Compte tenu de l’effervescence autour des assurances dans l’écosystème cyber, nous avons décidé d’y consacrer un article. Force est de constater que le périmètre des risques augmente, ainsi de plus en plus d’entreprises seront amenées à s’assurer, le marché des cyber assurances sera donc l’objet d’une importante croissance.
Nous allons passer en revue certaines de ces évolutions, marquées par la baisse de l’étendue des couvertures de risques, d’une augmentation des tarifs et du manque d’enthousiasme des assurés. Dans un second temps nous aborderons les enjeux.
Définition et constat
Définition
Il est toujours important de clarifier le vocabulaire employé, aussi commençons par une définition du terme de cyber assurance.
Une cyber assurance est un contrat d’assurance dédié aux risques informatiques. Elle couvre les risques financiers dus aux dommages engendrés par une cyberattaque, elle apporte une assistance juridique et technique.
Selon le rapport d’Anozr Way, les assureurs sont eux-mêmes victimes des cyberattaquants, soit 20% des ransomwares en 2021, c’est le secteur le plus touché en France. Les cybercriminels visant les attaques par rebond, mais nous verrons cela plus en détails dans un futur article dédié.
Que dit la loi ?
Le paiement d’un ransomware n’est pas illégal en France, pour autant toutes les nations s’accordent sur le fait qu’en cas de ransomware, il est fortement déconseillé de payer. Le paiement encouragerait les pirates à poursuivre leur larcin, de plus il n’assure aucunement le recouvrement des données perdues. En revanche les entreprises touchées par une attaque ont tout intérêt à déposer une plainte, renforçant ainsi la stratégie de résilience (apport de télémétrie, de connaissances sur la méthodologie de l’attaquant, aide dans la mise en place de mesures de remédiation).
Les similitudes entre nations s’arrêtent là, puisque selon les pays et nous verrons spécifiquement le cas de la France et des Etats-Unis, la loi diffère en matière de cyber assurance et de sanction.
En Europe
« Une entreprise sur six a connu un incident en 2020 en France, 65% ont payé la rançon. »
Hiscox Assurance, 2020
En France le marché de la cyber assurance reste peu structuré. Il n’y a pas de sanction ni de loi spécifique en cas de paiement de rançon. Le rapport de la Commission supérieure du Numérique et des Postes (CSNP) révèle que la France reste le pays qui paye le plus les rançons et est également le pays le plus ciblé au sein de l’Union Européenne avec 5% des cyberattaques mondiales [1].
Le rapport parlementaire de Valéria Faure-Muntian, présenté en octobre 2021, recommande :
- de définir les risques cyber
- d’harmoniser les définitions
- de mettre en place une loi interdisant le paiement des rançons
- aux assureurs de ne pas couvrir ou indemniser les rançons et de déposer une plainte en cas d’attaque.
Ce même rapport aborde également la prise en charge par les assurances des pénalités administratives (exemple le non-respect de la protection de données personnelles ou de conformité règlementaire.).
Seules les OIV (Opérateurs d’Importance Vitale) ont des obligations règlementaires en matière de détection, de gestion des risques, de notification des incidents et d’audit. Si l’ensemble de ces obligations ne sont pas respectées alors ces organismes risquent des sanctions.
Enfin dernier point à noter, une assurance cyber n’est à ce jour, pas obligatoire.
La nouvelle règlementation européenne adoptée sur la protection des données, impose une sécurisation plus étendue et une transparence totale, qui passe par une notification individuelle à tous les clients figurant dans les fichiers concernés. Ceci s’ajoute à l’enveloppe budgétaire déjà bien écornée. En plus de la règlementation RGPD, il existe, la directive NIS (Network and Information System Security). Elle a été adoptée le 6 juillet 2016 et est appliquée également dans chaque pays de l’Union Européenne. Cette directive a un niveau de sécurité commun à tous les pays membres. Elle concerne, la gouvernance de la sécurité, la protection et la défense des réseaux et des SI, ainsi que la résilience des activités.
Aux États-Unis
Le marché des cyber assurances est né il y a 20 ans aux Etats-Unis, quand il en est à ses balbutiements en France.
Aux Etats-Unis la loi est claire et stricte, l’OFAC (Office of Foreign Assets Control)[2] sanctionne, via des indemnités civiles, tous les organismes qui aideraient les entreprises dans le paiement des rançons, est entendu dans ces organismes : les assurances ou les institutions financières.
La loi 2022 Cyber Incident Reporting for Critical Infrastructure Act exige une déclaration obligatoire des cyberincidents dans les 72 heures, dans les 24 heures suivant le paiement.
16 secteurs d’infrastructure critiques sont concernés dont les actifs, les systèmes et les réseaux considérés comme essentiels aux États-Unis.
Le projet comprend plusieurs dispositions relatives aux rançongiciels, et aux mécanismes de protection.
Les cyberassurances en crise ?
Évolution des polices d’assurance
Alors que les acteurs de la menace varient leurs méthodes d’attaque, les risques continuent d’augmenter, le périmètre d’attaque également. Ce constat oblige les assureurs à faire évoluer les contrats. Ils n’hésitent pas à ajouter des cyberexclusions qui limitent leur exposition aux cyber-risques, c’est le cas notamment des ransomwares. En effet certaines compagnies commencent à se retirer de la cyber-couverture. C’est le cas de Axa France, en mai 2021 qui a décidé de ne plus prendre en charge les rançons payées par les entreprises. Générali a suivi le pas, en février 2022. D’autres comme Lloyd’s of London a indiqué ne plus couvrir les cyberattaques échangées entre États-nations.
Ajoutons que les entreprises peuvent se retourner contre leurs assureurs : c’est le cas de Merck & Co, qui à la suite de l’attaque NotPetya en 2017, a perdu plus de 1.4 Milliard de dollars. La multinationale pharmaceutique a poursuivi ses assureurs qui refusaient de couvrir les impacts de cette attaque et a gagné l’affaire.
Ce genre d’évènement rend les assureurs plus hésitants. Les effets de cette frilosité sont indéniables et se répercutent sur les garanties.
Le niveau de garanties ne devient ainsi pas suffisamment satisfaisant aux yeux des entreprises. La jeunesse du marché fait qu’il manque d’études longitudinales sur le risque. Cela n’encourage pas les cyber assureurs à se positionner sur ce secteur et quand ils se positionnent, le niveau d’exigence en matière de protection du risque est très élevé. Ce même niveau d’exigence est demandé aux entreprises tierces, afin de protéger toute la chaîne d’approvisionnement. Ainsi la configuration des équipements, l’identification multifactorielle, les sauvegardes, … sont devenus obligatoires.
Enfin, la procédure de souscription (ou de renouvellement), de la même façon, s’alourdit et doit donc être très anticipée, et s’ajoute à un budget déjà bien écorné. Récemment des « outils » de cyber-rating ont été mis en place, pour les PME réalisant moins de 50 millions d’euros de chiffre d’affaires. Ces dernières vont devoir mettre en place un antivirus, un antimalware et un pare-feu, et appliquer une politique stricte de patching et de mises à jour ainsi que des sauvegardes a minima toutes les semaines.
Augmentation des primes d’assurance
Jusqu’ici les entreprises ne savaient pas ce que leur assurance couvrait jusqu’à ce qu’elles soient confrontées à un cyber incident. Les souscripteurs vont être désormais plus vigilants sur le contenu de leur contrat, car ils ont le sentiment de payer plus pour finalement obtenir peu ou pas du tout. Ils voient leurs primes, leurs franchises augmenter sans avoir l’assurance d’être bien protégés. Il en va de même pour les assureurs qui ne s’y retrouvent pas et ne rentabilisent pas leur offre. Selon un sondage effectué en décembre 2021 par l’Amrae[3], le ratio sinistres/primes est de 167% en 2020 contre 84% en 2019.
Pour exemple, l’affaire SolarWinds en 2020 a coûté environ 90 millions de dollars aux compagnies d’assurances.
Ce constat a pour conséquence d’avoir un marché peu concurrentiel, ce qui ne favorise pas la baisse des prix. Les prévisions ne sont pas optimistes, puisque selon un rapport de Cybersecurity Ventures, les ransomwares coûteront plus de 265 milliards de dollars par an, en 2031.
Manque d’enthousiasme chez les assurés
Le constat est clair, les grandes entreprises ont plus tendance à s’assurer que les petites. Toujours selon le rapport de l’Amrae, 87% des grandes entreprises étaient couvertes, seulement 8% des ETI, 0,0026% des PME et 1% des communes de plus de 5000 habitants. Toutes les organisations ne peuvent plus s’assurer du fait de l’augmentation des coûts des contrats ou des niveaux d’exigence cyber. Les petites structures qui ne sont pas spécialisées dans la cybersécurité peuvent avoir du mal à prouver l’efficacité de leurs systèmes. Ils devront faire appel à un sous-traitant et cela engendrera des frais supplémentaires qu’ils ne peuvent pas supporter. S’assurer devient un luxe.
Le niveau de maturité en termes de sécurité est très disparate d’une structure à une autre. Les offres de cyber assurance commencent à s’adapter aux différentes structures mais cela reste encore à la marge. On se retrouve encore une fois face à un manque d’offre et une faiblesse de la demande. Malgré tout, des pépites Françaises voient le jour et se placent sur ce marché en proposant une couverture risque cyber pour les PME. C’est Le cas de notre partenaire Stoïk qui permet au plus grand nombre de PME d’associer à leur assurance cyber avec le plus haut niveau de cybersécurité. Grace à ses outils internes, Stoik aide à surveiller l’exposition au risque en continu.
En Allemagne, le coût total moyen des cyber dommages s’élève à 18 712 euros, ce qui place le pays en première position dans la comparaison internationale (15 255 euros en moyenne). Par voie de conséquence, les investissements dans la cybersécurité continuent d’augmenter : la cyber assurance devenant une mesure de protection de premier ordre. Pour rappel, la part consacrée à la cybersécurité atteint un quart du budget informatique total (24 %).
Pourquoi souscrire à une assurances cyber ?
Souscrire à une cyber assurance oblige les entreprises à avoir une politique de sécurité robuste, à faire des audits régulièrement, à avoir une cartographie des risques claire et mise à jour fréquemment.
Cette vigilance permet ainsi de se prémunir contre certaines vulnérabilités, mais également de bien appréhender le niveau de maturité de sa politique de sécurité (PSSI). Elles devront mettre en place des mesures correctives, formalisées par des procédures et bien sûr justifier de campagnes de sensibilisation auprès de leur personnel.
Ces assurances encouragent la mise en place de mesures préalables, de certifications : normes ISO, ou SecNumCloud. Les compagnies d’assurance vont ainsi conditionner leurs indemnisations en fonction des mesures prises par l’assuré, ainsi une entreprise non certifiée devra payer une police d’assurance plus chère.
Les assurances permettent de couvrir des risques tels que :
- la perte de données personnelles
- la protection de la propriété intellectuelle
- l’incident de sécurité
- le détournement d’objets connectés
Mais aussi :
- les frais de reconstitution des données détruites
- les frais liés aux demandes d’expertise
- l’image de marque de l’entreprise
- les réclamations de tiers
A noter que toutes les assurances ne se valent pas, certaines ne couvrent pas les risques mentionnés ci-dessus, parfois difficilement mesurables.
Enfin elles ne couvrent pas uniquement l’aspect technique. A l’instar de la protection qu’elles apportent au niveau des garanties en cas d’infractions aux règles RGPD, et aux données personnelles des clients ; elles assurent aussi une assistance et des conseils en cas de crise.
L’Espagne est un des pays précurseurs en la matière ; en effet quatre-vingt-trois pour cent des entreprises espagnoles font déjà appel à des polices d’assurance cybernétique pour les aider à se remettre d’une attaque par ransomware.[4]
Quelles sont les solutions ?
Nous ne doutons pas que les cyber assurances vont évoluer au même titre que la menace dans les années à venir.
Parmi les solutions qui pourraient être avancées :
- Mutualiser les risques au sein d’une organisation en capitalisant pour couvrir le risque.
- Aider à la numérisation pour les TPE
- Favoriser le ré investissement dans la sécurité
- Clarifier les contenus des couvertures cyber afin de faciliter la possibilité de comparer les offres d’assurance et d’y souscrire. Cela permettra de renforcer la confiance qui s’est un peu perdue ces derniers temps entre les souscripteurs et les assureurs.
- Définir une législation européenne en matière d’assurance cyber.
- Proposer des offres hybrides, pour répondre aux besoins du marché.
- Mettre en place des aides de l’État à travers des crédits impôts recherche afin d’encourager l’investissement dans la sécurité et la prévention.
- Favoriser la collaboration entre le secteur privé et public afin de mutualiser ses compétences.
- Rendre les assurances cyber obligatoires. Bien évidemment cette solution fait débat.
L’assureur devra bien maîtriser l’ampleur de la menace et des risques. Ce travail doit se faire en bonne intelligence avec les entreprises.
Les agences de cyber assurance exigent de la part de leur client de se responsabiliser et de protéger leur propre réseau, ceci en renforçant leur sécurité par des outils de préventions efficaces. Une bonne stratégie cyber repose sur l’investissement dans des outils de protection. Les entreprises doivent se concentrer sur l’utilisation d’une approche globale comme c’est le cas avec la technologie XDR de TEHTRIS, qui permet de détecter les menaces sur tous les systèmes, les réseaux et le cloud de façon hyper automatisée. Elle bloque et neutralise en temps réel les attaques de cybersécurité. Grâce à ses différents modules, à son automatisation et à sa base de connaissances sur les menaces cyber, elle identifie les comportements suspects, les programmes ou les IP malveillants.
Si vous souhaitez étudier comment TEHTRIS peut vous aider à protéger votre organisation contre toutes sortes d’acteurs malveillants et vous épargner des sinistres à déclarer à votre assureur, contactez-nous.
BIBLIOGRAPHIE
[1] Anozr Way, 2020
[2] L’Office of Foreign Assets Control est un organisme de contrôle financier, dépendant du Département du Trésor des États-Unis. Données Wikipedia.
[3] Association pour le management des risques et des assurances de l’entreprise. « Etat du marché et perspectives 2022 – Assurances des entreprises ».
[4] https://www.elindependiente.com/economia/2022/05/13/la-demanda-de-ciberseguros-ha-crecido-las-pymes-saben-que-un-ciberataque-es-devastador/