Quelles exigences pour les assureurs ?

Le cloud est-il couvert ?

Le cloud est-il couvert ?

Indemniser ou non le paiement d’une rançon ?

Indemniser ou non le paiement d’une rançon ?

Face à la propagation des cyberattaques, les compagnies d’assurance augmentent leurs primes et augmentent leurs sinistres. En apportant les garanties d’une bonne gestion informatique, DSI permet à l’entreprise de souscrire le meilleur contrat d’assurance cyber possible.

Depuis le début de la crise sanitaire, la menace cyber a fortement augmenté. Les hackers opportunistes multiplient les attaques contre les organisations fragilisées avec la généralisation du travail à distance. Selon l’ANSSI, le nombre de victimes a quadruplé en 2020. « La cybermenace est devenue le risque professionnel numéro un », a déclaré Marc-Henri Boydron, fondateur du courtier Cyber ​​​​​​​​Cover. « Sans système d’information, il est difficile d’imaginer l’avenir et de nombreuses entreprises ont déposé le bilan après un sinistre », ajoute-t-il.

Si l’assurance fait partie de l’offre d’une entreprise pour se prémunir contre les risques cyber, les conditions d’assurance se sont considérablement durcies ces derniers mois. « Face à la prolifération des ransomwares, les assureurs ont enregistré un solde négatif, payant plus de sinistres qu’ils n’en ont collectés en primes », observe Jean Bayon de la Tour, responsable de l’activité cyber chez Marsh Europe. « En conséquence, ils ont des conditions d’accès limitées, des primes augmentées – parfois de plus de 50 % – et une couverture limitée des risques cyber. »

En fait, les chiffres parlent d’eux-mêmes. Selon une étude réalisée par l’Association pour la gestion des risques des entreprises et des assurances (Amrae), publiée en mai, le montant des indemnisations a été multiplié par près de trois entre 2019 et 2020, passant de 73 à 217 millions d’euros. Au cours de la même période, la proportion de la rémunération est passée de 84 % à 167 %. L’étude montre également que si 87% des grandes entreprises ont souscrit une cyber assurance, seulement 8% des ETI sont couvertes.

Non seulement les primes sont exorbitantes, mais les demandes des compagnies d’assurance le sont aussi. Dans ce contexte, DSI ou RSSI jouent un rôle clé en amont de la souscription. Lors de la conception du questionnaire déclaratif à remplir par l’assuré, celui-ci apportera des garanties quant aux mesures de gestion ou de protection pour obtenir la meilleure assurance possible. « Une compagnie d’assurance peut recommander le déploiement d’outils préventifs, et si une compagnie ne le met pas en place, elle doit justifier les mesures alternatives qu’elle a prises », suggère Jean Bayon de la Tour.

« Avant ce travail de mise en conformité des assurances, huit cas sur dix n’étaient pas éligibles », ajoute Marc-Henri Boydron. Et quand le dossier passe, il est question de réduire le montant du prix. « Pour un même type d’organisation, il peut doubler si le risque cyber est mal sécurisé. Pour constituer le meilleur dossier, il est judicieux de passer par un courtier qui aura une vision globale de l’offre. « Les assureurs adoptent des approches différentes et proposent des niveaux de couverture et d’exclusions très variables », a déclaré Craig Dunn, responsable de la cybersécurité chez Hiscox.

Ce dernier recommande également de réaliser un test de vulnérabilité avant de souscrire. « En fonction des résultats, des recommandations seront transmises à l’entreprise qui prendra les mesures correctives nécessaires. »

Quelles exigences pour les assureurs ?

Quelles exigences pour les assureurs ?

« Pour les petites et moyennes entreprises réalisant moins de 50 millions d’euros de chiffre d’affaires, les exigences des compagnies d’assurance sont relativement simples », précise Marc-Henri Boydron. « La société a mis en place un antivirus, un anti-malware et des pare-feu. Elle utilise une politique stricte de correctifs et de mises à jour et effectue des sauvegardes au moins une fois par semaine. Ces sauvegardes sont déconnectées et déployées – les pirates tentent de les détruire – et testées au moins une fois par an. . C’est un élément essentiel. Une sauvegarde défectueuse ou incomplète compromettra sérieusement la restauration. »

La sensibilisation des collaborateurs au risque cyber est un élément pris en compte par les compagnies d’assurance. Elle donne lieu à des relances régulières sous forme de rendez-vous, d’alertes ou de fausses campagnes de phishing. Les grandes entreprises ajouteront à cette liste une authentification multi-facteurs – au moins pour les comptes administrateur – et un VPN pour sécuriser l’accès à distance.

« La compromission des identifiants et l’élévation des privilèges sont fréquemment retrouvées dans les sinistres analysés », note Marc-Henri Boydron. La gouvernance dans la gestion des mots de passe et des autorisations est donc scrupuleusement suivie. Le cryptage des données sensibles, la mise en quarantaine des e-mails suspects (sandboxing) ou une stratégie PCA/PRA actualisée sont également des éléments que les compagnies d’assurance apprécient.

À Lire  "La Volvo doit démarrer tous les matins" Thierry Schoone - ancien DSI de Teleperformance Marché Francophone

De son côté, le courtier Marsh a répertorié douze points de contrôle pour guider les entreprises. Il s’agit entre autres de mettre en place une authentification multi-facteurs (MFA) et un plan de gestion de crise ou d’assurer la segmentation du réseau. « Si ces conditions ne sont pas remplies, cela peut être rédhibitoire du point de vue de la compagnie d’assurance », précise Jean Bayon de la Tour.

Ensuite tout dépend du profil de l’organisation, de son secteur d’activité ou de sa culture. Les exigences seront plus élevées pour une société financière ou un système de santé. « Aucune entreprise n’a la même exposition au risque », poursuit-il. Et s’il n’y a pas de contrat type en revanche, il existe des blocs de garanties d’un document à l’autre. »

Le cloud est-il couvert ?

Le cloud est-il couvert ?

Selon Jean Bayon de la Tour, l’assurance agit comme un catalyseur. « En analysant les sinistres, une compagnie d’assurance a une bonne vue d’ensemble des points de contrôle qui fonctionnent et aura donc tendance à les faire respecter. Pour une entreprise, souscrire une cyber assurance montre qu’elle a atteint un certain niveau de maturité en matière de cybersécurité. comme un Saint Graal, supérieur aux normes et certifications de type ISO 27001 et NIST. »

Si l’on est plutôt sur du sur-mesure, les experts recommandent de lire attentivement les conditions générales et de s’attarder notamment sur la définition du système d’information. S’entend-il comme un SI étendu aux sous-traitants ? Aussi, avec la généralisation du cloud, l’entreprise voit ses données réparties sur plusieurs sites.

Pour Jean Bayon de la Tour, un contrat cyber doit couvrir la perte d’intégrité des données, qu’elles résident sur les propres serveurs de l’entreprise ou dans l’infrastructure d’un tiers. « Une assurance complémentaire couvrira les dégâts matériels après, par exemple, un incendie. »

La cyberassurance couvre les pertes d’exploitation, les frais liés à la remise en état du système d’information, mais aussi les dommages causés à un tiers si la responsabilité civile de l’assuré est engagée. Au-delà de cette composante rémunération, il y a la composante service. La compagnie d’assurance envoie des experts qui vont identifier la menace, évaluer l’ampleur de l’attaque et le volume de données exfiltrées.

Des juristes traitent la déclaration à la CNIL, des professionnels de la communication de crise tentent de limiter l’impact de l’incident sur l’image de l’entreprise. « L’assurance auto prévoit une assistance pour le remorquage d’une voiture accidentée et le prêt d’un véhicule de remplacement, illustre Marc-Henri Boydron. Un contrat cyber joue le même rôle. »

Indemniser ou non le paiement d’une rançon ?

En cas de rançon, une entreprise peut bénéficier de l’intervention d’experts en négociation qui, en discutant avec les hackers, tenteront d’annuler la rançon ou du moins de la réduire. En fin de compte, c’est à l’assuré de décider de payer ou non. « En théorie, tout le monde est contre », rappelle Jean Bayon de la Tour. « Aucun client ne veut payer cela et tout est fait pour que ce ne soit pas le cas. Cependant, la réalité dépasse la théorie lorsque l’activité d’une entreprise, voire sa survie, est en jeu. »

Le débat s’est ouvert aux Pays-Bas sur la possibilité d’interdire le paiement d’une rançon. Certaines compagnies d’assurance ont décidé de ne plus indemniser leurs clients victimes de chantage. C’est le cas d’AXA et de Generali en France. « Nous demandons à nos clients s’ils souhaitent ou non souscrire cette garantie », précise Jean Bayon de la Tour. Selon lui, « une éventuelle exclusion de ce risque ne changera pas la rentabilité des contrats. C’est un débat idéologique et c’est au régulateur de trancher ».

Un contrat cyber a une durée d’un an. Durant cette période, l’entreprise s’engage à poursuivre les bonnes pratiques de cybersécurité telles que les 40 règles d’hygiène des données de l’ANSSI. De son côté, « une compagnie d’assurance peut notifier de nouvelles vulnérabilités et la disponibilité de mises à jour, mais pas faire des demandes supplémentaires », ajoute Jean Bayon de la Tour. « Nous luttons contre l’introduction de nouvelles clauses dans le contrat. D’autre part, une évaluation est faite à maturité pour s’assurer que la réalité annoncée est toujours conforme à la situation actuelle. Ce rapport annuel permet d’actualiser le prix du contrat à la hausse ou à la baisse.

Le prix sera certainement réévalué à la hausse, « chaque organisation devrait penser à signer un contrat », conclut Marc-Henri Boydron. « Une PME de moins de dix millions d’euros de chiffre d’affaires peut avoir un bon niveau de couverture pour une prime de 1 500 € par an. »

Voir aussi : Cyberassurance : PRA obligatoire ? Témoignages de deux RSSI