Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Ce que les cyber assurances ne devraient pas ignorer
Les cyber-attaques et les violations de données ont été un sujet presque aussi brûlant que le Covid et le changement climatique dans les médias ces deux dernières années. Les ransomwares sont une préoccupation majeure pour les entreprises des deux côtés de l’Atlantique. Colonial Pipeline a dû interrompre toutes ses activités sur la côte Est, tandis qu’en Europe, une patiente est décédée lorsque l’ambulance qui l’emmenait a été refusée à l’hôpital le plus proche en raison d’une attaque par ransomware.
Aucun secteur n’est à l’abri des cyberattaques, et il semble qu’il n’y ait pas de solution facile pour les arrêter définitivement. Certains chefs d’entreprise considèrent la cyber assurance comme un moyen d’équilibrer les comptes pour les pertes accumulées lors de ces attaques. Il n’est pas surprenant que le marché mondial de la cyber assurance va alors doubler, estimé à 9 milliards de dollars US en 2020 (8 milliards d’euros), il devrait atteindre 20 milliards de dollars US (environ 18 milliards d’euros) d’ici à 2025, selon Duane Folkard, responsable de la division Retail, Cyber & Commercial E&O, chez Aon Global Broking Centre.
Les coûts des cyber-assurances augmentent
Davantage d’entreprises ont recours à des polices de cyber assurance pour se protéger, les demandes d’indemnisation ont par conséquent augmenté et ont même compensé les primes, comme ce fut le cas aux États-Unis et en France l’année dernière. Alors que le montant moyen des indemnités versées dans le cadre d’une police d’assurance cyber américaine autonome était de 140 000 dollars en 2019, il est passé à 350 000 dollars en 2020 (Fitch Ratings). En France, le paiement total en 2020 était trois fois plus élevé que l’année précédente, 217M€ contre 73M€, déséquilibrant largement les livres des assureurs (Amrae).
La persistance de sinistres lourds a enfoncé davantage les livres dans le rouge en 2021, divers acteurs majeurs réduisant désormais leur exposition, ce qui rend la capacité de souscription de nouveaux cyber-risques difficile à trouver. Il n’est donc pas surprenant que les primes d’assurance cyber aient augmenté, alors que la couverture peut être insuffisante pour couvrir toutes les formes de cyber-attaques ou les spécificités du secteur. Les grandes entreprises sont souvent déjà assurées contre les cyber-attaques, mais trouvent que la couverture actuelle est inadéquate et insuffisante pour fournir des garanties suffisantes contre tous les risques qu’elles pourraient rencontrer. Selon le dernier rapport du géant des services financiers S&P Global, la pandémie a exacerbé le déficit de protection de la cyber-réassurance en amenant les clients existants et nouveaux à demander des garanties plus élevées et davantage d’inclusions dans les conditions générales de leurs polices. Il y a également eu un afflux important de nouveaux arrivants sur le marché, les petites entreprises recherchant désormais une assurance adaptée à leur taille car elles se retrouvent la cible de cyber-attaques.
Des exigences plus strictes en matière de cyber-sécurité sont nécessaires
La cybersécurité doit être améliorée pour équilibrer à la fois les primes et les sinistres. Comme il s’agit d’un marché de l’assurance relativement nouveau, il n’y a pas assez de données historiques pour construire un cadre de réclamation efficace. M. Folkard a ajouté qu’il est difficile de modéliser le bon niveau de prime de la couverture de cyber assurance étant donné le paysage incertain des risques. Les assureurs s’efforcent de mieux sélectionner les risques, ce qui signifie que « les clients qui peuvent articuler leur cyber-gouvernance et donner un aperçu de leurs contrôles de sécurité et de leurs processus internes devraient être mieux accueillis par les souscripteurs », a déclaré M. Folkard.
Reste à savoir si les assureurs ont l’expertise technique nécessaire pour évaluer correctement la gouvernance informatique des organisations assurées et pourraient, à leur tour, finir par assurer des organisations qui utilisent la cyber assurance comme substitut à l’amélioration de leur cybersécurité. En tout cas, le décor est planté pour des exigences de sécurité de plus en plus strictes pour les assurés – une tendance encouragée par l’intérêt pour le sujet des gouvernements.
Qui définit les exigences ?
La cybersécurité est devenue un sujet tellement brûlant que l’administration Biden a créé son propre groupe de travail pour faire face à la menace des ransomwares. L’un des axes de travail à l’ordre du jour est d’explorer la possibilité de nouveaux partenariats entre les fournisseurs de cyberassurance et les entreprises d’infrastructures critiques afin que les entreprises et le gouvernement puissent partager plus rapidement les informations sur les attaques de ransomware.
Accenture, un acteur majeur du marché de l’assurance, pousse également les actuaires, les souscripteurs, les équipes chargées des sinistres, les sociétés de logiciels et les consortiums industriels à travailler ensemble dans certains ou tous les domaines suivants :
1. Tirer parti d’un service de réponse industrialisé
2. Créer un service d’indemnisation axé sur les ransomwares.
3. Utiliser la souscription intégrée pour une tarification dynamique
4. Inciter les assurés à améliorer leur hygiène en matière de cybersécurité.
5. Apprendre du secteur des technologies de l’assurance
6. Maintenir la discipline sur les taux
7. Poursuivre les lignes personnelles
8. Aider les clients avant et après l’incident.
9. Rechercher des écosystèmes et des alliances
10. Se concentrer sur le développement et l’acquisition de compétences ainsi que sur la rétention.
11. Se concentrer sur les technologies innovantes comme l’analytique en temps réel et l’IdO.
Les gouvernements découragent activement le paiement de rançons par les assureurs, comme ce fut le cas lorsqu’AXA a suspendu son paiement de rançons suite à une audition parlementaire au Sénat français. Corinne Gaudoux, porte-parole d’AXA France, a déclaré dans un courriel qu’AXA France a décidé de suspendre les paiements, « jusqu’à ce que les autorités françaises clarifient leur position sur le fait qu’il est autorisé ou non pour les assureurs de couvrir les paiements de rançon. » Les assureurs font pression pour obtenir davantage de clarifications de la part des gouvernements, car il semble qu’il n’y ait aucun moyen d’empêcher la marée actuelle de ransomware de faire des ravages dans les entreprises et les organisations du monde entier.
L’autorité de réglementation du secteur des assurances de l’État de New York, le New York State Department of Financial Services, et le National Institute of Standards and Technology (NIST) sont dans une position unique pour définir les normes du marché de la cyberassurance. Les principaux cyberassureurs sont basés aux États-Unis et n’ont souvent pas assez d’expérience pour choisir les outils les plus efficaces pour aider à renforcer la cybersécurité. Le NIST dispose de l’expertise nécessaire et a publié des directives définissant les normes de sécurité de l’information pour les agences fédérales. La publication SP 800-171 fournit une liste complète de prérequis de base en matière de cybersécurité, notamment un chapitre sur l’identification et l’authentification pour mieux appliquer la politique en matière de mots de passe.
Le rôle du mot de passe dans la cyber assurance
La meilleure façon d’empêcher les ransomwares d’écraser la cyber assurance est de s’assurer que les attaquants ne peuvent pas entrer par la porte d’entrée en premier lieu. Les informations d’identification volées et compromises étant liées à 80 % des violations de données, le blocage des mots de passe compromis devrait être au cœur de la défense de la cybersécurité informatique. De nombreuses compagnies de cyber assurance ne considèrent pas la sécurité des mots de passe comme un critère pour une police de cyber assurance. En fait, les mots de passe sont l’angle mort de la cyber assurance.
Les cyber assureurs devraient au moins inclure les exigences du NIST en matière de mots de passe, comme le blocage des mots de passe compromis et la génération automatique de mots de passe, en plus de l’authentification multifactorielle, dans les critères de la cyber assurance. Cela permettrait de s’attaquer au principal moteur des cyber-attaques, de mieux protéger les assurés et, au final, de réduire les sinistres.
La solution Specops Password Policy et son extension Breached Password Protection permettent déjà de bloquer plus deux milliards de mots de passe compromis et utilisés par les attaquants en situations réelles et ne demandent qu’à être implémentées.
Découvrez Specops Password Policy et l’extension de blocage de mots de passe compromis, Breached Password Protection, dès maintenant.
(Dernière mise à jour le 06/12/2021)