Le milieu de travail post-pandémique a largement opté pour des modalités de travail à distance ou hybrides, où les employés utilisent une variété d’appareils personnels pour se connecter au réseau de l’entreprise. Les mauvaises pratiques en matière d’hygiène informatique, l’absence de mesures de cybersécurité adéquates et l’utilisation généralisée d’appareils personnels ont contribué à l’augmentation des cyberattaques et des violations de données dans le monde entier. Avec une telle augmentation inquiétante des cyberattaques, il est indéniable que les pertes financières encourues en raison de ces cyberattaques se sont également multipliées.
Ces attaques n’entraînent pas seulement des violations de données, mais soumettent les organisations à des actions réglementaires et provoquent souvent une perte de confiance de la part de leurs clients et une atteinte à la réputation de l’organisation.
En cas de cyberattaque, les entreprises peuvent être amenées à verser des millions de dollars de dommages et intérêts à leurs clients, à des associations tierces ou à des organismes de réglementation gouvernementaux. Pour les aider dans cette démarche, les entreprises commencent à choisir la cyberassurance comme moyen d’obtenir une couverture des cyberrisques.
Une politique de cyberassurance peut fournir une couverture pour une variété de pertes, telles que celles causées par la perte de données, l’extorsion de données, le vol de données ou le piratage. Toutefois, les spécificités de la couverture de chaque police peuvent varier en fonction du type et de la qualité de la cyberassurance. Les polices d’assurance cybernétique sont généralement accompagnées d’une liste d’éléments spécialisés dans la réponse aux incidents, le conseil juridique, l’expertise informatique, la notification aux consommateurs et les centres d’appel à la demande. L’assurance cybernétique permet également de faire face aux conséquences d’un incident en couvrant les frais d’investigation numérique ou en donnant accès à des experts en cybersécurité qui peuvent aider à limiter les dégâts.
Une bonne stratégie de cybersécurité et une assurance responsabilité civile cybernétique semblent être des éléments non négociables dans le paysage actuel des cybermenaces, de plus en plus dangereux, mais une étude récente montre que seulement 50 % des entreprises ont des polices d’assurance cybernétique. Toute organisation qui gère et crée des données, y compris des informations sur les clients – noms, coordonnées, numéros de carte de crédit et autres informations personnelles identifiables – a tout intérêt à souscrire une police d’assurance cybernétique. Ceci étant dit, voici cinq articles qui explorent les tenants et aboutissants de la cyberassurance.
1. Why Cyber Insurance? Because SMBs Are A ‘Priority For The Bad Guys’ ( Pourquoi une cyber assurance ? Parce que les PME sont une “priorité pour les méchants”)
Aucune organisation n’est à l’abri des cyberattaques. Bien que de nombreuses grandes entreprises soient paralysées par des cyberattaques, les PME devraient être beaucoup plus sensibles à l’idée d’une cyberassurance, car elles n’ont pas le budget nécessaire pour lutter contre une attaque ou y remédier. Le secteur de la cyberassurance évolue également, les compagnies d’assurance mettant régulièrement à jour leurs normes et définissant les caractéristiques de sécurité qui constituent la norme pour que les entreprises puissent bénéficier d’une cyberassurance.
2. The Evolution of Cyber Insurance Policies: The Unintended Consequences of Ransomware (L’évolution des stratégies de cyber assurance : Les conséquences involontaires des ransomwares)
Le secteur de la cyberassurance est en plein essor et devrait atteindre 25 milliards de dollars d’ici 2026. Les pirates informatiques recherchent désormais des salles de données pour identifier le montant de la couverture de cyberassurance d’une entreprise, puis exigent un montant correspondant à la limite de la police. Ces attaques poussent les compagnies d’assurance à mettre en place des directives de souscription strictes. L’amélioration de la posture de cybersécurité de l’organisation devient obligatoire pour être considéré comme éligible à une cyberassurance.
3. No cyber insurance as Medibank breach hits four million customers (Pas de cyberassurance alors que la brèche de Medibank touche quatre millions de clients)
Des cybercriminels ont eu accès à la base de données clients de Medibank, notamment aux données personnelles des clients, aux données relatives aux demandes de remboursement des soins de santé et aux unités d’étudiants internationaux de plus de 3,9 millions de clients. Medibank n’a pas de couverture d’assurance cybernétique et cet incident pourrait entraîner des coûts estimés entre 25 et 35 millions de dollars, sans compter les coûts liés à la remédiation ou aux frais juridiques. Ces chiffres sont un signal d’alarme pour les entreprises qui devraient envisager activement de faire assurer leur organisation par une cyber-assurance.
4. Rising premiums, more restricted cyber insurance coverage poses big risk for companies (Des primes en hausse et une couverture d’assurance cybernétique plus restreinte constituent un risque important pour les entreprises)
La forte demande de cyberassurance, combinée à des cyberattaques de plus en plus sophistiquées, a incité les compagnies d’assurance à augmenter considérablement le coût de leurs primes. Les primes ont également augmenté de 28 % en moyenne au premier trimestre de 2022 par rapport au quatrième trimestre de 2021. Les assureurs sont également devenus plus sélectifs quant aux personnes et aux éléments couverts. Les souscripteurs proposent des exigences plus strictes, comme l’obligation de mettre en place des protocoles de cybersécurité tels que l’authentification multifactorielle, les mises à jour automatiques des logiciels et la formation des employés.
5. NIST Privacy Framework Sets New Standards for Cyber-Insurance (Le cadre de protection de la vie privée du NIST établit de nouvelles normes pour la cyberassurance)
Les assureurs peuvent refuser de couvrir les coûts d’un client si celui-ci fait une fausse déclaration sur les mesures de sécurité imposées par une police. C’est là qu’intervient le cadre de cybersécurité du NIST, qui décrit un ensemble de fonctions essentielles permettant aux organisations de renforcer leurs défenses contre les cyberattaques et de faire baisser leur score de risque, garantissant ainsi leur éligibilité à l’assurance.
La partie dangereuse de nombreuses cybermenaces est qu’elles ne sont détectées qu’après avoir eu lieu. Toutes les organisations, en particulier les petites et moyennes entreprises, devraient sérieusement envisager de faire assurer leur entreprise contre les cyberattaques. Outre l’assurance, une stratégie de cybersécurité solide et une stratégie de réponse aux incidents sont importantes dans le paysage actuel des menaces.
Source : Five worthy reads: Understanding cyber insurance and why it is important for your business