Par Edgardo Moreno (CISSP, GICSP)
Un marché en plein boum : les produits d’assurance des entreprises contre les cyber-attaques ont engrangé des primes de 12 milliards de dollars en 2022, six fois plus qu’en 2015. Et, s’il faut en croire l’agence de notation Moody’s, le marché pourrait encore tripler en volume d’ici 2027.
L’appétit des entreprises pour ces produits s’explique facilement : l’an passé, 43% des entreprises françaises auraient été victime d’une cyber-attaque pour un coût total estimé à 2 milliards d’Euros.
Mais parvenir à être couvert adéquatement pour un coût raisonnable est plus difficile qu’il n’y paraît.
Actes de guerre et flambée des primes
Du fait de la généralisation des attaques, les entreprises font en effet face à une explosion des primes d’assurance demandées : selon une étude récente, elles auraient bondi de 73% sur un an.
Sur la même période, les indemnisations ont baissé de plus de moitié (-57%). Car les assureurs, après avoir essuyé des pertes sur ce genre de produits, multiplient les exclusions et les limitations.
Cas emblématique : face au boom des attaques de rançongiciels menées par des gangs russes depuis le début du conflit ukrainien, la Lloyd’s de Londres a ainsi indiqué qu’elle considèrerait désormais celles-ci comme des actes de guerre et cesserait donc d’indemniser ses clients.
Plusieurs autres cas, comme celui du distributeur automobile Inchcape, les tribunaux ont dû trancher quels dommages étaient directement lié à l’attaque et donc couverts, depuis le remplacement de matériel informatique jusqu’à l’embauche d’une agence de communication de crise.
Des processus de sélection drastiques
En outre, pour réduire les risques, les assureurs adoptent désormais des processus de sélection drastique : les entreprises peuvent s’attendrent à devoir répondre à plusieurs centaines de questions détaillant leurs politiques de cybersécurité, les données qu’elles stockent et leurs plans de poursuite de l’activité en cas de cyber-attaque. S’y ajoutent une évaluation des riques du secteur, de l’historique de cybersécurité de l’entreprise, et parfois des enquêtes de sociétés spécialisées comme BitSight ou GuideWire.
Principales exclues de ce système : les PME et entreprises de taille intermédiaires (ETI), qui seraient respectivement 3% et 10% à être assurées, contre 87% des grands groupes français.
Parmi ces derniers, certains ont franchi le pas et décidé de s’auto-assurer pour dépasser les limites des assurances classiques. C’est par exemple le cas de 7 groupes industriels européens, dont BASF, Airbus et Michelin, qui se sont associé pour créer leur mutuelle, la MRIS, en septembre 2022.
Les entreprises industrielles prises au dépourvu
Leur décision reflète la difficulté particulière des entreprises industrielles à s’assurer à un coût raisonnable.
En cause, un appareil industriel qui tend à devenir de plus en plus complexe, notamment via la multiplication des capteurs ou systèmes de contrôle industriels, sans que les pratiques de cybersécurité suivent nécessairement. Selon une étude de Zscaler, les cyberattaques visant spécifiquement l’Internet des Objets (IoT) ont ainsi augmenté de 400 % sur un an.
S’y ajoute le fait que, dans des installations industrielles qui tournent en continu, l’adoption des mises à jour de sécurité est souvent difficile. Une récente enquête de l’Agence Européenne pour la Cybersécurité (ENISA) a montré que les deux tiers des entreprises du secteur énergétique, par exemple, avaient besoin de plus d’un mois pour corriger une vulnérabilité majeure, et une entreprise sur dix mettait plus de six mois.
Réduire les risques pour diminuer les coûts
Pour trouver à s’assurer ou réduire leurs primes, les entreprises peuvent néanmoins agir de plusieurs façons. La première consiste à auditer leurs systèmes informatiques – et, le cas échéant, leur appareil industriel – pour identifier les vulnérabilités et définir les priorités d’action.
Cet audit passe notamment par un inventaire détaillé de tous les terminaux, systèmes d’exploitation et logiciels, qui peut ensuite être croisé avec les bases de vulnérabilités connues, comme la National Vulnerability Database américaine. Cet inventaire fournit une partie de la matière nécessaire pour répondre aux questionnaires des assureurs.
Ceux-ci exigeront en outre des informations détaillées sur la segmentation des réseaux, l’usage et le stockage des données, la gestion des risques, ou encore les mesures de sauvegarde et de continuité du service. S’il s’agit d’un travail laborieux, il est néanmoins essentiel. La récente loi LOPMI, entrée en vigueur en avril, impose par exemple de porter plainte dans les 72 heures qui suivent la prise de connaissance d’une cyber-attaque pour pouvoir être indemnisé – ce qui impose des procédures internes rapides et bien définies.
Enfin, que l’on soit assuré ou en quête de couverture, il est essentiel de regarder dans le détail les conditions et seuils d’indemnisations et les exclusions – par exemple, pour comprendre quels services sont couverts si l’entreprise est paralisée par une attaque de rançongiciel. Ces questions sont trop souvent posées une fois qu’une cyber-attaque a déjà eu lieu – et parfois devant les tribunaux.
Edgardo Moreno (CISSP, GICSP)