Comprendre où se trouve la vraie valeur de la cyberassurance

Face aux menaces sur la cybersécurité, les entreprises doivent-elles opter pour une cyberassurance pour mieux se protéger ? Voici quelques conseils pour bien comprendre le dilemme et les enjeux.

Plus personne n’ignore la menace que représentent les cyberattaques aujourd’hui, ni le perfectionnement progressif des ransomwares ces dernières années, notamment en termes de génération de revenus. Face à ce constat, les entreprises se tournent de plus en plus vers la solution d’une cyberassurance pour se protéger des lourdes conséquences financières de ces attaques.

Le marché de l’assurance fait face à une demande sans précédent, accroissant sa volatilité : augmentation des primes, multiplication des règles sur ce qui est couvert et ce qui ne l’est pas, et apparition de normes minimales à destination des entreprises qui souhaitent souscrire une assurance. Toutes ces évolutions peuvent être perçues négativement par une partie des entreprises, mais elles devraient finir par les voir de façon positive avec le temps.  

Souscrire une assurance à l’ère du numérique

On a tendance à opposer les mondes physiques et numériques, ce qui entretient un certain mystère autour de la cybersécurité, mais ces deux mondes se ressemblent au final plus qu’on ne le pense. Quand une entreprise voulait protéger ses actifs critiques il y a trente ans, elle choisissait de souscrire une assurance contre des dangers matériels (incendies, vol d’équipement). Mais les risques ont évolué depuis, avec une dimension bien plus numérique. La preuve, une majorité d’entreprises a déjà subi au moins une attaque de ransomware au cours de l’année dernière.

Ce constat explique pourquoi la cyberassurance est devenue de plus en plus populaire auprès des entreprises, portant la croissance du secteur à 24 % d’ici à 2030, pour atteindre 84,62 milliards de dollars. La conséquence de l’augmentation du nombre d’organisations qui souscrivent une assurance et qui demandent ensuite un remboursement est une augmentation en flèche du coût et des primes au cours des trois dernières années. Pour rentabiliser la cyber-protection au maximum, les assureurs mettent en place de nouvelles pratiques, devenues courantes, comme l’évaluation approfondie des risques, l’introduction de normes de sécurité minimales ou encore la réduction de la couverture ont peu à peu été incorporées aux polices d’assurance au cours de ces dernières années.

Les entreprises ne doivent pas accepter de payer la rançon

Le sujet de la cyberassurance se résume de plus en plus à la question de savoir s’il faut payer la rançon ou pas. Si l’idée selon laquelle les entreprises ayant souscrit une assurance sont plus susceptibles de payer des rançons est fortement contestée, un rapport de 2023 sur les entreprises victimes de ransomwares a révélé que 77 % des rançons ont été payées par l’assurance souscrite, et ce même si les assureurs sont nombreux à chercher à en finir avec cette pratique. 1 entreprise sur 5 (21%) exclue désormais, et de façon explicite, les ransomwares de sa police d’assurance. En parallèle, le paiement de rançon est exclu de la police d’assurance de plusieurs assureurs qui proposent de ne couvrir que les coûts liés aux temps d’arrêt et aux sinistres. 

Comme la finalité de l’assurance n’est justement pas de payer les rançons, cette approche semble être la plus judicieuse. Au-delà de la portée éthique de la question, et du contexte de recrudescence de la cybercriminalité, payer la rançon n’est de toute façon pas une solution miracle et aurait même tendance à créer des problèmes supplémentaires.

Pourquoi ? Premièrement parce que les gangs de criminels ont tendance à marquer les entreprises qui payent la rançon pour être sûres de renouveler une seconde fois l’attaque et partager ensuite l’information avec d’autres gangs. 8 entreprises sur 10 ayant un jour choisi de payer la rançon ont d’ailleurs été ciblées par une nouvelle attaque de ransomware. Une fois le paiement réalisé, la reprise d’activité peut s’avérer complexe, le temps d’attendre de pouvoir récupérer les clés de décryptage fournies par les cyberattaquants ; une pratique qui ne doit rien au hasard puisque de nombreux gangs font payer la clé en plus pour accélérer le processus. Enfin, si le décryptage fonctionne, une entreprise sur cinq se retrouve tout de même dans l’incapacité de récupérer ses données, même après avoir payé.

Des polices d’assurance plus complètes et solides

Utiliser l’argent de l’assurance pour payer la rançon devient, heureusement pour les assureurs, de plus en plus rare. D’autres changements accompagnent la disparition de cette pratique, comme des normes minimales en matière de sécurité et de résilience, que les entreprises doivent respecter pour faire face aux attaques par exemple. Ces normes intègrent l’utilisation de sauvegardes cryptées et immuables, ainsi que la mise en œuvre de bonnes pratiques en matière de protection des données, comme le Principe du Moindre Privilège (PoLP) qui accorde à un utilisateur le niveau d’accès ou les permissions requises pour accomplir son travail, s’il en a besoin, ou le Principe des 4 yeux, qui exige que les modifications ou les demandes importantes soient approuvées par deux personnes. Un critère imposé par certaines politiques d’assurance est que les entreprises aient une stratégie solide pour garantir la disponibilité de leurs systèmes, y compris des processus de reprise après sinistre bien définis pour éviter les temps d’arrêt dus à une attaque de ransomware. Pour résumer, les coûts liés à l’indisponibilité et à la demande d’indemnisation seront d’autant plus élevés que le temps durant lequel un environnement reste hors service est long.

Afin d’éviter une assurance avec des processus de protection et de récupération des données précaires, et des indemnités touchées qui ne font que colmater momentanément les brèches, les entreprises se doivent de mettre l’ensemble de ces mesures en place rapidement. Le fait d’intégrer des normes minimales dans les polices d’assurance constitue une bonne nouvelle pour les entreprises, car cela permet de diminuer le coût des primes à long terme, mais également de permettre aux entreprises de suivre des principes de sécurité qui leur seront extrêmement profitables. Sans être une solution miracle, la cyberassurance peut jouer un rôle important dans l’élaboration d’une stratégie de cyber-résilience plus large ; à noter que si les deux ont leur utilité, la résilience sera toujours le premier choix des entreprises. Les assureurs sont heureusement du même avis, car les entreprises non-protégées deviennent trop peu rentables pour être couvertes.

En matière de cyberassurance, en particulier concernant les ransomwares, les entreprises ne se contentent plus de compter sur l’argent de l’assurance pour répondre à tout problème. Elles comptent sur leur résistance face aux ransomwares et à la solidité de leur cyber-résilience ; elles s’appuient sur des plans de reprise après sinistre bien définis, et n’utilisent leur assurance que pour atténuer l’impact des cyberattaques et le coût des temps d’arrêt en attendant de récupérer leurs données grâce à des sauvegardes immuables.