Suite à de nombreuses actualités récentes sur le sujet, notre auteur Michel Juvin dresse un panorama de la cyberassurance, de ses caractéristiques et de ses limites.
Pour répondre aux questions actuelles sur la valeur de la cyberassurance, il est utile d’examiner comment les entreprises évaluent les risques dans le monde et comment les assureurs se positionnent en conséquence.
Dans le cadre du rassemblement annuel des principaux leaders économiques mondiaux, le WEF interroge les dirigeants et recommande annuellement (depuis 2006) une liste de risques à prendre en compte. En 2022, le risque cyberest dans le chapitre Technologie et n’est pas mentionné dans les risques de la prochaine décennie.
Au vu des études précédentes, le cyber-risque n’a été mentionné qu’au niveau opérationnel, principalement au cours des années précédentes 2017 à 2019 ; jusqu’à ce qu’il soit montré à la 3ème place en 2018.
De même, dans le panorama des risques identifiés pour les deux prochaines années, les plus grandes entreprises mondiales indiquent les risques climatiques et placent les cyber-risques à la septième place.
Bien que le risque cyber inquiète les dirigeants mondiaux (peut-être parce qu’ils ne sont pas capables de ce type de risque), le rapport du WEF révèle le risque cyber par pays et se classe à la cinquième place pour la France[1].
A noter qu’AXA, qui fournissait des solutions de cyberassurance, place ce deuxième risque.
Statistique et premiers enseignements du déploiement des cyber-assurances
Alors, où en sommes-nous exactement ? La cyber-assurance est utilisée depuis plusieurs années dans les grandes entreprises françaises et nous sommes en mesure d’établir une première analyse à travers deux études avec le CESIN (club d’experts en sécurité de l’information et du numérique) et l’AMRAE (association des sociétés de gestion des risques et d’assurance).
Avec une communauté de plus de 800 experts en cybersécurité, le baromètre annuel du CESIN (janvier 2022) dresse un tableau représentatif de l’adoption et de la première solution de cas d’usage !
Ainsi, avec la présentation des répondants 54% de grandes entreprises, 38% d’ETI et 8% de PME, on voit que l’acceptation est forte depuis deux à trois ans, mais qu’une grande partie (45% cette année ) n’a pas encore ou n’a pas décidé de prendre cette décision.
Bien sûr, la question suivante sur le recours à la cyber assurance est très intéressante puisque l’événement était difficile ou pas bon pour environ 85% des cas !
Enfin, le dépôt de plainte n’est pas organisé, environ 50% des entreprises attaquées n’ont pas porté plainte.
De son côté, le rapport LUCY de l’AMRAE met en lumière les premiers enseignements sur l’adoption de la cyberassurance par les entreprises. Il consulte les commerçants (et non les entreprises) et apporte des réponses sur la base de plus de 2000 contrats enregistrés.
Avec un ratio (c’est-à-dire aux sinistres) qui est passé de 167% à 88%, force est de constater que cette activité est devenue rentable pour les cyber-assureurs en 2021.
Cependant, dans le détail, on note que les primes ont été plus avantageuses pour les cyber-assureurs sur ETI et PME que pour les grandes entreprises : 82% du total des primes en primes ont été versées aux grandes entreprises.
Cette révision a également conduit les assureurs à payer le double et à augmenter significativement les franchises en cas d’accident.
Sur le sujet de l’assurance, un rappel de la notion de gestion des risques s’impose
En gestion des risques, après leur identification, il faut réduire le risque pour qu’il soit « acceptable » par l’entreprise. Sinon, certains peuvent parler de transfert du risque à un tiers, mais au final, dans la cybersécurité, il y a quand même une part importante de responsabilité et d’image de l’entreprise.
Il faut donc rappeler que la cyber assurance ne couvre que les frais financiers de l’accident et non la possibilité de transférer le risque cyber.
Sur le plan éthique, le rôle de l’assurance est de couvrir un risque qui ne peut être prévu (anticipé) ou atténué ou non couvert par la réglementation. Par exemple, vous traversez une intersection sous un feu vert et vous vous faites arrêter. Il est courant que l’assurance au tiers (causé par l’accident) vous paie mais est-il permis que la personne qui ne respecte pas les règles soit également couverte sur sa propriété ?
Sur le même principe, si vous êtes conscient de la vulnérabilité de votre entreprise et que vous n’utilisez aucune protection, alors il semble normal qu’aucune assurance ne vous couvre, même financièrement.
En d’autres termes, si l’entreprise n’analyse pas ses risques cyber et ne réduit pas son risque identifié (pas de plan d’action, pas de respect des délais des projets, pas de suivi et de contrôle de l’avancement des programmes de réduction des risques, etc.) de manière efficace, il n’est pas nécessaire que la cyber-assurance couvre avec de l’argent les pertes survenues.
Les limites des cyber-assurances
N’oubliez pas qu’en dehors de la couverture financière, l’assurance ne fixe pas le risque au sommet (la source de la cause) et donc malgré les bonnes intentions, la compagnie d’assurance extérieure à l’entreprise ne peut fournir un plan pour réduire ou prévenir le risque.
De plus, la cyber-assurance ne couvre pas la perte de propriété intellectuelle et l’atteinte à la réputation de l’entreprise. En effet, ces risques ne pouvant être estimés avec précision, la cyber-assurance ne couvre pas ces risques ou n’apporte qu’une compensation financière qui sera estimée globalement par le contractant.
Enfin, on voit que le montant retiré a été fortement augmenté ; les questions posées par les assureurs sont de plus en plus posées et souvent mal traitées lors des échanges avec les assureurs). Parfois, n’ayant pas de compétences en interne, les compagnies d’assurances et les courtiers accompagnent une société de conseil (que vous n’avez pas choisie) et viennent analyser votre environnement et vous donne des actions à faire qui ne sont évidemment pas ce que vous avez vu autrement ; mais lesquels sont liés aux risques dans les secteurs de l’assurance. Le recours croissant à l’agence de notation du risque cyber est également très insuffisant par rapport à ce qui est en baisse dans l’entreprise.
Ces processus augmentent fortement le rejet de ce type d’utilisation externe vis-à-vis des compagnies d’assurance, qui sont souvent choisies par la direction financière, elle-même peu impliquée dans la gestion des risques cyber.
Où en est-on : les dernières positions officielles
Alors que les précédents articles de l’ANSSI incitent les entreprises à ne jamais payer la rançon réclamée par les cyber-gangs étrangers, un nouvel article du ministère des Finances (Direction des Finances) de septembre 2022 montre que les entreprises vont se signaler aux gendarmes français du C3N pour obtenir de l’argent . une indemnisation par le biais de leur cyber-assurance.
Comme le souligne la journaliste Valérie Marchive dans un article récent sur les ransomwares, ce nouveau positionnement a pour but de permettre de tracer le flux des crypto-monnaies déclarées et de tenter de relier les informations collectées pour identifier via Interpol et/ou Europol les cybercriminel. organisations.
En effet, le site Chainalysis, par exemple, donne aux forces de police la possibilité de suivre les flux de crypto-monnaie et de suivre les joueurs quel que soit leur pays ; le rôle important de la police et d’autres questions de développement sont notés dans l’article. Mais les cybergangs savent voler les gains mal acquis comme je l’ai expliqué dans une de mes chroniques précédentes.
Le problème évident est le risque d’encourager les cybergangs à porter des accusations criminelles (ce qui est illégal et interdit surtout aux États-Unis : des amendes sont imposées aux entreprises qui paient une rançon). Toutefois, la proposition vise à donner la possibilité aux entreprises à risque de faire faillite à la suite d’une cyberattaque, de restaurer leurs droits d’accès aux données et d’effectuer des mouvements légaux d’argent résultant de la demande de rançon via les services de police ; et éventuellement négocier une rançon.
Mais au-delà de l’objectif louable : comment vérifier que depuis cette dernière annonce de Bercy, il y a eu une recrudescence des attentats (+26 en un mois de septembre) ? Les pirates ont-ils des raisons de s’attendre à être payés ?
Assurance cyber : quel choix faut-il faire aujourd’hui ?
Il faut commencer par le début : c’est-à-dire connaître ses faiblesses et surtout tout faire pour les réduire. Avec ces articles récents, qui mettent en lumière les cyber-attaques, il est devenu important pour les DSI de se concentrer sur la réduction du risque[2] ; sous le contrôle du Directeur de la Direction des Risques et de la Cybersécurité.
Le recours à la cyber assurance peut ne pas être le bon choix pour les grandes entreprises car l’investissement dans ces sociétés externes réduit le budget des équipes en charge de la réduction des risques. De plus, compte tenu des objectifs de la cyber-assurance, ils ne peuvent jouer qu’un rôle secondaire, par rapport à ce que tout cyber-expert des grandes entreprises doit savoir faire, et sans être une distraction par rapport aux questions importantes que la cyber-assurance ne peut apporter. répondre, naturellement.
Pour les petites et moyennes entreprises, la situation est difficile car elles n’ont souvent pas les ressources pour faire face à une cyberattaque et les conséquences peuvent être effectivement fatales comme nous l’avons vu dans de nombreux cas. Cependant, il est intéressant de noter que certaines grandes entreprises mettent en place une assurance captive pour protéger leurs petites entreprises sous-traitantes qui partagent des données et des intérêts. L’idée est, d’une part, d’évaluer les risques globaux et de réduire les risques les plus importants à l’échelle de leur écosystème, et, d’autre part, d’apporter un peu de cyber-maturité à ces entreprises qui ne suffisent pas. ressources pour mener à bien ces actions. Malheureusement, aujourd’hui, à l’exception d’une entreprise comme Cybervadis, il n’y a pas beaucoup d’acteurs tiers sur le marché en France qui proposent cette évaluation du risque de sous-traitance qui arrête le risque au niveau du groupe.
Dès lors on comprendra que la cyber assurance n’est pas la panacée que certains chefs d’entreprise peuvent imaginer, ou avec les récentes annonces gouvernementales. L’approche et la compréhension du risque cyber par les acteurs de l’assurance, contrairement à ce qu’en disent les autres labels, est différente de celle dont devrait se prévaloir l’entreprise qui veut se protéger.
[2] Cartographie, évaluation des risques, segmentation du réseau, plan de récupération testé, test de vulnérabilité périodique via une plateforme comme www.yeswehack.com, etc.