Ces dernières années, le marché de la cyber-assurance a explosé. Des attaques dévastatrices telles que WannaCry ou NotPetya ont impacté, informatiquement et financièrement, des entreprises aux quatre coins du monde. Aujourd’hui, face à la menace cyber latente, les entreprises font plus que s’équiper : elles s’assurent, comme elles le font pour se protéger contre les risques physiques.

Un contrat d’assurance est généralement souscrit entre deux parties : le bénéficiaire souscripteur et la compagnie d’assurance. Pour chacun l’intérêt diverge. L’entreprise qui y souscrit estime, dans la plupart des cas, que l’événement ne se produira pas. Or, elle souhaite toutefois être protégée au cas où un sinistre arriverait. La compagnie de polices d’assurance mise sur le fait que de tels incidents se produiront inévitablement et ajuste ses primes en conséquence afin de réaliser ses profits.

Le marché de l’assurance cyber est en plein essor, KPMG estime que sa valeur mondiale atteindra 7,5 milliards de dollars d’ici l’année prochaine[1] . Un montant qui peut s’avérer quelque peu décourageant pour protéger une entreprise sur le long terme.

A découvrir sur Alliancy : Le carnet d’expériences « Assurance et Digital. » 

Avec une surface d’attaque étendue, notamment avec la prolifération de l’Internet des objets (IoT), le volume d’attaques s’amplifie : 48 % des entreprises ont subi au moins quatre cyberattaques au cours des 12 derniers mois[2]. Avec plus de 25 milliards de nouveaux appareils attendus sur le marché d’ici 2021[3], tout nouveau dispositif connecté concourt à une prise de risque amplifiée. Dans un tel contexte, il n’y a rien de surprenant au fait qu’une entreprise connaisse une faille de cybersécurité un jour ou l’autre.

Une protection parcellaire

Bien que la menace d’une cyberattaque soit inévitable pour de nombreuses entreprises, la souscription d’une cyber-assurance ne leur procure pas nécessairement la tranquillité d’esprit escomptée. Premièrement, l’assurance ne permet pas de tout récupérer. Dans la plupart des cas, les appareils physiques et matériels peuvent être remplacés assez facilement, par une version similaire ou plus récente, mais ce n’est pas aussi simple pour les ressources virtuelles. Bien que la cyber-assurance dispense une compensation financière pour la gestion des frais juridiques, la réparation des dommages causés aux systèmes informatiques, voire aux données elles-mêmes, elle ne peut pas restaurer les données qui ont été subtilisées par les cybercriminels et qui sont maintenant sans doute exposées sur le Dark Web.

Ensuite, il est question du prix : la cyber-assurance représente un poste de dépenses important. Inutile de vous dire qu’en cas de cyberattaque, espérer retrouver tout ce que vous avez perdu est illusoire. Il existe toutefois plusieurs combinaisons de polices d’assurance qui offrent à la fois une protection contre la compromission de données, la récupération d’identité, la notification clients, etc. Vous l’aurez compris, pour bénéficier d’une couverture complète, les organisations doivent mettre la main à la poche. Un grand nombre d’assurances ne propose qu’un million de dollars de dommages-intérêts alors que le coût moyen d’une atteinte à la protection des données pour les entreprises américaines en 2018 est de 8 millions de dollars, et ce, pour une attaque seulement[4]!

Enfin, comme pour toutes les formes d’assurance, il y a toujours des exceptions. Par exemple, certaines exclusions courantes comprennent les données non chiffrées, ou la responsabilité du fait d’autrui. D’autres éléments rentrent alors en ligne de compte. Dans certains cas, de nombreuses incertitudes subsistent quant à l’origine exacte de la cyberattaque et quant à savoir s’il s’agissait ou non d’un acte hostile. Au pied du mur, certaines entreprises se lancent dans des batailles juridiques coûteuses contre leurs assureurs pour obtenir une indemnisation, comme dans l’affaire Mondolez contre Zurich à la suite de l’attaque de NotPetya.

‘An ounce of prevention is worth a pound of cure’ (‘Mieux vaut prévenir que guérir’)

Le vieil adage de Benjamin Franklin, l’un des pères fondateurs des Etats-Unis, vaut tout autant aujourd’hui qu’il l’était au XVIIIe siècle. Pour l’appliquer au contexte cyber actuel, les entreprises devraient, plutôt que de se concentrer sur la manière de réparer les impacts d’une cyberattaque subie, prendre des mesures de défense préventives.

Certaines, simples à mettre en œuvre, constituent un premier niveau de protection pouvant réduire considérablement la vulnérabilité des appareils aux attaques. Il convient d’être vigilant quant à la mise à jour des mots de passe d’appareils sortis d’usine, l’accès aux réseaux de l’entreprise qui, dans certains cas, devrait être restreint, la définition et au respect d’une politique claire de segmentation du réseau. Et pour réduire davantage le risque de vulnérabilité, l’ensemble des dispositifs doivent systématiquement exécuter les correctifs de sécurité et mises à jour logicielles les plus récents.

A ce rythme, les chefs d’entreprises ne devraient pas se demander si leur organisation sera ou non la cible d’une cyberattaque, mais plutôt qu’elle sera leur action/recours lorsque ce jour viendra. Bien que la cyber-assurance puisse leur servir de filet de sécurité, leur première ligne de défense se situe au sein même de leur organisation. Leur infrastructure réseau dès lors qu’elle s’appuie sur une combinaison de solutions robustes de cybersécurité constitue un premier rempart contre l’intrusion de tiers malveillants. Aux entreprises de décider ce sur quoi elles sont prêtes à miser : car si perdre une moitié de leurs actifs est toujours mieux que de tout perdre – A choisir, il vaut mieux tout préserver – n’est-ce pas ?

[1] KPMG – https://assets.kpmg/content/dam/kpmg/za/pdf/2017/12/17383MC-cyber-insurance.pdf

[2] CESIN – baromètre annuel sur la cybersécurité pour 2019 : https://www.cesin.fr/actu-4eme-edition-du-barometre-annuel-du-cesin.html

[3] Gartner – https://www.gartner.com/en/documents/3890506

[4] https://www.pcmag.com/news/362543/how-much-does-a-data-breach-cost