Une cyberassurance, parfois appelée assurance cybercriminalité ou assurance cyberrisque, est un type d’assurance qui transfère la responsabilité financière du preneur d’assurance en cas d’événements liés à la cybersécurité et à la protection de la vie privée, tels que les cyberattaques, les compromissions de données, les actes de cyberterrorisme ou le non-respect des réglementations.
Que couvre une police de cyberassurance ?
Tout comme le paysage des cybermenaces, le marché de la cyberassurance est en constante évolution. Même si les polices peuvent présenter des variations notables, la plupart des grandes compagnies de cyberassurance proposent les mêmes contrats de base au premier tiers et en responsabilité civile, lesquels se sont généralisés depuis plus de 10 ans.
Il convient de noter qu’une cyberassurance ne remplace pas une stratégie robuste et un niveau élevé de cybersécurité, car ce type de police n’est pas destiné à couvrir la négligence grave d’une entreprise qui aurait ignoré le cyberrisque. Son but est plutôt de couvrir les risques qui subsistent après que l’entreprise a mis en place des mesures raisonnables pour les limiter. Pour en savoir plus sur cette différence, consultez notre article de blog Cyber Insurance Is Not a Substitute for Cybersecurity.
Contrats de cyberassurance
Une police de cyberassurance comporte deux composants distincts :
- Cyberassurance au premier tiers, qui couvre les coûts associés à l’investigation et à la neutralisation des cyberincidents, ainsi que l’impact financier sur les activités métier de l’entreprise
- Cyberassurance en responsabilité civile, qui verse à l’entreprise des indemnités financières suite à des dommages causés par une cyberattaque
Assurance au premier tiers
Si les conditions de chaque police varient d’une entreprise et d’un assureur à l’autre, un contrat d’assurance au premier tiers type inclut généralement les éléments suivants :
- Investigations informatiques : de nombreuses polices de cyberassurance au premier tiers incluent des services de support d’un fournisseur de cybersécurité réputé qui aideront l’entreprise à identifier et à catégoriser l’attaque, à évaluer les dommages, puis à nettoyer et restaurer tous les systèmes, comptes et endpoints affectés. Ces services auxiliaires sont absolument essentiels pour aider l’entreprise à contenir l’attaque et à limiter les dommages, ainsi qu’à évaluer avec précision les secteurs touchés et à élaborer un plan de reprise complet.
- Conseil juridique en cas de compromission : en cas de compromission, les entreprises doivent généralement faire appel à un conseiller juridique pour s’assurer qu’elles respectent les exigences légales, lesquelles peuvent varier selon la zone géographique concernée (pays, région, etc.). La plupart des polices d’assurance au premier tiers incluent l’assistance d’un conseiller juridique qui indiquera les mesures à prendre en vertu de la loi après une compromission ou une cyberattaque.
- Notifications : en cas de compromission de données, les entreprises sont tenues d’identifier les victimes et de les informer que leurs informations personnelles sont en danger. Cela inclut le vol ou l’exposition de données personnelles des clients ou des collaborateurs, comme les numéros de sécurité sociale, de carte de crédit ou de permis de conduire, les adresses, les coordonnées bancaires, les dossiers médicaux, etc. Les entreprises doivent également prévenir les autorités et les agences gouvernementales compétentes de la compromission et fournir la documentation nécessaire ou demandée par la suite.
- Surveillance de la réputation des victimes : dans certaines régions, les entreprises peuvent également être tenues de couvrir le coût de la surveillance de la réputation des clients touchés ou de les aider de quelque manière que ce soit à rétablir leur image de marque en cas de compromission.
- Cyberextorsion : les attaques de ransomwares — très courantes dans le paysage actuel des menaces — exigent des entreprises qu’elles paient une rançon pour récupérer l’accès à leurs réseaux, données ou autres ressources. Les polices plus robustes incluent une protection spécifique contre ce type d’attaque et détaillent les services d’assistance et les indemnisations auxquels l’entreprise assurée a droit.
- Récupération des données, interruption des activités et perte de revenus : de nombreuses cyberattaques majeures entraînent l’interruption d’activités et de services clients stratégiques ainsi que la perte de données avec, pour conséquence, une perte de revenus. De nombreuses polices de cyberassurance aident les entreprises à calculer ces pertes de revenus et prévoient une compensation pour la période concernée. Elles peuvent aussi prendre en charge le coût de la restauration des données ou d’autres ressources.
- Atteinte à la réputation : après une compromission, nombreuses sont les entreprises qui doivent consentir de gros efforts dans le domaine des relations publiques et du marketing pour rétablir la réputation de leur marque et leur image publique. Une police de cyberassurance solide peut aider à couvrir le coût des activités pertinentes visant à rétablir la réputation.
Assurance en responsabilité civile
La cyberassurance en responsabilité civile est conçue pour transférer les risques financiers d’une entreprise associés à un cyberévénement qu’elle a pour responsabilité de prévenir. Il est important de noter que la compromission ne doit pas nécessairement se produire sur le réseau d’une entreprise. De ce fait, les entreprises se voient souvent imputer la responsabilité de l’erreur, de l’omission ou de l’acte de négligence à l’origine de l’événement de sécurité qui a impacté un tiers, même s’il ne s’agit pas d’un événement survenu sur leur propre réseau.
La cyberassurance en responsabilité civile est particulièrement importante pour les entreprises qui gèrent des données personnelles ou qui sont responsables de la sécurité du réseau d’un tiers.
À l’instar des polices au premier tiers, les polices de cyberassurance en responsabilité civile proposent des couvertures diverses, notamment :
- Responsabilité de la sécurité réseau et de la confidentialité : protection du preneur d’assurance contre les pertes subies par un client, un partenaire ou un fournisseur à la suite d’erreurs, d’omissions et de négligences de l’assuré résultant d’une cyberattaque.
- Responsabilité réglementaire : couverture des frais de justice pour assurer la défense en cas d’infractions aux réglementations en matière de confidentialité.
- Amendes PCI : couverture des amendes et des sanctions appliquées au titre de la norme PCI DSS (Payment Card Industry Data Security Standard).
- Amendes et sanctions réglementaires : s’il s’avère que l’entreprise victime d’une compromission a enfreint la législation en matière de confidentialité ou d’autres normes gouvernementales ou sectorielles, elle encourt des amendes ou d’autres sanctions.
- Responsabilité des médias : la cyberassurance en responsabilité civile couvre la diffamation, les propos injurieux, la calomnie, le vol de propriété intellectuelle et la violation des droits d’auteur.
Quelques exceptions importantes
Il est important de noter que de nombreuses polices de cyberassurance comportent des exceptions. Ainsi, de nombreux cyberassureurs ne couvrent pas ou plus les fraudes financières faisant suite à des attaques d’ingénierie sociale, qui exploitent et manipulent les collaborateurs, les fournisseurs ou d’autres personnes de l’entreprise afin de les inciter à transférer des fonds vers des comptes non autorisés. Bien qu’une couverture de cette nature puisse être proposée en tant qu’extension d’une police existante, de nombreuses entreprises négligent ce risque et manquent dès lors à leur devoir de protection. Il est donc nécessaire de former les utilisateurs des réseaux aux comportements en ligne sûrs et acceptables, ainsi que d’examiner attentivement et d’évaluer la police d’assurance avec un expert en cybersécurité réputé afin d’identifier les éventuelles lacunes.
Un autre domaine qui n’est généralement pas couvert par les polices de cyberassurance est le coût du renforcement d’un système après une attaque. Si les cyberservices et le support permettent d’identifier les points à améliorer dans le cadre de leurs investigations informatiques, le coût de la mise à niveau, de l’application de correctifs ou du renforcement de l’architecture de sécurité n’est en revanche pas couvert par la police d’assurance.
Enfin, de nombreuses polices souscrites en dehors des États-Unis comportent des restrictions géographiques, en particulier pour les opérations basées aux États-Unis. Il est important d’identifier les entités non couvertes, d’autant que les cybermenaces ne s’arrêtent pas aux frontières géographiques. Il est par ailleurs essentiel que les entreprises collaborent avec une équipe de cybersécurité afin d’évaluer leur risque et la probabilité d’être victime d’un cyberadversaire étranger ciblant des pays spécifiques.
Pourquoi avoir une cyberassurance est plus important que jamais
Les attaques sont en hausse
Selon l’enquête 2021 Global Security Attitude Survey de CrowdStrike, 66 % des entreprises ont subi au moins une attaque de ransomware en 2021. En outre, d’après le Global Threat Report 2022 de CrowdStrike, les fuites de données imputables à des ransomwares ont augmenté de 82 % entre 2020 et 2021. Ce phénomène est en partie alimenté par la disponibilité croissante de cyberpirates « à louer », ce qui permet à des cybercriminels qui n’ont pas les compétences techniques nécessaires de mener des attaques de ransomwares et autres malwares.
Les attaques de ransomwares font partie des cyberincidents les plus coûteux à corriger, étant donné que, d’une part, elles interrompent les activités et mobilisent énormément de ressources pendant la phase de reprise et que, d’autre part, elles impliquent souvent le paiement d’une rançon aux cybercriminels.
Le télétravail accroît les risques et la surface d’attaque
La pandémie de COVID-19 a accéléré le passage au télétravail et contraint de nombreuses personnes à rester chez elles, ce qui a considérablement élargi la surface d’attaque des entreprises. Lorsque les collaborateurs accèdent aux applications, ressources et systèmes d’entreprise via des réseaux privés et des terminaux personnels, ils exposent l’entreprise à un niveau de risque sans précédent. En outre, la prolifération des terminaux connectés et l’Internet des objets (IoT) offrent une pléthore de points d’entrée aux cybercriminels.
La plupart des stratégies et outils de cybersécurité existants ne sont tout simplement pas conçus pour prendre en charge ces nouvelles méthodes de travail, ce qui a créé de nouvelles failles de sécurité.
Les coûts de reprise des activités après une compromission peuvent conduire à la faillite
Les ransomwares restent l’une des tactiques les plus rentables pour les cybercriminels. Selon l’enquête 2021 Global Security Attitude Survey de CrowdStrike, le montant moyen des rançons payées s’élève à 1,79 million de dollars. En outre, l’entreprise victime doit également payer les frais de nettoyage et de restauration des systèmes affectés, ainsi que des services juridiques, de sécurité et de relations publiques.
À noter également que le paiement de la rançon ne garantit pas la restauration des systèmes, des données et des autres ressources de l’entreprise !
Qui a besoin d’une cyberassurance ?
Compte tenu de la multiplication des cyberattaques, ainsi que du coût élevé associé à leur correction, contracter une cyberassurance est devenu une nécessité pour toute entreprise numérique. Les données constituent l’une des principales cibles des cyberattaquants, notamment les données personnelles, telles que les noms, les adresses, les numéros de sécurité sociale et de carte de crédit, les coordonnées bancaires, etc., qui peuvent être utilisées pour commettre des fraudes ou lancer des attaques secondaires, ou encore être vendues sur le Dark Web.
Nombreuses sont les petites et moyennes entreprises qui pensent que leur petite taille et leur anonymat relatif les protégeront des cybercriminels. Or, d’après nos analystes, bon nombre de cybercriminels voient dans ces entreprises des proies faciles, étant donné qu’elles ne disposent généralement pas de mesures de cybersécurité robustes.
À l’autre extrémité du spectre, les grandes entreprises peuvent être la cible de la chasse au gros gibier, ou big game hunting, un type de cyberattaque qui s’appuie généralement sur des ransomwares pour cibler de grandes entités à forte valeur ajoutée ou très en vue. Les victimes sont choisies en fonction de leur capacité à payer une rançon, et de la probabilité qu’elles le fassent pour pouvoir reprendre le cours normal de leurs activités ou éviter tout risque de mauvaise publicité.
Selon une analyse récente de CrowdStrike, la chasse au gros gibier continue d’être un problème de sécurité majeur pour les grandes entreprises, indépendamment de leur implantation géographique ou de leur secteur d’activité. L’indice de cybercriminalité de CrowdStrike (ECX), un outil propriétaire qui génère un score composite reflétant l’évolution des cybermenaces, montre que, après un bref déclin à l’été 2021, les activités de chasse au gros gibier semblaient être revenues à des niveaux proches de leur pic en septembre de la même année. La dernière édition du rapport annuel Global Threat Report de CrowdStrike confirme cette analyse et révèle que « l’essor et l’impact de la chasse au gros gibier ont été ressentis dans tous les secteurs et presque chaque région du monde ».
Choix d’une cyberassurance
Dans ce contexte, les entreprises peuvent choisir entre trois options de base en matière de cyberassurance :
Transfert du risque d'assurance | Auto-assurance | Pas d'assurance |
---|---|---|
Atténuation efficace et fiable des risques, qui tire parti des marchés commerciaux pour atteindre un niveau de risque acceptable | Dépendance à l'égard des réserves en espèces pour financer les interventions en cas de compromission à plusieurs millions de dollars et la responsabilité civile | Aucun plan formel pour financer les interventions en cas de compromission ou la responsabilité civile |
La cyberassurance en tant que complément
La cyberassurance est un nouveau produit d’assurance destiné à combler les lacunes des polices d’assurance traditionnelles, telles que l’assurance en responsabilité civile générale (RCG) et l’assurance erreurs et omissions. Dans les deux cas, les polices existantes n’ont pas été conçues pour offrir une protection contre les menaces modernes. La plupart d’entre elles ne comportent pas de terminologie spécifique aux cyberattaques ou au cyberterrorisme, de sorte que les sinistres découlant de ce type d’activité ne sont pas couverts ou que la prise en charge est limitée.
Quels sont les facteurs qui influent sur le coût d’une cyberassurance ?
Le coût d’une police de cyberassurance est essentiellement déterminé par le niveau de couverture souhaité ou requis. Comme pour les polices d’assurance traditionnelles, il existe un large éventail d’options de couverture pour répondre au budget de chaque entreprise en fonction de sa tolérance au risque.
Plusieurs facteurs déterminent le mode de calcul des primes de cyberassurance, notamment :
- Chiffre d’affaires de l’entreprise
- Secteur d’activité
- Nombre de clients
- Niveau de sensibilité des données et informations personnelles stockées
- Historique des demandes d’indemnisation
- Historique des cyberévénements
- Adéquation des contrôles techniques, procédures et protocoles liés à la sécurité
- Évolution du paysage des menaces ainsi que des tactiques, techniques et procédures (TTP) utilisées par les cyberadversaires
- Environnement réglementaire propre à l’emplacement géographique, au secteur d’activité et aux données de chaque entreprise
- Facteurs macroéconomiques, y compris les charges de l’entreprise (par ex., la rémunération totale des collaborateurs), la conformité et l’inflation
La multiplication des attaques de ransomware, en particulier, a eu un impact direct sur les primes et couvertures de cyberassurance. La hausse des primes (de l’ordre de 10 à 30 % au cours du deuxième semestre 2020, avec une hausse moyenne de 56 % au deuxième trimestre 2021 et plus récemment de 79 % au deuxième trimestre 2022) est directement attribuée à l’augmentation des pertes encourues par les assureurs en raison d’attaques de ransomwares toujours plus sophistiquées et plus dangereuses. Cette hausse a également entraîné la diminution des limites de couverture, en particulier dans les secteurs à haut risque tels que les soins de santé et les organismes publics.
Quels sont les critères d’évaluation les plus courants à l’heure de souscrire une cyberassurance ?
Les critères d’assurance sont devenus plus stricts en raison de l’augmentation du volume et de la gravité des ransomwares et autres cyberattaques. Ces deux dernières années, les compagnies d’assurance ont connu une augmentation des pertes liées aux indemnisations versées à la suite d’actes cybercriminels. En conséquence, elles ont renforcé leurs exigences afin de mieux protéger leur rapport sinistres-primes.
Les assureurs exigent une meilleure visibilité sur les programmes de sécurité afin de se faire une idée plus précise de l’exposition réelle d’une entreprise, et mettent davantage l’accent sur les mesures proactives que les assurés doivent prendre pour renforcer leur protection contre les cyberattaques.
Technologies
L’infrastructure cybertechnologique de l’assuré est l’un des principaux facteurs pris en compte dans le calcul de la prime. Bien qu’il n’existe pas d’outil unique ni de combinaison de contrôles garantissant la sécurité, certaines bonnes pratiques permettent de réduire le profil de risque, notamment :
- Authentification multifacteur (MFA) : système de sécurité multiniveau qui accorde aux utilisateurs l’accès à un réseau, à un système ou à une application uniquement après qu’ils ont confirmé leur identité au moyen d’un ou plusieurs identifiants ou facteurs d’authentification supplémentaires
- Antivirus de nouvelle génération (NGAV) : solution antivirus améliorée qui combine intelligence artificielle, détection des comportements, algorithmes de Machine Learning et atténuation des exploits afin d’anticiper et de prévenir immédiatement toutes les menaces, connues comme inconnues
- Détection et réponse à incident (EDR) : solution de sécurité des endpoints qui surveille en permanence les terminaux des utilisateurs finaux afin de détecter et de neutraliser les cybermenaces, telles que les ransomwares et les logiciels malveillants
- Gestion des correctifs : processus consistant à identifier et à déployer des mises à jour logicielles, également appelées « correctifs » ou « patchs », sur différents endpoints, notamment des ordinateurs, des terminaux mobiles et des serveurs
- Gestion des vulnérabilités : processus régulier et continu consistant à identifier, évaluer, signaler, gérer et corriger les cybervulnérabilités sur les endpoints, les workloads et les systèmes
- Sécurité des identités : solution complète de protection de toutes les identités au sein de l’entreprise : identités du personnel et des machines, identités sur site et hybrides, ou encore identités ordinaires et à privilèges ; elle vise à détecter et à prévenir les compromissions liées aux identités, en particulier lorsque les cyberadversaires réussissent à contourner les mesures de sécurité des endpoints
- Sécurité Zero Trust : cadre de sécurité qui exige que tous les utilisateurs, qu’ils soient internes ou externes au réseau de l’entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l’accès aux données et aux applications
- Gestion du niveau de sécurité du cloud (CSPM) : processus qui automatise l’identification et la correction des risques dans les infrastructures cloud, y compris les environnements IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service) et PaaS (Platform-as-a-Service)
- Protection des workloads cloud (CWP) : processus consistant à surveiller les workloads cloud et les conteneurs en continu pour en éliminer les menaces
- Sécurité de la messagerie : solution de sécurité conçue pour protéger spécifiquement les communications par e-mail et les données ou informations sensibles contre tout accès non autorisé ou toute compromission
Bonnes pratiques en matière d’hygiène IT
En plus de renforcer leur infrastructure technologique de cybersécurité, les entreprises peuvent également adopter de bonnes pratiques en matière d’hygiène IT pour réduire davantage encore leur profil de risque, notamment :
- Effectuer des sauvegardes régulières, sécurisées et chiffrées de toutes les données sensibles
- Préparer et tester un plan robuste de réponse à incident (IR, Incident Response)
- Offrir des formations complètes afin de sensibiliser les collaborateurs, les fournisseurs et les partenaires ayant accès au réseau de l’entreprise à la cybersécurité et aux attaques d’ingénierie sociale
- Réaliser un audit complet de la gestion des risques au niveau de la supply chain
Les assureurs veulent davantage de visibilité
Face à un paysage de la sécurité qui ne cesse d’évoluer, certaines entreprises sont confrontées à des hausses significatives de leurs primes de cyberassurance, tandis que d’autres ne peuvent renouveler leurs polices qu’à condition de prouver qu’elles ont réalisé des investissements dans leur infrastructure technologique et ont renforcé leur hygiène IT.
Dans l’ensemble, les assureurs font preuve de plus de discernement quant aux personnes et entités qu’ils acceptent de prendre comme clients et au calcul des primes. Disposer d’une visibilité totale sur la surface d’attaque deviendra un critère de plus en plus important non seulement pour la sécurité de l’entreprise, mais aussi pour son assurabilité. En effet, le manque de visibilité sur les incidents liés à l’identité augmente la durée d’implantation (c’est-à-dire le temps pendant lequel un cyberadversaire reste indétecté dans le réseau), de sorte qu’il est difficile pour les entreprises de détecter et de neutraliser les incidents avant que des dommages irréparables ne soient causés. Les entreprises doivent également prendre toutes les mesures nécessaires pour renforcer la protection de leurs ressources et données les plus précieuses.
Comment CrowdStrike peut aider à améliorer l’assurabilité
La clé pour améliorer l’assurabilité réside dans la capacité de l’entreprise à démontrer qu’elle possède une couverture de sécurité étendue. La plateforme CrowdStrike Falcon® se présente sous la forme d’une solution hautement modulaire et extensible qui aide les clients à réduire les risques et à améliorer leur niveau de sécurité. Elle inclut les solutions suivantes :
- Falcon Identity Protection. Reposant sur un moteur d’attribution de scores de risque en continu qui analyse le trafic d’authentification, Falcon Identity Protection se concentre sur le vecteur d’attaque le plus courant — les identités. Il prévient les menaces en temps réel et applique des règles informatiques à l’aide de l’analyse des risques et des comportements sur toutes les identités, y compris les comptes humains et de service, et pas seulement les comptes à privilèges. Pour en savoir plus sur la manière dont Falcon Identity Protection aide les entreprises à améliorer leur assurabilité, lisez notre livre blanc, Accelerate Your Cyber Insurance Initiatives with Falcon Identity Protection, ou regardez notre vidéo, Prevent Ransomware Attacks and Improve Cyber Insurability.
- Falcon Insight™ pour la détection et la réponse à incident. Falcon Insight surveille en continu l’activité des endpoints et analyse les données en temps réel afin d’identifier automatiquement toute activité liée à des menaces, ce qui lui permet de les détecter et de les neutraliser dès leur apparition.
- Antivirus de nouvelle génération Falcon Prevent™. Solution antivirus de remplacement idéale, Falcon Prevent associe les technologies de prévention les plus efficaces à une visibilité totale sur les attaques, en toute simplicité.
- Falcon Spotlight™ pour la gestion et la détection des vulnérabilités. Falcon Spotlight offre une visibilité en temps réel à tous les niveaux de l’entreprise, et fournit aux clients les informations pertinentes et opportunes dont ils ont besoin pour réduire leur exposition aux cyberattaques sans impact sur les endpoints.
- Falcon OverWatch. Le service de Threat Hunting managé de CrowdStrike repose sur la plateforme CrowdStrike Falcon®. L’équipe OverWatch effectue des analyses humaines approfondies et continues 24 h sur 24, 7 j sur 7 pour traquer sans relâche les activités anormales ou inédites des cyberattaquants visant à contourner les technologies de sécurité standard.
Grâce à une équipe qui collabore sans relâche avec la communauté des cyberassureurs, CrowdStrike comprend toutes les nuances et la complexité de ce secteur. Cette équipe, composée d’experts en assurance qui ont déjà souscrit et négocié des cyberassurances, consacre une grande partie de son temps à expliquer aux assureurs et aux courtiers en cyberassurance la valeur des produits et services CrowdStrike, et la manière dont nos solutions aident nos clients à mieux répondre à leurs critères.