Cyberassurances : comment réduire facilement les primes ?

Le rapport présenté en octobre dernier par la députée Valéria Faure-Muntian (LREM) pour "développer un marché mature de la cyberassurance" suggère notamment d'interdire le paiement des ransomwares. Cette proposition est passée un peu inaperçue, et pourtant c'est une véritable boîte de Pandore.

Pour consolider le marché encore naissant des assurances cyber, les entreprises n’ont d’autres choix que de réévaluer leur stratégie en matière de sécurité informatique, notamment pour répondre à la menace réelle des ransomwares. Et, bien qu’il n’y ait pas de pratique parfaite, trois éléments clés peuvent convaincre les assureurs de s’engager et d’aider les entreprises à construire un environnement stable sans augmenter le montant des primes.

Évaluer la nature des menaces

Un assureur a besoin de bien comprendre la nature des risques qu’il couvre pour ainsi contrôler son exposition. A ce titre, les entreprises doivent se charger de présenter les types de risques existants et les menaces qui pèsent sur leurs activités et systèmes si elles veulent s’assurer d’obtenir la meilleure couverture possible à moindre frais.

Parmi les attaques les plus fréquentes, le phishing, le credential stuffing ou le DDOS (déni de service) sont des risques déjà traités par les assureurs cyber. Néanmoins, pour ce qui est du ransomware, la partie est loin d’être gagnée. Il s’agit pourtant du risque le plus élevé en termes d’impact sur une organisation. Si certaines acceptent d’assurer ce type de risques, souvent sous conditions, de nombreuses assurances les excluent des négociations alors que les dommages peuvent être considérables, en termes de pertes d’exploitation et d’image. L’année dernière, le Parquet de Paris a été saisi près de 400 fois pour des affaires de ransomware et selon l’AMRAE, ce chiffre devrait doubler cette année. 

Les assurances ont besoin d’une relation de confiance avec leurs assurés. Elles qui, passées maîtres en matière d’analyse et d’évaluation des risques, en s’appuyant sur de grandes quantités d’informations, attendent désormais des entreprises qu’elles implémentent des outils de prévention efficaces face à l’évolution des menaces.  Encore faut-il savoir quelles solutions mettre en place pour ne pas voir le prix des cotisations flamber.

La nécessaire prise en compte de l’EDR et du MFA 

Salesforce, leader mondial du CRM, a pris une longueur d’avance en réaffirmant le mois dernier ses exigences en matière de sécurité : d’ici le 1er février 2022, tous ses clients devront avoir mis en place une authentification multifacteur (MFA) pour continuer à utiliser ses produits. Cet engagement est un exemple de la marche à suivre pour construire un marché de la cyberassurance équilibré. Les entreprises ont toutes une pierre à apporter à l’édifice et doivent mettre en place des solutions qui réduisent effectivement la survenue de ce type de risques.

Parmi ces outils de prévention, deux sont des conditions souvent sine qua non des contrats d’assurance car elles permettent de réduire jusqu’à 80% les risques cyber :

  • Le MFA (ou authentification multifacteur) permet en effet aux entreprises de s’assurer de l’identité des utilisateurs pour que la bonne personne ait accès aux ressources informatiques de l’entreprise. Le MFA fait donc office de méthode privilégiée pour lutter contre le phishing ou les usurpations d’identité. Sa facilité d’utilisation et son déploiement rapide permettent aux entreprises de renforcer leur sécurité dans des proportions considérables.
  • L’EDR (Endpoint Detection and Response) est, elle, une gamme de solutions qui permettent de détecter les menaces notamment sur les postes clients et d’automatiser une réponse appropriée, que ce soit l’envoi d’alertes aux équipes informatiques ou encore l’impossibilité d’exécuter un programme par exemple.

En déployant ces deux technologies déjà éprouvées, les organisations peuvent ainsi espérer diminuer leurs primes d’assurances de 30 à 40% avec un niveau de couverture équivalent. Sans elles, l’assureur peut considérer que l’entreprise a fait preuve de négligence et, à l’inverse, augmenter ses tarifs, voire - de plus en plus souvent - de ne pas proposer d’assurance cyber.

Tous assurés, tous concernés

Tous ces outils de prévention ne peuvent être efficaces que si l’ensemble des dirigeants prennent conscience de leur importance. Les DSI ne peuvent plus être les seuls à se soucier des cyberattaques. Il est urgent que les responsables opérationnels, financiers, et que les directions générales puissent, elles aussi, être sensibilisés à la notion de risque et avoir une visibilité sur la position de l’entreprise vis-à-vis de ces derniers. Cette prise en considération des menaces par l’ensemble des équipes est essentielle pour faire évoluer les comportements et tendre vers les bonnes pratiques à adopter.

Les technologies telles que les EDR ou le MFA doivent être adoptées par bien plus d’organisations pour réduire les risques et rassurer les assureurs. Il revient donc aux entreprises de se responsabiliser sur ce marché de la cyberassurance et aux dirigeants de renforcer, non pas leur propre politique de sécurité, mais bien l’ensemble de l’écosystème numérique français.