Bon nombre de RSSI intègrent désormais une cyberassurance ou une assurance cyberresponsabilité à leur stratégie de gestion des risques de cybersécurité. La cyberassurance peut jouer un rôle déterminant dans les efforts d'une entreprise pour réduire les conséquences financières et opérationnelles de cyberévénements. Selon un récent rapport d'Hiscox sur la cyberpréparation (Hiscox Cyber Readiness Report), près de 41 % des entreprises sur les marchés américains et européens ont déjà investi dans des contrats de cyberassurance.
Quels sont les avantages de la cyberassurance ? Lorsque les entreprises sont victimes d'une compromission de données ou d'une attaque de ransomware dévastatrice, elles peuvent éprouver des difficultés à reprendre leurs activités si elles recourent aux mêmes ressources au quotidien. La cyberassurance peut réduire les coûts de correction d'un incident de cybersécurité, y compris ceux associés à l'assistance juridique, aux enquêteurs, aux professionnels de la communication de crise, ainsi qu'aux crédits ou remboursements de clients.
Face à la généralisation des modèles de télétravail et hybrides, les responsables de la sécurité sont de plus en plus conscients de l'importance d'une cyberassurance. Ils craignent que des informations stratégiques et sensibles, telles que des coordonnées de clients et des numéros de carte de crédit, soient divulguées sur Internet, ce qui les exposerait davantage aux cyberattaques.
Les lois et réglementations en matière de confidentialité des données mettent les entreprises et les assureurs sous pression
Néanmoins, les risques de sécurité associés aux modèles de télétravail et hybrides ne sont pas les seules préoccupations des responsables de la sécurité. Ces dernières années, les organismes publics et de réglementation exercent une pression supplémentaire sur les entreprises afin qu'elles protègent mieux les informations personnelles et qu'elles assument leurs responsabilités en cas d'incident. En février 2020, l'Assemblée de l'État de Californie a même présenté un projet de loi afin de rendre la cyberassurance obligatoire pour toutes les entreprises qui signent un contrat avec l'État et qui ont accès à des informations personnelles protégées.
Le nombre croissant de lois strictes en matière de confidentialité des données, comme celles répertoriées ci-dessous, incite même certains assureurs à se concentrer sur les mesures de cyberassurance :
- La loi Data Privacy Act et le Notifiable Data Breach Scheme en vigueur en Australie
- La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard)
- La loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 en vigueur aux États-Unis
- Le règlement général sur la protection des données (RGPD) de l'Union européenne
La cyberassurance ne remplace pas une stratégie de prévention robuste
Les cyberassureurs n'ont pas d'autre choix que d'adapter leur approche de la couverture, car les pertes ne sont pas viables. Ils sont connus pour refuser les contrats et les réclamations ou pour augmenter les primes lorsque les entreprises ne peuvent pas prouver la mise en place de contrôles préventifs. Pourtant, il convient de noter que des contrôles techniques ne suffisent pas à eux seuls à réduire bon nombre des risques liés au facteur humain et aux comportements des utilisateurs, à l'heure où le paysage des menaces est dominé par les tactiques d'ingénierie sociale.
Les entreprises doivent également faire attention aux lignes en petits caractères de leurs contrats de cyberassurance. Si elles perdent de l'argent ou des données dans le cadre d'une attaque par piratage de la messagerie en entreprise (BEC, Business Email Compromise), par exemple, elles pourraient découvrir qu'elles ne sont pas couvertes. En effet, de nombreux contrats de cyberassurance ne couvrent pas ce que les assureurs considèrent comme une falsification, une fraude informatique, de l'ingénierie sociale, une rançon ou une fraude aux transferts de fonds.
Pour en savoir plus sur les tendances actuelles en matière de cybersécurité, téléchargez le dernier rapport Le facteur humain de Proofpoint.