Aujourd'hui, nous nous penchons sur une question que de nombreux chefs d'entreprise s'efforcent de résoudre : "L'assurance cybersécurité vaut-elle la peine d'être investie ?"
La première police d'assurance cybernétique a vu le jour en 1997.
Il s'agissait d'une assurance assez modeste, conçue pour aider les détaillants à se prémunir contre le risque de vol des numéros de cartes de crédit de leurs clients. Pour seulement 2 500 dollars par an, l'entreprise pouvait bénéficier d'une couverture allant jusqu'à 250 000 dollars pour les frais de justice et les frais de règlement. En cas d'audit de sécurité effectué par un tiers, le prix pouvait être ramené à moins de 2 000 dollars par an.
En 2017, la cyberassurance est devenue le secteur qui connaît la plus forte croissance dans l'industrie de l'assurance. Mais jusqu'à la pandémie, il était encore assez facile de l'obtenir, même si elle était assortie de limitations et d'exclusions plus nombreuses. Une énorme poussée mondiale vers le commerce numérique a entraîné une augmentation des cyberattaques, ce qui s'est traduit par une augmentation des paiements pour les compagnies d'assurance.
Les compagnies d'assurance exigent désormais des contrôles et des stratégies de sécurité plus rigoureux avant d'accorder une couverture, et elles examinent les demandes d'indemnisation avec plus d'attention. La montée en flèche des coûts de couverture et d'intervention en cas d'incident pousse les entreprises à s'interroger sur les avantages et les inconvénients de l'assurance.
Que couvre l'assurance et que veulent les compagnies d'assurance ?
Le principe de l'assurance cybernétique n'a pas beaucoup changé. Elle permet de couvrir les coûts d'investigation et de résolution des violations et des attaques telles que les ransomwares. Cela comprend la récupération des données perdues, la notification des parties concernées, les frais juridiques, les amendes réglementaires et les poursuites judiciaires.
La plupart des polices d'assurance reposent sur le fait d'avoir pris des précautions raisonnables pour atténuer le risque en premier lieu. En ce qui concerne la cybersécurité, il est tout à fait raisonnable de supposer que les organisations sont censées utiliser des pratiques industrielles courantes pour sécuriser les appareils, les applications et l'accès.
Toutefois, les critères d'accès à la couverture sont de plus en plus stricts. sont de plus en plus strictes. Voici ce qu'ils recherchent :
1. Mesures actives pour prévenir de manière proactive les incidents de cybersécurité
Vous avez peut-être entendu la rumeur selon laquelle l'assurance automobile ne couvre pas le vol si vous avez laissé les portes ouvertes ou la clé dans la voiture. Les entreprises qui souhaitent souscrire une police d'assurance cybernétique doivent se conformer à une série de mesures de sécurité et de précautions :
- Hygiène cybernétique de base comme l'authentification multifactorielle
- la conformité à la norme SOC2, qui précise comment les organisations doivent gérer les données des clients
- Vérification de la sécurité de software et des fournisseurs de solutions en nuage
- Les secteurs à forte gouvernance comme la finance et la santé ont leurs propres normes à respecter, comme HIPPA et PCI DSS.
2. Plans visant à minimiser les dommages si l'entreprise est victime d'une attaque
De nos jours, les cyberincidents ne sont pas une question de "si" mais de "quand". Les assureurs veulent avoir l'assurance qu'en cas d'attaque, l'entreprise n'invente pas sa réponse au fur et à mesure.
- Plans détaillés d'intervention et de reprise
- Procédures pour lesquelles des analyses médico-légales seront effectuées et par qui
- Quelles sont les parties juridiques que l'entreprise engagera pour gérer les conséquences de l'incident ?
3. Outils et architecture de sécurité actualisés
La fragilité de la chaîne d'approvisionnement software et les risques en cascade qui en découlent ont fait l'objet de nombreuses conversations ces dernières années. Les meilleures pratiques pour isoler un intrus ont beaucoup évolué - le périmètre du réseau ne peut plus fonctionner comme un point de défaillance unique.
- Les outils sont généralement sûrs. Ils ne présentent pas un grand nombre de vulnérabilités ou de failles de type "zero-day".
- Les outils sont fournis par des fournisseurs ayant une bonne réputation en matière de sécurité, qui n'ont pas été récemment compromis ou violés.
- L'entreprise peut montrer qu'elle corrige rapidement les vulnérabilités.
- Les réseaux sont conçus, configurés et segmentés de manière à favoriser la sécurité, en particulier dans l'informatique dématérialisée.
Comment les entreprises doivent-elles envisager les risques liés à l'assurance cybernétique ?
C'est à juste titre que la cyberassurance est devenue une préoccupation majeure des dirigeants d'entreprise, des responsables financiers et des responsables de la gestion des risques. La probabilité, les dommages potentiels et les coûts associés à une violation ou à une perturbation sont plus élevés que jamais. Dans le même temps, les fournisseurs d'assurance cybernétique compliquent l'obtention d'une couverture et couvrent moins tout en facturant davantage.
Les dirigeants doivent être impliqués dans les décisions relatives à la cyberassurance. Les enjeux sont tout simplement trop importants pour qu'il en soit autrement. La cyberassurance se situe à l'intersection du budget, du risque et de la stratégie de sécurité. Elle doit être abordée de manière à servir ces trois objectifs.
Soyez réaliste quant à la position de votre organisation en matière de cybersécurité. Les exigences en matière d'assurance cybernétique sont une cible mouvante. Les méthodes d'attaque évoluent constamment, tandis que de nombreux environnements et systèmes peuvent fonctionner avec des contrôles hérités qui ne peuvent pas être stoppés pour être modernisés. Il est essentiel de faire le point sur les caractéristiques de votre environnement de sécurité avant de prendre des décisions en matière d'assurance.
Évaluez si l'assurance cybernétique vaut la peine d'être souscrite. À mesure que les coûts augmentent et que la couverture devient plus poreuse, la cyberassurance peut coûter autant qu'elle le ferait pour faire face aux retombées d'un incident. Le choix de payer une cyberassurance ou d'investir dans la sécurité de l'organisation est épineux, mais mérite d'être examiné.
L'avenir de l'assurance cybernétique
L'assurance cybernétique continuera à s'adapter à l'évolution du paysage des menaces d'aujourd'hui et de demain. Il existe de nombreuses questions pour lesquelles les assureurs n'ont pas encore défini de lignes directrices.
Par exemple, les attaques contre les environnements industriels peuvent avoir des conséquences physiques lourdes qui vont bien au-delà du vol de données confidentielles. Les fournisseurs n'ont pas encore trouvé le moyen de couvrir correctement ce type de conséquences.
D'autre part, les risques en cascade liés aux fournisseurs tiers et aux sous-traitants sont obscurs du point de vue de la souscription.
Il y a ensuite les lois des conséquences involontaires. Par exemple, une entreprise assurée peut être plus disposée à payer les rançongiciels parce qu'elle sait qu'elle sera remboursée.
Qu'elle opte ou non pour une cyberassurance, toute organisation doit comprendre que la sécurité est un moteur de l'activité. Une sécurité adéquate permet aux organisations de faire confiance à leur infrastructure numérique, qui sert de plateforme pour l'innovation et l'agilité. Cela n'est pas possible si la sécurité est traitée comme une mesure de contrôle qui vise principalement à réduire les coûts d'assurance.
