Cyber assurance : vers une approche active, intégrée et collaborative

Benjamin Barès
Coalition

En conjuguant expertise technique et couverture financière, le nouveau modèle de "cyber assurance active" offre une gestion dynamique et intégrée indispensable face aux risques numériques actuels.

L’illusion d’atteindre le risque zéro en matière de cybercriminalité commence à progressivement disparaître grâce, notamment, à une éducation au risque mieux coordonnée. Pour autant, même si l’écosystème des éditeurs, constructeurs, intégrateurs de solutions, des fournisseurs de services et aussi des assureurs et courtiers en assurance a oeuvré pour alerter et protéger au mieux des conséquences d’attaques, la plupart des entreprises, parmi lesquelles de nombreuses PME, n’ont pas encore inscrit la cybersécurité à leur agenda et intégré des pratiques solides dans les prérequis natifs de leur activité. 

Les limites des assurances traditionnelles

Néanmoins, malgré des dispositifs technologiques de plus en plus performants, la diversité et la sophistication croissantes des attaques rendent les entreprises vulnérables. En cas d’incident, elles peuvent heureusement se tourner vers leur contrat d’assurance, un réflexe rassurant que confirme le dernier rapport annuel de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise). À ce titre, il est encourageant de constater que la proportion de PME et d’ETI bénéficiant d’une assurance cyber a progressé respectivement de 33 % et 32 % l’an passé.

Pour autant, les solutions d’assurance traditionnelles évoluent encore principalement en réaction à l’émergence de nouveaux risques, s’ajustant progressivement aux menaces sans toujours pouvoir les anticiper pleinement. Ainsi, il existe une véritable opportunité pour les assureurs d’accompagner plus en amont les entreprises, en leur apportant une expertise préventive et des garanties adaptées à l’évolution permanente des enjeux de cybersécurité.

En observant le marché, on note que la couverture des risques cyber suit parfois le mouvement du cycle assurantiel : une contraction des garanties suite à une augmentation des sinistres, suivie d’un élargissement après la gestion des crises. Face à l’accélération et à la sophistication des menaces, notamment avec l’essor de l’IA, il devient d’autant plus pertinent de renforcer l’analyse des causes majeures d’incidents cyber, afin de mieux anticiper les risques futurs et d’accompagner les entreprises dans leur préparation.

L’assurance cyber active : prévenir les risques avant qu’ils ne surviennent

Puisque les risques portés par nos usages numériques ne se traduisent pas automatiquement en modèles actuariels traditionnels, il faut penser les assurances cyber d’une manière différente. Ces dernières nécessitent en effet, de manière urgente, une approche en adéquation avec l’évolution des nouvelles technologies et des tactiques des hackeurs qui ont toujours une

longueur d’avance. Surtout, elles doivent intégrer à la fois des garanties relatives à diverses situations comme la fraude et celles impliquant tant l’entreprise que ses clients ou fournisseurs.

L’assureur doit parfaitement connaître les failles classiques des actifs informatiques des entreprises afin de devenir un interlocuteur de choix. Il est donc aujourd’hui nécessaire que ce dernier soit également engagé et focalisé à 100 % sur les aspects technologiques de son métier, et pas uniquement sur les aspects financiers.

En proposant des services et des outils de contrôle dédiés, l’assureur peut par exemple aider les entreprises à identifier les failles éventuelles de leurs actifs informatiques, ainsi que les vulnérabilités de leurs systèmes et technologies. L’enjeu n’est pas de se substituer aux équipes informatiques, mais plutôt de leur fournir un support permanent pour faciliter leur travail et les aider à prioriser les faiblesses et vulnérabilités de sécurité les plus critiques avant qu’elles ne se transforment en sinistres.

Le rôle de l’assureur cyber ne peut en effet pas se limiter à vérifier, après un incident, que les conditions de couverture sont remplies. Il doit se placer, pour les entreprises, en véritable partenaire : il évalue les risques immédiats, protège les actifs au fur et à mesure que les menaces émergent, intervient avec expertise lors d’un incident et garantit une couverture globale afin que l’entreprise puisse poursuivre le développement de ses activités en toute sérénité.

Pour cela, l’assureur s’appuiera idéalement sur des outils avancés d’observation, de contrôle et d’alerte continus, non intrusifs, capables de surveiller activement les systèmes, les données, de détecter les comportements anormaux et de réduire leur impact opérationnel. Des mesures complémentaires – correctifs récurrents, authentification forte, etc. – viennent par ailleurs renforcer cette approche proactive.

Dépasser le cadre de la responsabilité financière des incidents

Pour aider ses assurés à anticiper les cyberattaques, l’assureur doit être capable de comprendre la nature des activités des cybercriminels et s’informer constamment sur l’évolution de leurs techniques, outils et procédures. Car mieux il connaîtra son « ennemi », mieux il sera en mesure de contrôler les risques qu’ils représentent et dont il intègre la couverture

dans ses contrats.

La seule option valable pour la PME - qui se sait plus que jamais exposée à des risques imprévisibles et évolutifs - est de disposer d’une assurance cyber qui se distingue par son approche active de la gestion du risque. Une assurance qui ne se contente pas d’attendre qu’un incident survienne pour sortir du tiroir.

Car le rôle traditionnel de filet de sécurité financière des polices d’assurance ne correspond plus ni à la réalité des risques ni aux attentes des clients souscripteurs. En associant prévention, monitoring continu et visualisation dynamique des risques, les cyber-assureurs pourront étendre leur champ d’action et augmenter la valeur ajoutée qu’ils apportent à leurs clients.

En fin de compte, plutôt que de se contenter d’être réactifs, les cyber-assureurs peuvent devenir de véritables partenaires actifs des PME en matière de gestion des risques. En conjuguant leur expertise technique à un contrat d'assurance spécialisé , ils ont ainsi l’opportunité unique de définir un nouveau référentiel de protection contre les risques numériques.