Secu
Comment les assureurs deviennent des évaluateurs de cybersécurité de votre entreprise
Par La rédaction, publié le 28 février 2024
Depuis des décennies, les régulateurs et les organismes de l’industrie ont surveillé de près les opérations informatiques des entreprises, mettant l’accent sur la sécurité. De manière inattendue, un nouvel acteur pourrait entrer dans l’arène pour élever la barre de la cybersécurité : l’assureur cyber.
De Mark Logan, PDG de One Identity
La science actuarielle alimente un marché mondial des primes d’assurance d’une valeur de 7 000 milliards de dollars par an. Il s’agit d’un secteur vieux de plusieurs siècles, et même les premières polices d’assurance cyber ont maintenant plusieurs décennies. Mais au cours des dernières années, l’assurance cyber a été complètement bouleversée par le coup double des cryptomonnaies et des rançongiciels. Pour la première fois dans l’histoire, les attaquants pouvaient tirer un profit financier direct, principalement anonyme et non traçable d’une violation, en utilisant des outils d’attaque relativement simples, préfabriqués, évolutifs et bon marché. La vague de cybercriminalité déclenchée par cette nouvelle structure incitative a presque fait imploser le marché de l’assurance cyber, les assureurs étant contraints de subir d’énormes pertes suite à une série de violations réussies.
À la fin de 2023, nous pouvons considérer que le marché est stabilisé. Cela s’accompagne d’une augmentation renouvelée de la capacité d’assurance et d’un retour bienvenu de la concurrence sur le marché. L’autre côté de la médaille est que les coûts des polices se stabilisent à des niveaux extraordinairement élevés, sans aucune attente de retour à des niveaux pré-rançongiciels.
Surmonter les angles morts dans l’assurance cyber
La vague de rançongiciels a montré que les outils traditionnels de la science actuarielle ont des lacunes en matière de cybersécurité. Il est donc important de comprendre quels sont les angles morts de l’assurance cyber et de prendre des mesures appropriées pour les résoudre.
Une spécificité de ce type est la modélisation du risque associé à l’industrie et à la taille de l’organisation. Prenons le secteur de la santé, où la cybersécurité est souvent perçue comme déficiente par rapport à d’autres secteurs, tandis que la confidentialité et la disponibilité sont considérées comme absolument critiques pour ce domaine. Cela rend les organisations telles que les hôpitaux des cibles attrayantes : sous-protégées, avec une grande quantité de données sensibles, les laissant vulnérables aux rançongiciels et aux tactiques d’extorsion. Et comme le risque est finalement le produit de la probabilité et de l’impact, obtenir des scores élevés sur les deux échelles rend ce secteur très coûteux à assurer.
À LIRE AUSSI :
L’autre angle mort pour les assureurs est l’évaluation précise du risque au moment de la demande de police d’assurance. Les assureurs utilisent des questionnaires d’auto-évaluation de plus en plus détaillés afin de comprendre la posture de sécurité du demandeur, des détails les plus fins de l’authentification multifactorielle (AMF) aux règles exactes de groupe pour les administrateurs de l’Active Directory (AD). Une incompréhension fondamentale des demandeurs est de considérer ces évaluations comme une simple formalité, autorisant des inexactitudes ou des déclarations trompeuses dans l’espoir d’obtenir de meilleures primes offertes.
Cette approche peut entraîner des conséquences critiques, et il existe déjà des exemples où des auto-évaluations incorrectes ont conduit les compagnies d’assurance à refuser un versement important.
De tels précédents créent un nouvel environnement dans le domaine de l’assurance cyber. Être capable de cocher une case dans une auto-évaluation de cybersécurité n’est que la première étape qu’un RSSI doit considérer. La prochaine étape est de pouvoir prouver la capacité revendiquée. Pour être clair : ne pas documenter les mesures préventives est presque aussi grave que de ne pas avoir ces mesures préventives.
Optimiser la cyber-assurance par des cyber-mesures innovantes
L’état actuel du domaine de l’assurance cyber offre d’importantes opportunités d’action pour les décideurs en matière de sécurité.
Premièrement, en prouvant un niveau de cybersécurité, ils doivent rompre le lien de “vulnérabilité par association” pour montrer leur organisation comme un exemple positif dans leur secteur. Le RSSI doit être en mesure de prouver que la maturité cyber de son organisation est meilleure que celle des autres, ce qui se traduira par de meilleures conditions lors de la conclusion ou du renouvellement de la police. Cela est particulièrement crucial dans les secteurs considérés comme les plus vulnérables, tels que la santé ou les services.
À LIRE AUSSI :
Deuxièmement, l’auto-évaluation de l’assurance cyber est plus puissante qu’on ne pourrait le percevoir initialement. Les termes stipulés dans l’évaluation servent de référence en cybersécurité contre laquelle l’organisation sera évaluée en cas de demande d’assurance cyber. Une demande substantielle est susceptible de déclencher une enquête approfondie par l’assureur, au cours de laquelle toutes les mesures promises seront énumérées et examinées pour leur efficacité. Échouer à cette épreuve conduira inévitablement au refus du paiement, comme dans le cas de Travelers. Ainsi, cocher simplement une case dans une auto-évaluation de cybersécurité n’est que la première étape qu’un RSSI doit considérer. La prochaine étape est d’être en mesure de justifier la capacité revendiquée.
Le marché de l’assurance cyber se stabilise et devient de plus en plus compétitif en termes de prix. Cela conduira à la normalisation des coûts des polices, accompagnée d’une impulsion en faveur de la standardisation et de la transparence. Le marché est prêt pour que les compagnies d’assurance cyber commencent à renforcer la transparence des tarifs, fournissant une clarté très nécessaire sur les facteurs de cybersécurité ayant le plus d’impact sur les primes, et détaillant les économies spécifiques que certaines mesures de sécurité peuvent apporter. Armés de ces informations clés, les RSSI seront enfin en mesure de faire des calculs précis du retour sur investissement pour les investissements en matière de sécurité, tout en renforçant la résilience cyber de leurs organisations.
À LIRE AUSSI :
À LIRE AUSSI :
