants, et exigeants sur la politique de cyber-résilience de leurs assurés.
Alors, comment a évolué le marché de la cyberassurance ? A quoi les entreprises doivent-elles s’attendre ? Que doivent-elles mettre en place pour s’assurer que leur assureur couvre les pertes liées aux ransomwares ?
Cyberassurance : un marché en pleine évolution
Avec l’augmentation du nombre de ransomwares dans le monde, le coût des cyberassurances est évidemment lui aussi en hausse. Selon une récente étude réalisée par Howden, le coût de la cyberassurance a augmenté de 32% en 2020 et ne montre aucun signe de fléchissement.
Depuis plusieurs mois, les demandes d’indemnisation pour des actes cybercriminels ont, en effet, augmenté et la capacité de remboursement des compagnies d’assurance a baissé. La tâche n’est donc pas simple pour les assureurs qui ont de plus en plus de difficultés à estimer les cyber risques et à trouver un équilibre entre le montant des primes et la couverture du risque.
Au début du premier trimestre 2021, ils réduisaient leurs capacités, augmentaient les primes de 30 à 40%, avaient recours à la co-assurance pour partager toutes les dépenses ou transféraient une partie de leurs risques à un réassureur. Mais depuis la fin du 2ème trimestre, le paysage a radicalement changé avec des augmentations de 40 à 50% pour les grands comptes et de plus de 100% pour certains petits clients. Certains assureurs ont même pris la décision de se retirer et de ne plus du tout indemniser les ransomwares – c’est le cas d’AXA qui a récemment suspendu son contrat sur ce type d’attaques en France.
Une approche plus rigoureuse de la cyberassurance
D’après les courtiers en assurance, si une entreprise est victime d’une cyberattaque et que son assureur estime que son processus de sécurité en est la cause, il peut ne pas indemniser le préjudice. Par ailleurs, en raison des ratios de sinistres et d’exigences de souscription plus strictes de la part des assureurs, il est devenu compliqué pour les entreprises – plus particulièrement celles qui sont en retard en matière de procédure de sécurité – de souscrire à une cyberassurance couvrant les ransomwares. Comme c’est toujours le cas dans l’assurance, toute incertitude entraîne une hausse des prix et une diminution des options. Il est donc plus important que jamais pour les organisations de bien anticiper leurs demandes d’assurance ou renouvellement – avec l’aide éventuelle d’un courtier – de maîtriser les principes fondamentaux de la cybersécurité. Il leur faut aussi être transparentes avec les souscripteurs, en passant en revue tous les contrôles clés pour lutter contre les attaques et en se préparant à répondre aux questions préalables à la souscription qui ne manqueront pas d’être posées.
De nouvelles normes de cybersécurité, exigées par les assureurs
Un bon dispositif de cybersécurité peut grandement aider la cyberassurance et ce de plusieurs manières : en simplifiant l’obtention d’une couverture, en réduisant les primes sur le long terme et en supprimant les obstacles à l’indemnisation en cas d’incident.
Globalement, depuis le premier confinement et en réponse à l’évolution de la menace et aux mises en garde récentes de l’Anssi et du parquet de Paris – qui ont déclaré que si les assurances remboursaient les rançons payées par les entreprises cela incitait les hackers à récidiver – les assureurs sont plus prudents et exigeants. Ils se sont assurés que les entreprises avaient bien conscience des cyber risques et savaient les gérer. Nombreux sont ceux qui exige désormais un système de surveillance performant et des technologies avancées, telles que l’EDR ou le XDR.
Cette dernière technologie apparaît comme une solution efficace car elle apporte aux entreprises une visibilité et un contrôle unifiés sur les terminaux, les réseaux et le cloud et offre une détection et une réponse aux menaces rapide, approfondie et efficace. Le XDR peut également les aider à être éligible à une assurance mais aussi à réduire les primes et à minimiser le risque de devoir recourir aux indemnisations.
Que ce soit pour une nouvelle police ou un renouvellement, une cyberassurance ne remplace pas un programme de cybersécurité. En effet, elle n’a pas vocation à protéger les entreprises contre les cyberattaques mais à prendre en charge les conséquences. Ce n’est pas parce qu’on souscrit à une assurance auto qu’on peut conduire imprudemment. De la même manière, le fait de souscrire un contrat de cyberassurance pour une entreprise ne doit pas justifier une diminution de ses investissements en cybersécurité.
Une chose est sûre, en parallèle à la souscription d’un contrat de cyberassurance, les entreprises doivent continuer à investir du temps et de l’argent dans un solide programme de sécurité informatique. Les assureurs ont un rôle important à jouer et doivent être prêts à évaluer le risque de leurs clients, à déterminer leur maturité en matière de cybersécurité et à les aider à créer un plan pour une solution de protection complète.