Cependant les procédures de souscription sont compliquées et les questionnaires de sécurité couvrant les pratiques internes sont de plus en plus strictes. De plus, les primes explosent, les franchises augmentent, les risques acceptés par les assureurs se réduisent et les garanties diminuent. Alors quelles sont les causes de ces changements ? Et comment mieux préparer un renouvellement de contrat ?
Les premières assurances de cyber-responsabilité datent de la fin des années 1990. A l’origine, elles couvraient surtout les conséquences d’erreurs humaines plus que la malveillance (ex. cyberattaques). Le marché des cyberassurances s’est depuis adapté à l’évolution des menaces.
Au cours des 5 à 10 dernières années, les polices d’assurance de cybersécurité se sont généralisées dans les entreprises et font désormais partie de toute stratégie de gestion des risques. Pour les assurés, c’est la garantie d’être indemnisés, tout du moins en partie, en cas de cyberattaque.
Puis est arrivée l’année 2020, la pandémie mondiale, le confinement et le recours massif au télétravail, une obligation pour les entreprises, jusque-là protégées par 4 murs et un périmètre réseau, de s’adapter à un modèle décentralisé. Rares sont les entreprises qui étaient préparées à de tels scénarios. Prises de court, beaucoup ont dû changer leurs pratiques de sécurité à la hâte pour s’adapter au télétravail. Sans surprise, cette situation de crise a coïncidé avec une augmentation alarmante des cyberattaques, avec des compromissions de grande ampleur comme SolarWinds Orion, Colonial Pipeline, JBS Meats, Kaseya... Outre les temps d’arrêt provoqués par cette prolifération d’attaques, les cas de dossiers compromis ont augmenté de 141% en 2020 par rapport à 2019. En 2020, les attaques de ransomwares ont augmenté de 150% et ont causé depuis de nombreux dommages tant dans le secteur privé que public. Le montant moyen des rançons a littéralement explosé, passant de 115.000 dollars en 2019 à 312.000 dollars en 2020 pour atteindre 570.000 dollars au premier semestre 2021.
Si les criminels qui propagent des ransomwares en retirent de plus en plus de profits, le secteur des cyberassurances en subit les conséquences. Pour rester solvables et continuer de fonctionner, de nombreux assureurs proposant des contrats de cybersécurité n’ont d’autre choix que d’augmenter les primes et de réduire le périmètre de couverture, voire de quitter le marché des cyberassurances. Ils soumettent aussi leur souscription à des conditions toujours plus strictes et imposent à leurs clients la mise en place de contrôles de sécurité de type PAM (Privileged Access Management).
Un conducteur imprudent ou malchanceux, déjà impliqué dans plusieurs accidents de la route, ou qui aura eu plusieurs contraventions pour dépassement de la vitesse autorisée, s’attend à ce que les tarifs de son assurance auto augmentent ou à ce que l’assureur refuse de reconduire son contrat. Il en va de même pour le marché des cyberassurances. Du point de vue d’un cyberassureur, les conditions actuelles font que tous ceux qui souhaitent y souscrire ne sont pas nécessairement de bons candidats et les clients ne sont pas tous des bons clients. Les conditions de souscription d’une cyber-responsabilité sont examinées à la loupe et la décision dépendra des réponses données par les clients, nouveaux ou préexistants, aux questionnaires de sécurité. Les compagnies de cyberassurance tendent également à recruter des professionnels de la sécurité pour les aider à sélectionner les bons candidats et refuser ceux qui ne répondent pas aux critères ou dont le profil de risque est trop important. Certains assureurs optent aussi pour une approche modulaire avec des contrats distincts pour les malwares, spywares et ransomwares, par exemple. Une entreprise pourra ainsi prétendre à une assurance de base contre les malwares, mais pas contre le risque lié aux ransomwares.
Aujourd’hui, un cyberassureur ne prendra pas le risque de couvrir une entreprise qui n’aurait pas mis en place des mesures robustes de protection contre les cybermenaces. Parmi les nombreux contrôles de sécurité qu’exigent désormais les cyberassureurs, on note notamment : l’instauration du principe de moindre privilège (y compris, suppression des droits admin) sur les comptes humains et machines, l’authentification multifactorielle pour les accès à distance de l’extérieur du réseau par les employés ou des tiers (ex. VPN, PC distant), l’identification des indicateurs de compromission (IoC) et possibilité de les corriger, mise en place de mesures de défense contre les ransomwares, etc.
Bien sûr, une solution PAM ne réglera pas toutes les problématiques de sécurité et ne suffit pas pour remplir tous les critères de souscription d’une cyberassurance. Cependant, le maintien de contrôles de sécurité des accès privilégiés est l’une des recommandations les plus efficaces pour se protéger des cyber-risques, réduire la surface d’attaque et se donner les meilleures chances de pouvoir souscrire à une cyberassurance aux meilleurs tarifs. La gestion des accès privilégiés peut aider à éliminer les vecteurs d’attaque internes et externes et ainsi protéger les privilèges d’accès à l’ensemble des actifs, sur site, dans le cloud, sur les endpoints ou même ceux utilisés par des fournisseurs.
Quelles que soient les solutions choisies, il sera de la responsabilité de l’entreprise d’appliquer des programmes de cybersécurité et des contrôles adaptés des technologies déployées. Les assureurs veillent à ce que leurs clients tiennent leurs engagements de réduction des risques, de diminution de la surface d’attaque et de perfectionnement de leurs stratégies de sécurité IT. En cas de cyberattaque, ils pourront demander des preuves que les contrôles de sécurité prescrits étaient bien en place et actifs. Il suffira d’un contrôle défectueux ou absent, sur un seul endpoint ou une seule application, pour que l’assureur plaide la faute devant la justice.