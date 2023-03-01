La cyberassurance, également appelée assurance contre les cyber-risques ou risques informatiques, couvre les pertes financières subies par les entreprises à la suite d'attaques par ransomware, de violations de données et d'autres cyberincidents.
Tout comme une assurance automobile couvre les dommages au véhicule et les dommages corporels en cas d'accident, les polices de cyberassurance couvrent les dommages aux systèmes informatiques, les pertes de revenus, les frais juridiques et autres coûts liés aux cyberattaques.
Les violations de sécurité sont de plus en plus fréquentes et coûteuses. Selon le rapport d’IBM sur le coût d’une violation de données , 83 % des organisations ont subi plus d’une violation de données, dont le coût moyen s’élève à 4,35 millions de dollars. La cyberassurance peut atténuer l'impact financier de ces violations, ce qui en fait un élément important de la gestion des risques pour les entreprises d'aujourd'hui.
Toute entreprise qui stocke des informations clients ou qui dépend de la technologie, ce qui inclut la plupart des entreprises, est confrontée à des cyber-risques. Les équipes de sécurité peuvent prendre des mesures pour atténuer les cybermenaces, mais elles ne peuvent pas les empêcher complètement. Selon le Travellers Risk Index, 57 % des dirigeants d’entreprise pensent que les cyberattaques sont inévitables.
Les produits d'assurance standard pour les entreprises, tels que la responsabilité civile générale et les polices d'erreurs et omissions, ne couvrent généralement pas les pertes liées aux cyber-événements, laissant les entreprises vulnérables à la totalité des coûts des attaques par ransomware, des escroqueries par compromission d’e-mails et d'autres risques liés à la cybercriminalité. Ces attaques peuvent avoir un lourd impact financier. À titre d'exemple, une attaque de ransomware coûte en moyenne 4,54 millions de dollars, sans compter le paiement des rançons.
Les cyberassurances sont apparues pour combler ce déficit de couverture. En couvrant les paiements de rançon, la correction des logiciels malveillants et d'autres coûts, les polices de cyberassurance peuvent aider les entreprises à limiter les dégâts, à se rétablir plus rapidement et à accroître leur cyber résilience globale.
La couverture d'une cyberassurance peut varier en fonction des besoins de l'entreprise, des types de données qu'elle stocke et de son secteur d'activité. De nombreuses cyberpolices proposent des options de couverture directe et de tiers. La couverture directe couvre les pertes directes de l'entreprise, comme les coûts de récupération des données et de restauration des systèmes. Les garanties de dommages aux tiers couvrent les préjudices subis par des parties externes à l'entreprise, comme les consommateurs dont les données ont été volées.
Dans le cas de pertes spécifiques, de nombreuses polices de cyberassurance couvrent des éléments tels que :
Si une entreprise perd des revenus à la suite d'une cyberattaque qui a mis hors service ses systèmes informatiques, les polices de cyberassurance peuvent couvrir tout ou partie de ces pertes.
L'assurance peut prendre en charge la réponse aux incidents, les réparations des systèmes, les investigations numériques et les autres services nécessaires après un cyber-événement.
Les polices de cyberassurance peuvent couvrir les frais des litiges résultant d'une cyberattaque, tels que les poursuites engagées par des clients. Certaines compagnies d'assurance peuvent fournir une représentation juridique à l'entreprise assurée.
Lorsque les pirates informatiques volent des informations personnelles identifiables (PII) ou d’autres informations sensibles telles que des numéros de carte de crédit ou de sécurité sociale, les polices de cyberassurance peuvent couvrir les coûts de notification des clients et de fourniture de services tels que la surveillance de la solvabilité.
Les cyberattaques peuvent entraîner des enquêtes réglementaires, en particulier dans des domaines très réglementés tels que la santé et les services financiers. Les polices de cyberassurance peuvent couvrir les coûts de mise en conformité consécutifs à ces audits, y compris les sanctions financières que l'entreprise doit payer.
À la suite d'une attaque, une entreprise peut avoir besoin d'engager une firme de relations publiques ou de prendre d'autres mesures pour restaurer son image de marque. Certaines cyberassurances contribuent à couvrir ces coûts.
De nombreuses polices de cyberassurance couvrent les paiements liés aux ransomwares, mais certaines compagnies d'assurance mettent fin à cette couverture ou la limitent en raison du coût élevé des rançons.
Les polices de cyberassurance couvrent beaucoup d'incidents, mais en excluent certains. On parle d'« exclusions ». Les exclusions courantes comprennent :
Les données d'une entreprise peuvent être volées ou ses services perturbés à la suite d'une violation de sécurité chez ses fournisseurs et ses autres partenaires. Une cyber-assurance ne couvre pas toujours ces pertes, mais certains assureurs proposent une couverture contre les violations de sécurité des tiers, moyennant un coût supplémentaire.
Comme les attaques d'ingénierie sociale telles que l'hameçonnage manipulent des personnes pour compromettre la cybersécurité de l'intérieur, les polices de cyberassurance ne couvrent pas toujours ces pertes. Cependant, cette couverture est généralement disponible moyennant un coût supplémentaire.
Les pertes causées par des menaces internes telles que la malveillance ou la négligence d'employés, sont rarement couvertes.
La plupart des polices de cyberassurance considèrent que ces attaques sont des actes de guerre et ne les couvrent pas.
La plupart des polices de cyberassurance rejettent les demandes d'indemnisation si les pirates informatiques exploitent une faille connue de l'entreprise qui n'a pas été corrigée.
La plupart des polices ne couvrent pas les pannes causées par des erreurs de configuration et d'autres défaillances internes.
Alors que la demande de cyberassurance est élevée, l'augmentation des coûts de cyberassurance complique la tâche des entreprises, en particulier, des petites entreprises, qui parviennent difficilement à trouver une assurance pour les couvrir. Selon Marsh McLennan, les prix d'une cyberassurance ont augmenté de 110 % au premier trimestre 2022.
Selon 451 Research, la cyberassurance pourrait contribuer à l'augmentation des attaques par ransomware. En effet, de plus en plus d'entreprises souscrivent à des polices de cyberassurance et deviennent plus disposées à payer des rançons parce que l'assurance les couvre. En conséquence, les pirates informatiques se sentent encouragés à continuer à demander des rançons. Une nouvelle souche de ransomware, HardBit, demande même aux victimes de communiquer les détails de leur cyberassurance afin de per
mettre aux pirates de calculer le montant de la rançon que la police couvrira.
La relative nouveauté de la cyberassurance par rapport aux autres produits d'assurance joue également sur cette fluctuation de prix. Les assureurs disposent de données historiques limitées sur les coûts des cyberattaques, ce qui rend difficile la création de modèles de risque précis et de maintenir la stabilité des prix.
Face à la hausse de leurs pertes, les compagnies d'assurance réagissent en augmentant les primes et en limitant la couverture. Les polices émises en France par l'assureur AXA ne couvrent plus le paiement des rançons. La Lloyd's of London ne couvrira plus les cyberattaques commanditées par des États, qui sont une autre source de pertes importantes.
Les assureurs imposent également des exigences plus strictes en matière de sécurité des réseaux aux entreprises assurées. Certains assureurs n'offriront même pas de devis d'assurance si une entreprise n'a pas mis en place une authentification multifactorielle, un chiffrement des données, une politique zero Trust ou des mesures similaires. Certaines compagnies d'assurance adoptent un rôle plus consultatif, en donnant aux assurés et aux chefs d'entreprise l'accès à des outils de sécurité et à des prestataires de services pour les aider à améliorer leur posture de sécurité. Pour certains experts, les cyberassureurs pourraient jouer un rôle clé dans l'application de normes telles que le cadre de cybersécurité du NIST, car les entreprises qui respectent ces normes seront moins coûteuses à assurer.
