Les cyberattaques restent sur la première marche du podium des principales menaces, selon les assureurs. Mais, face à l’explosion de la demande de cyberassurances, les primes augmentent et les conditions pour être assuré se multiplient. Aujourd’hui, les entreprises ont tout intérêt à jouer sur les deux tableaux : cybersécurité et cyberassurance.
La cybercriminalité dans le quotidien des entreprises
La numérisation de l’économie et des entreprises se poursuit. Conséquence : pour protéger leurs actifs critiques, les chefs d’entreprise doivent désormais penser à des assurances contre la cybercriminalité.
Il y a 20 ans, l’assurance incendie était la priorité. Aujourd’hui, c’est la norme. Le risque s’est déplacé vers le nouveau point faible de nombreuses entreprises. Conséquence : la protection contre les attaques de ransomware alimente dorénavant les discussions de salon.
Dans le monde interconnecté actuel, où l’on parle réseau et cloud, la dépendance vis-à-vis des données numériques est devenue le talon d’Achille des entreprises. Les prendre en otage avec un ransomware se fait plus courant que le hold-up de la banque du quartier.
Et c’est de nos jours un sujet de discorde entre assureurs et chefs d’entreprise : faut-il payer ou non les rançons demandées par les hackers pour débloquer la circulation des données ?
Selon un rapport de 2023, 77 % des rançons demandées aux entreprises victimes de ransomware ont été payées par l’assurance. Mais c’est un « jeu » auquel ne veulent plus jouer les assureurs.
Les assureurs s’adaptent à un marché en pleine expansion
Sollicités de plus en plus souvent, les assureurs se doivent de s’adapter à un marché en pleine évolution. Les incidents cyber sont en effet désormais considérés comme la principale menace par les entreprises.
Mais la complexité croissante des cyberattaques et l’irruption de l’IA (Intelligence artificielle) comme outil des hackers rendent l’évaluation des risques de plus en plus difficile.
Et, face au déficit chronique du secteur cyber criminalité chez les assureurs, la réponse « Augmentation des primes d’assurance et des franchises » ne peut plus être la règle.
Devenu un risque quotidien comme un dégât des eaux, le défi cyber doit générer des ripostes logiques, à défaut d’être innovantes.
Par exemple, payer la rançon devient une réponse en perte de vitesse. Les entreprises ont bien compris qu’en payant, elles étaient marquées comme « bonnes » à attaquer de nouveau.
Etant donné l’importance du délai pour récupérer les clés de décryptage, il fallait peut-être chercher ailleurs une meilleure solution. D’autant que, dans de nombreux cas, les données sont irrémédiablement perdues.
On voit donc apparaître de nouvelles conditions d’application pour les garanties cyber dans les contrats d’assurance. Aujourd’hui, signer une cyber-assurance se mérite : l’entreprise doit démontrer sa volonté de renforcer avant tout ses systèmes de cybersécurité.
Avec le développement de ce dialogue entre entreprises et assureurs, on peut donc espérer une certaine stabilisation des tarifs. De même, on peut entrevoir une meilleure compréhension des efforts que chacun va devoir fournir face à une menace numérique qui ne peut que se diversifier à l’avenir.
Renforcer la cybersécurité des entreprises
Alors que les assureurs peaufinent de nouvelles conditions pour couvrir le risque cyber dans les entreprises, ces dernières commencent à réaliser que les flux d’informations au sein de leurs organisations sont effectivement vitaux pour leur survie.
D’un autre côté, sans attendre le RGPD européen, Règlement général sur la protection des données, de nombreux consommateurs sont de plus en plus conscients de leurs droits en matière de protection de leurs données personnelles. Transparence et respect de la vie privée deviennent des exigences minimales.
Cela oblige les entreprises à sécuriser toutes les données qu’elles manipulent à longueur de journée, quel que soit leur état : en mouvement, au repos ou en cours d’utilisation.
D’où un accroissement du nombre d’adeptes de la confiance zéro : « toujours vérifier et jamais faire confiance ». La cybersécurité ne se limite plus à un périmètre de sécurité. Le paysage à vérifier désormais intègre les travailleurs à distance, les organisations partenaires collaboratives et tout ce qui a trait à l’IoT, l’Internet des objets.
Une preuve de plus que la pression des assureurs commence à porter ses fruits. 76 % des entreprises déclarent avoir investi dans la cyberdéfense pour devenir éligibles à une police d’assurance.
Il faut dire qu’il y a du chemin à faire. De nombreuses entreprises sont encore incapables de simplement faire les mises à jour de sécurité de leurs applications. Et elles traînent des pieds à passer à la double authentification. On comprend mieux pourquoi la compromission des identifiants reste la première cause des attaques.
De la cybersécurité à la résilience
Désormais considéré comme facteur de croissance pour l’entreprise, la cybersécurité sort du département informatique pour devenir un outil de la culture d’entreprise. On passe ainsi d’une position purement réactive à une stratégie proactive.
La preuve ? Nombre d’entreprises élaborent désormais des stratégies de cyber-résilience. Il s’agit alors de rétablir rapidement le travail, en garantissant la continuité des opérations, même en cas de violation réussie.
Il est ainsi prioritaire d’élaborer un système de récupération rapide pour pouvoir rebondir sans trop de dégâts. Cela comprend des systèmes de sauvegarde des données et de redondance de toutes les informations stratégiques. De plus, des programmes de formation permanente de tout le personnel doivent se développer sur une base de mise à jour régulière pour suivre les nouvelles tendances émergentes.
Au vu de la diversité des mesures de protection et d’anticipation à prendre, le soutien d’un courtier en assurance comme le Groupe Gesco Assurances peut s’avérer vital. Son expérience et son regard extérieur peuvent être cruciaux pour détecter les failles potentielles de toute organisation.