Dans le monde des fournisseurs et des polices d’assurance, la cyberassurance est un domaine relativement nouveau. Et de nombreuses équipes de sécurité essaient de comprendre cela.
Qu’est-ce que c’est et en ont-ils besoin? Et de combien de temps passeront-ils à chercher comment intégrer la cyberassurance dans leur stratégie ?
Pour les petites équipes de sécurité, cela est particulièrement difficile car elles doivent composer avec des ressources limitées.
Heureusement, il y a un nouveau livre électronique dédié à aider les petites équipes de sécurité à mieux comprendre les polices d’assurance cyber et leur impact sur les mesures de cybersécurité d’une organisation.
Arrière plan
En 1997, la police d’assurance « Internet Security Liability » (ISL) a été lancée lors de la convention de l’International Risk Insurance Management Society à Honolulu. Soutenue par AIG, l’assurance ISL a été conçue pour protéger les détaillants de commerce électronique comme Amazon qui collectaient des données clients sensibles et les stockaient sur des réseaux internes. Elle est créditée comme l’une des toutes premières polices d’assurance cyber à être mise à la disposition des entreprises.
Aujourd’hui, un quart de siècle plus tard, le marché de la cyberassurance a connu une croissance exponentielle et couvre un large éventail d’incidents de cybersécurité. Selon la National Association of Insurance Commissioners (NAIC), le marché de l’assurance cybersécurité a atteint 4,1 milliards de dollars l’an dernier, en hausse de 29,1 % par rapport à l’année précédente. Les rapports de l’industrie prédisent que le marché atteindra 11,4 milliards de dollars d’ici la fin de cette année – et presque le double pour atteindre 22,3 dollars d’ici 2025.
« L’année dernière a été un rappel brutal que les pirates sont en train de pivoter – et réussissent – dans le déploiement de nouvelles stratégies d’attaque », écrit John Farley, directeur général de Gallagher, un cabinet mondial de conseil en assurance. « Il y avait une grande variété de victimes allant des fournisseurs mondiaux de logiciels, des plates-formes de messagerie, du plus grand fournisseur de viande américain et des fournisseurs de carburant qui fournissent près de la moitié du carburant à la côte est des États-Unis. Les acteurs de la menace ont trouvé que ce système de vase d’interdépendances était terres de chasse fertiles. »
Les organisations disposant même des plus petites équipes de cybersécurité se tournent désormais vers la cyberassurance pour protéger leurs entreprises contre les cyberattaques.
Mais investir dans une cyber-assurance n’est pas aussi simple que d’ajouter une nouvelle police d’assurance.
Qu’est-ce que la cyber-assurance ?
La cyberassurance, également appelée assurance cyberresponsabilité ou assurance contre la violation de données, peut aider à atténuer les coûts des cyberattaques, une dépense qui augmente à un rythme alarmant. Bien qu’elle ne soit toujours pas une dépense obligatoire, la cyberassurance se hisse rapidement au sommet des listes de priorités pour de nombreuses organisations qui gèrent de grandes quantités de données.
Parce qu’une attaque de cybersécurité peut coûter des millions de dollars à une entreprise – IBM rapporte que le coût moyen d’une violation de données a atteint 4,35 millions de dollars en 2022 – les entreprises qui n’investissent pas dans la cyber-assurance mettent toute leur entreprise en danger. Une police d’assurance cybernétique n’arrête pas une cyberattaque, mais elle peut l’empêcher de dévaster complètement une entreprise.
Que couvre la cyber-assurance ?
Comme pour toute police d’assurance, il existe différentes formes de cyberassurance qui couvrent diverses menaces à la cybersécurité. Le marché varie considérablement, les polices étant souvent déterminées par les assureurs, mais les principales formes de cyberassurance comprennent :
- Politiques des systèmes de sécurité réseau qui couvrent les frais d’avocats, les services d’investigation informatique, la restauration des données, les notifications et communications de violation, et plus encore en cas de violation de données, d’infection par un logiciel malveillant ou d’un incident de ransomware.
- Politiques de responsabilité en matière de confidentialité qui couvrent tous les coûts liés à une violation de données qui expose des informations personnellement identifiables (PII), c’est-à-dire des poursuites judiciaires, des violations de conformité, la gestion des risques de réputation, etc.
- Politiques d’interruption d’activité du réseau qui permettent à une entreprise de couvrir les coûts liés à la perte de données ou à toute perte financière subie par une interruption des services.
- Politiques d’erreurs et d’omissions similaires aux politiques d’interruption d’activité du réseau, couvrant les cyberattaques qui compromettent la capacité d’une entreprise à fournir des services ou à respecter ses obligations contractuelles.
- Polices de responsabilité des médias qui couvrent toutes les pertes résultant d’allégations de calomnie, de diffamation, de dénigrement ou de contrefaçon de copie.
Il ne s’agit pas d’une liste complète des polices d’assurance cyber. Les termes et conditions spécifiques sont à la charge des assureurs, les réclamations étant souvent contestées car il peut être difficile de définir une cyberattaque qui implique des formes sophistiquées de cybercriminalité ou des schémas d’ingénierie sociale difficiles à identifier.
Quel est l’impact des efforts de cybersécurité existants sur les polices de cyberassurance ?
Avant d’obtenir une police d’assurance cyber, les entreprises doivent être approuvées pour la couverture. Pour protéger leurs propres coûts, les assureurs subordonnent souvent la cyberassurance à un certain nombre de mesures de cybersécurité spécifiques.
Ces éventualités incluent généralement les efforts de cybersécurité d’une entreprise – des choses comme s’assurer qu’une organisation a mis en place des politiques de sécurité écrites, utilise l’authentification multifacteur (MFA) et chiffre ses données. Souvent, les fournisseurs de cyberassurance dictent les outils de cybersécurité qu’une entreprise doit mettre en œuvre et même les fournisseurs de sécurité avec lesquels l’entreprise choisit de s’associer.
De telles règles établies par le fournisseur de cyberassurance ont un impact direct sur les efforts de cybersécurité d’une organisation et peuvent créer des frictions entre les équipes de cybersécurité et les chefs d’entreprise qui souscrivent la police d’assurance cyber. Le meilleur moyen de réduire ces frictions est de s’assurer que l’équipe de cybersécurité est intégrée au processus dès le début et impliquée dans les décisions clés qui ont un impact sur la stratégie de cybersécurité de l’entreprise.
Les chefs d’équipe de cybersécurité doivent comprendre les polices de cyberassurance et être en mesure d’évaluer si une tactique requise par un fournisseur d’assurance affaiblit ou renforce les protections de cybersécurité existantes de l’entreprise.
Si votre organisation évalue actuellement des polices d’assurance cyber, téléchargez Cynet’s guide d’assurance pour mieux comprendre ce qui est en jeu, tant pour votre équipe de cybersécurité que pour votre entreprise dans son ensemble.
Téléchargez le guide de la cyber-assurance de la petite équipe de sécurité de Cynet.