Les facteurs qui déterminent le coût de la cyberassurance
Dans nos prédictions de début d'année, nous soulignions l’importance que devrait prendre la cybersécurité pour les assureurs. Selon certains experts, l’ampleur et la multiplication des dommages causés par les cybermenaces ont eu pour effet de provoquer une explosion des prix des polices d’assurance l'an passé. Face à ce constat, les entreprises doivent être prêtes à souscrire un nouveau contrat d’assurance à des tarifs plus élevés ou s’attendre à une augmentation du coût de leur police actuelle.
Quels sont les facteurs qui influent sur le coût de la cyberassurance pour les assureurs ? Il existe 5 facteurs principaux, qui sont aussi bien intrinsèques qu’exogènes
- Le secteur : certains secteurs ont davantage de probabilités d’être victimes de cyberattaques que d’autres. C’est notamment le cas des administrations publiques, du secteur des technologies et de la santé. Outre le nombre de cyberattaques subies, les assureurs tiennent également compte des cas pour lesquels les coûts associés sont considérables, comme c’est le cas dans le secteur financier. Ainsi, les entreprises de ces secteurs seront confrontées à une hausse des prix des polices.
- La taille : même si les PME de manière générale possèdent des outils de cybersécurité plus discrets, plus le nombre d’appareils, d’utilisateurs et de systèmes est important, plus la surface exposée aux menaces de l’entreprise est étendue et plus la probabilité d’être la cible d’une cyberattaque est élevée. Les polices sont adaptées en fonction de la taille et de la complexité.
- La présence géographique et le télétravail : le fait d’être implantée ou d’avoir une main-d’œuvre disséminée dans différents pays accroît également les risques et nécessite généralement de mettre en place de nouvelles couches de cybersécurité adaptées au contexte et aux réglementations locales, notamment pour protéger les données. L’essor du télétravail doit être également pris en compte, car il étend également la surface en dehors du périmètre de l’entreprise et nécessite d’avoir recours à des VPN. Les polices sont également adaptées pour protéger l’entreprise dans ces situations.
- Le chiffre d’affaires de l’entreprise détermine le coût de la couverture : le chiffre d’affaires peut être un élément clé pour déterminer le montant maximum des pertes induites par la cyberattaque qui sont couvertes par l’assureur, et cela influe grandement sur le coût des polices.
- Types de couverture : les entreprises adaptent également leurs polices en fonction des risques les plus courants ou les plus dangereux qu’elles souhaitent couvrir. Les entreprises devront débourser une somme plus importante pour se couvrir contre les cyberattaques les plus sophistiquées telles que les groupes APT « Living off the Land » que pour les menaces les plus courantes, telles que les ransomwares via l’hameçonnage par email comme vecteur d’entrée ou le vol d’identifiant et l’usurpation d’identité d’un salarié.
Pour autant, les assureurs exigent des entreprises qu’elles aient mis en place certains outils de cybersécurité pour pouvoir souscrire leurs polices. Cela comprend la protection des endpoints, qui ne se limite pas aux solutions antivirus traditionnelles, mais aussi et de plus en plus, l’authentification multifacteur (MFA), qui est essentielle pour protéger les comptes et les identifiants de l’entreprise.
Il faut savoir que la plupart des fuites de données se produisent car les cybercriminels parviennent à accéder aux systèmes, en raison de la faiblesse des mots de passe et de l’absence de couche de sécurité supplémentaire, ou parce qu’ils réussissent à mettre la main sur les identifiants.
Les assureurs sont particulièrement inquiets, car les fuites de données figurent parmi les incidents les plus coûteux pour les entreprises (et aussi pour eux, car ils en assument les coûts). Les entreprises doivent non seulement s’efforcer de mitiger les dommages occasionnés par la violation proprement dite, mais aussi, dans certaines occasions, payer des amendes de plusieurs millions de dollars qui leur sont infligées par les autorités pour avoir fait preuve de négligence en matière de protection des données. Ce fut le cas, par exemple, de la compagnie aérienne British Airways qui a été contrainte de payer une amende de 20 millions de livres sterling pour la violation de données subie en 2020.
D’où la nécessité pour les assureurs, mais aussi pour un nombre croissant de fournisseurs de logiciels d’entreprises, tels que Salesforce, de s’assurer que les entreprises qui souhaitent faire appel à leurs services ont mis en place un service de MFA fiable et puissant pour gérer l’ensemble de leurs identifiants et de leurs appareils.