Cyber-assurances, dans un autre esprit
Oui aux cyber-assurances. Mais d’abord, engagez-vous, prévient ESET. Commencez par le début, conseille l’éditeur. Identifiez vos vulnérabilités et mettez tout en œuvre pour les réduire.
Les entreprises qui pensent qu’elles peuvent simplement utiliser la cyber-assurance pour remplacer les investissements dans de meilleures pratiques en cyber-sécurité se trompent. En fait, ces pratiques sont désormais toujours plus indispensables avant la cyber-assurance, prévient ESET.
Pire que les catastrophes naturelles, les attaques numériques pourraient devenir « non assurables » en raison de leur caractère systémique et de leur coût élevé, avait annoncé voici quelques mois le patron de Zurich Insurance. Il est vrai qu’on, parle ici d’un risque pas comme les autres.
Une tache d’huile
Contrairement aux dommages corporels ou matériels, le risque cyber est une tache d’huile : il touche d’abord des systèmes informatiques, dont les dysfonctionnements affectent ensuite les opérations, ce qui, pour finir, peut nuire gravement à la réputation de l’entreprise et à ses ventes. Une première question est donc de savoir s’il faut assurer le risque cyber au-delà des seuls coûts de réparation IT. Une autre spécificité est que les victimes peuvent influencer la gravité du cyber-sinistre selon qu’elles prennent ou non des mesures adéquates -parmi ces mesures, le paiement de rançons ne manque d’ailleurs pas de faire débat. Enfin, évaluer, mitiger et gérer le risque cyber exige une expertise en sécurité numérique qui repose la question du rôle de l’assureur -qui s’appuie de plus en plus sur des expertises externes, incluant les agences de rating pour définir le niveau de risque encouru- comme celle de la maturité et des responsabilités de l’assuré.
Par conséquent, le marché de la cyber-assurance a connu de grands changements, analyse ESET. Les pertes subies par de nombreux opérateurs ont entraîné des mesures correctives -une augmentation significative du taux des primes et une couverture réduite. Le marché, aussi, évoluera.
Distinguer grandes et petites entreprises
Pour nombre d’experts, le recours à une cyber-assurance n’est peut-être pas le bon choix pour les grandes entreprises. De fait, les investissements dans ces sociétés externes amputent le budget des équipes en charge de la réduction des risques. De plus, compte tenu des objectifs de rentabilité des cyber-assureurs, ils ne peuvent jouer qu’un rôle très annexe, par rapport à ce que chaque expert cyber des grandes entreprises doit savoir faire, et sans être une distraction de questions importantes à laquelle l’assurance cyber ne peut apporter de réponse, par nature.
Pour les petites et moyennes entreprises, la situation est plus complexe. Le plus souvent, elles n’ont pas les ressources pour affronter une cyber-attaque et les conséquences peuvent être effectivement léthales. Cependant, il est intéressant de remarquer que certaines grandes entreprises mettent en place des captives d’assurance pour protéger leurs petites entreprises sous-traitantes qui partagent des données et intérêts stratégiques. L’idée est, d’une part, d’analyser les risques globalement et de réduire les risques les plus importants à l’échelle de leur écosystème, et, d’autre part, d’apporter un peu plus de cyber-maturité à ces entreprises qui n’ont pas les ressources suffisantes pour engager ces actions.
Meilleures pratiques
« Nous voyons évoluer le rôle de la cyber-assurance : de prêteur en dernier ressort à un partenaire sécuritaire incitant à un bon comportement. Bref, en obligeant les entreprises à instaurer des contrôles de sécurité et des mesures de cyber-hygiène conformes aux meilleures pratiques, les assureurs peuvent réellement améliorer la base de la gestion des cyber-risques. »
Selon les types de polices, ces mesures pourraient inclure :
- sauvegardes régulières des données (et hors site)
- utilisation de mots de passe forts et uniques et d’une authentification à deux facteurs
- analyse des vulnérabilités et gestion automatisée des correctifs basée sur les risques
- programmes de formation de sensibilisation à la cyber-sécurité proposés en continu
- logiciel de sécurité pour terminaux
- plans de réactions aux incidents régulièrement testés
- segmentation du réseau afin de minimiser le « rayon d’explosion » des attaques.
Lecture des petits caractères de la police
Aujourd’hui, il est clair que l’on aura toujours davantage recours aux cyber-assurances. Et cela malgré l’augmentation de leurs coûts. Ceci devrait améliorer la sécurité, réduire les risques et offrir une couverture plus abordable. La route sera encore longue, notait récemment le WEF (World Economic Forum) : 48 % des PME n’ont toujours pas de couverture. Surtout, à l’avenir, pour optimiser l’utilisation de l’assurance, la lecture des petits caractères de la police sera plus importante que jamais.