En 1789, Benjamin Franklin disait : « Dans ce monde rien n’est certain sauf la mort et les impôts ». Au 21e siècle, il est nécessaire de l’actualiser, en tenant compte de l’inévitable nouveauté du siècle : les cyberattaques. Il est certain qu’en matière de cybermenaces, aucun secteur, aucune industrie ou entreprise n’est à l’abri.
Alors que le débat autour de la cyberassurance est toujours d’actualité en France et que la demande ne cesse de croître, les cyberattaques sont devenues le quotidien de toutes les entreprises. Ils sont pratiquement incontournables et les coûts qui en résultent peuvent être particulièrement élevés. Les compagnies d’assurance peuvent-elles proposer une cyber-assurance flexible et abordable à toutes les entreprises, quelle que soit leur taille ?
Dans un rapport récent, des chercheurs ont révélé que les petites et moyennes entreprises (PME) subissent actuellement 11 à 13 attaques par jour et par appareil. Pendant ce temps, l’essor des appareils connectés, le travail à distance et la transformation numérique des entreprises rendent la surface de la menace plus large et plus complexe que jamais. Les cyberincidents les plus médiatisés ces derniers temps ont impliqué des attaques de ransomware sophistiquées contre des infrastructures critiques et des entreprises technologiques. Ces derniers mois, de nombreux gouvernements à travers le monde ont placé la cybersécurité au sommet de leurs priorités de politique publique.
En France pourtant, près de 98 % des entreprises sont des TPE-PME. Ces entreprises sont confrontées à un flux constant et incessant d’attaques, les auteurs utilisant une gamme d’outils moins sophistiqués mais non moins efficaces, tels que le phishing, le DDoS (déni de service), le vol de données et les logiciels malveillants. De plus, il est de plus en plus courant d’observer de nouvelles tendances et tactiques cybercriminelles telles que RaaS (Ransomware-As-A-Service). Certains hackers se sont même spécialisés dans l’attaque de ces structures. Cela signifie que même les plus petites structures sont devenues des cibles attrayantes en raison de l’opération de piratage facile et rentable.
Risque vs coût de l’assurance
L’impact d’une cyberattaque peut être dévastateur. Un jour, tout semble aller normalement; le lendemain, l’entreprise ne peut plus traiter les paiements par carte, recharger ou effectuer les tâches automatisées les plus simples. Clients, partenaires et fournisseurs peuvent tous être victimes du chaos qui s’ensuit.
Aujourd’hui, de plus en plus d’industries sont connectées – à la fois en interne entre les employés et en externe avec les fournisseurs partenaires. Une attaque n’a pas nécessairement besoin d’un terminal mal protégé, il lui suffit d’une application pour smartphone, d’un point de vente (POS) ou d’une connexion numérique quelque part le long de la chaîne de données. trouver et exploiter une faille. L’entrepôt compatible IoT, le logiciel de chaîne d’approvisionnement ou même le fourgon électrique sont également des points d’entrée possibles qui sont souvent négligés. Trouver une nouvelle porte d’entrée est un terrain de jeu pour les cybercriminels, et le manque de sécurité a un prix.
La plupart des entreprises, quelle que soit leur taille et leur secteur d’activité, ne sont pas bien préparées à une cyberattaque, même si les conséquences et les coûts peuvent être élevés. Les PME sont généralement les plus durement touchées avec une fermeture de 60 % dans les six mois suivant une cyberattaque. En France cependant, 82% du marché de l’assurance en ligne concerne les grandes entreprises, 13% des ETI, PME et TPE se partagent les 5% restants[1]. Le même rapport explique que la raison invoquée par ces petites compagnies pour ne pas souscrire serait le coût des primes d’assurance trop élevées. En évaluant le risque par rapport au coût de la couverture, près d’un tiers des entreprises ont choisi de prendre le risque.
Il est à noter que les différentes déclarations des représentants publics contre le paiement des programmes de rançon poussent les compagnies d’assurance à revoir leurs dispositions de couverture. Par ailleurs, l’année dernière, AXA France – l’un des plus grands assureurs non-vie du territoire – a annoncé qu’il ne couvrirait plus le coût des paiements de rançon. Résultat : il y a un manque d’unité sur le marché de l’assurance contre les risques cyber, rendant le sujet complexe et inaudible pour les entreprises confrontées à des risques réels.
Mieux vaut prévenir que guérir
Créer un avenir plus durable pour la cyberassurance signifie équilibrer le risque perçu pour les entreprises avec les coûts facturés. L’adoption d’une nouvelle approche de la cybersécurité axée sur la prévention ouvre la voie à cet équilibre. En matière de cyberdétection et de réponse, ils ne peuvent plus adopter une approche obsolète basée sur la détection de menaces connues. Au lieu de cela, une approche de prévention d’abord arrête les acteurs de la menace aux portes du réseau, en utilisant des modèles d’apprentissage automatique basés sur l’intelligence artificielle (IA). Cela permet également d’identifier une menace avant qu’elle ne soit exécutée et même avant qu’elle ne soit connue.
Pour les entreprises aux ressources informatiques internes limitées – notamment les PME particulièrement vulnérables – il existe un support qui peut les accompagner de ressources spécialisées en sécurité via un abonnement mensuel. Associée à l’approche axée sur la prévention, cela augmente la capacité de l’entreprise à détecter, surveiller, réagir et prévenir les failles de sécurité, à optimiser la disponibilité et à réduire le risque d’exposition aux attaques.
La prévention des infractions ouvrira la voie à un effet modérateur sur la hausse des primes d’assurance de cybersécurité plus efficacement et à long terme. Le résultat sera donc de pouvoir accéder à un produit plus abordable pour le plus grand nombre d’entreprises qui souhaitent se couvrir contre les risques cyber, et de rendre le marché plus attractif et pérenne pour les compagnies d’assurance.