Les cyberassurances à la limite

Les entreprises qui souhaitaient renouveler leur cyberpolice en fin d'année ont dû mettre la main à la poche. Une augmentation significative des primes, accompagnée d'un doublement des franchises et d'une réduction des limites, est une réalité pour les cyberassurances. Pendant ce temps, la situation des sinistres ne cesse de s'aggraver. La plupart du temps, il s'agit d'attaques par ransomware, qui deviennent de plus en plus professionnelles et fréquentes. Le modèle commercial "ransomware-as-a-service" se développe constamment : d'une part, les agresseurs chiffrent les systèmes actifs et, si possible, les sauvegardes. D'autre part, ils volent des données confidentielles ou des données personnelles dignes de protection afin de pouvoir exercer une pression supplémentaire (double extorsion). Ils veulent ainsi mettre à genoux les entreprises attaquées et inciter les décideurs à payer la rançon. La demande individuelle de rançon est adaptée aux possibilités financières de l'entreprise attaquée, mais l'expérience montre qu'elle peut être négociée à la baisse.

Exigences en matière de cybersécurité pour la couverture d'assurance

En réponse à la nette augmentation des dommages, les assureurs formulent désormais des exigences concrètes en matière de cybersécurité. Les entreprises doivent impérativement y répondre si elles veulent conclure une cyberpolice sérieuse. Les principales exigences en matière de cybersécurité sont les suivantes :

1. Transparence de tous les actifs (systèmes informatiques et données traitées)
2. Authentification multi-facteurs pour tout accès à distance (par ex. depuis le bureau à domicile) aux systèmes informatiques
3. Mots de passe forts (longueur et complexité)
4. Sensibilisation annuelle des collaborateurs à la sécurité de l'information et aux cyber-risques, combinée à une simulation d'attaque par hameçonnage.
5. Segmentation stricte du réseau de la technologie opérationnelle et/ou des systèmes patrimoniaux, ainsi que selon des critères géographiques ou organisationnels.
6. Gestion continue et réactive des correctifs (surveillance des vulnérabilités, installation de correctifs critiques dans les 72 heures)
7. Stratégie de sauvegarde solide (selon la règle 3-2-1 et une sauvegarde hors ligne ou autonome dans le nuage pour les incidents liés aux ransomwares)
8. Plan de reprise d'activité documenté et exercé chaque année (y compris les récupérations de sauvegarde)
9. Pour les grandes entreprises à vocation internationale : Des normes de cybersécurité uniformes pour toutes les filiales

Restrictions de couverture

Une évolution importante dans le transfert des cyber-risques est que de plus en plus d'assureurs limitent massivement l'étendue de la couverture en rapport avec les dommages causés par les ransomwares. Cela s'explique par la fréquence élevée des incidents liés aux ransomwares. Par conséquent, certains assureurs ne proposent aucune couverture pour cette tactique d'attaque ou ce programme malveillant. D'autres limitent leurs prestations à un maximum de 50% de la somme assurée ou font participer le preneur d'assurance à de tels incidents. Sporadiquement, lors de la conclusion de l'assurance, les dommages causés par des vulnérabilités critiques devenues publiques, comme Microsoft Exchange ou Log4Shell, sont également exclus de l'étendue de la couverture.

Augmentation des primes d'assurance

Les primes de cyberassurance ont subi une correction ces dernières années en raison de l'augmentation constante des menaces et des sinistres. Lors du renouvellement d'une cyberassurance, des majorations de primes de 50-100% sont courantes. Après des sinistres importants, un quadruplement de la prime peut également être appliqué. En outre, certains assureurs ont introduit des primes minimales afin de mieux contrôler les sinistres fréquents dans leurs livres. Des compagnies d'assurance ont également annoncé des adaptations de stratégie pour les cyberassurances pour 2022. Une stabilisation du marché ne semble donc pas à portée de main.

Auteur

Max Keller est responsable du Funk Risk Lab chez Funk Insurance Brokers AG
> www.funk-gruppe.ch

Un plan en 10 points pour faire face à une cyber-urgence

Une cyberattaque est aujourd'hui plus probable que jamais. Des études menées par le fournisseur de services de sécurité informatique Sophos, telles que "The State of Ransomware 2021", montrent qu'au niveau international, 37 % des entreprises interrogées ont été touchées par un ransomware. Si les ransomwares ont probablement causé les dommages les plus dévastateurs au cours des dernières années, ils sont loin d'être le seul type de malware pouvant entraîner de graves problèmes pour les entreprises. Un plan de réponse aux incidents bien préparé et bien pensé, que toutes les parties concernées de l'entreprise peuvent mettre en œuvre immédiatement, peut considérablement atténuer les conséquences d'une cyberattaque. Les experts de Sophos Labs ont donc élaboré, sur la base de leur expérience, le plan en 10 points suivant pour faire face à un cyber-sinistre :

1. Définir toutes les parties prenantes et les personnes concernées
2. Identifier les ressources critiques
3. S'entraîner et jouer des scénarios d'urgence
4. Déployer des outils de sécurité
5. Assurer une transparence maximale
6. Mettre en place un contrôle d'accès
7. Investir dans des outils d'analyse
8. Définir des mesures de réaction en cas de cyber-urgence
9. Organiser des formations de sensibilisation
10. Faire appel à des services de sécurité gérés

>source : www.sophos.com