Cyber ​​assurance 101 : qu'est-ce que c'est et mon entreprise en a-t-elle besoin ?

Sécurité d'entreprise

Bien qu'il ne s'agisse pas d'une « carte de sortie de prison gratuite » pour votre entreprise, la cyber-assurance peut aider à la protéger de l'impact financier d'un cyber-incident.

Phil Muncaster

13 Jun 2023  •  , 4 minute. lis

Le cyber-risque est en augmentation en raison de l'impact combiné de l'augmentation des niveaux de menace, expansion des surfaces d'attaque et les pénurie de compétences en matière de sécurité désavantagent les organisations. Confrontés à une probabilité accrue de subir une faille de sécurité préjudiciable, nombre d'entre eux peuvent envisager de transférer la responsabilité à un opérateur tiers. Mais ceux qui pensent qu'ils peuvent simplement utiliser la cyberassurance pour remplacer les investissements dans les meilleures pratiques de cybersécurité peuvent se tromper. En fait, ces derniers sont de plus en plus maintenant une condition préalable à la couverture.

Donc, si la cyber-assurance n'est pas une carte de « sortie de prison gratuite » pour les entreprises, à quoi sert-elle ?

Qu'est-ce que la cyber-assurance?

À un niveau très basique, la cyberassurance aide à isoler les entreprises de toutes tailles de l'impact financier d'incidents graves tels que les violations de données et les fuites. Selon la politique, il peut fournir :

• Accès aux évaluations préalables à la violation, aux fournisseurs approuvés et aux informations pour aider à renforcer la résilience avant un incident
• Assistance à la notification post-infraction, enquête médico-légale, services juridiques et expertise en gestion de crise
• Soutien financier pour les frais de justice et les réclamations en dommages-intérêts contre votre entreprise
• Couverture des coûts engagés pour maintenir l'activité opérationnelle et restaurer les données, ainsi que la perte de revenus

Les polices peuvent varier considérablement, mais il existe deux principaux types de couverture :

• Couverture de première partie : Lié à l'impact direct sur votre entreprise d'un cyberincident. Cela inclut le coût des logiciels perdus ou endommagés, des frais juridiques, de la criminalistique, de la notification aux clients, du vol d'argent, etc.
• Couverture tierce : Cela concerne les réclamations déposées par d'autres contre votre entreprise pour les pertes subies en raison d'un cyberincident. Cela inclut des choses comme les règlements juridiques avec les clients, les frais d'avocat et de comptable, etc.

Il est important de noter que les cyberattaques contre votre entreprise considérées comme des « actes de guerre » peuvent ne pas être couvertes par votre police. Lloyd's de Londres pris la décision controversée obliger ses assureurs à insérer une clause d'exclusion de la cyberguerre, afin de réduire la responsabilité des transporteurs dans les attaques parrainées par l'État. Cependant, prouver qu'un acteur menaçant commettait un acte de guerre pouvait être extrêmement difficile.

Pourquoi ai-je besoin d'une cyber-assurance ?

La plupart des entreprises n'auront aucun doute sur les raisons pour lesquelles la cyberassurance devrait être une industrie de 64 milliards de dollars américains d'ici 2029. Une combinaison de cybermenaces croissantes et des coûts associés, ainsi que la surveillance croissante des régulateurs, obligent les entreprises à trouver des moyens éprouvés pour atténuer leur exposition aux risques.

Le passage au travail hybride, combiné aux investissements dans le cloud et le numérique pendant la pandémie, a contribué à stimuler la productivité et des processus commerciaux plus agiles, mais a également augmenté la surface des cyberattaques. Les terminaux de travail à domicile non corrigés, les systèmes cloud mal configurés et les menaces véhiculées par les mobiles ne sont que la pointe de l'iceberg. Un rapport de 2022 prétend que (79 %) des organisations estiment que les changements récents apportés aux pratiques de travail ont eu un impact négatif sur la cybersécurité de leur organisation. En autre, 43 % des organisations mondiales s'accordent à dire que leur surface d'attaque « échappe à tout contrôle ». La surface d'attaque s'étend également aux chaînes d'approvisionnement complexes et aux employés potentiellement négligents. Environ 98 % des entreprises mondiales ont subi une violation via leurs fournisseurs en 2021, par exemple.

Par conséquent:

• Les États-Unis ont subi une nombre presque record des violations de données signalées publiquement en 2022
• Deux cinquièmes du Royaume-Uni organisations interrogées en 2022 ont déclaré avoir subi une faille de sécurité au cours des 12 derniers mois
• Plus d'un quart (27 %) des chefs de file de la technologie et des affaires au Royaume-Uni attendre Les attaques de compromission des e-mails professionnels (BEC) et de « piratage et fuite » vont augmenter en 2023, et 24 % disent la même chose à propos des ransomwares

Non seulement les incidents de sécurité graves sont plus probables aujourd'hui. Ils coûtent également plus cher aux victimes. En 2021, le coût des incidents de cybercriminalité signalés au FBI a atteint 6.9 milliards de dollars américains. Un an plus tard, le total a atteint 10.3 milliards de dollars, soit une augmentation de 49 %. Cela porte le total pour les cinq années jusqu'en 2022 à 27.6 milliards de dollars.

Comment puis-je bénéficier d'une couverture ?

Le marché de la cyberassurance a connu des changements spectaculaires au cours des dernières années. Une augmentation des violations de ransomwares et des réclamations ultérieures pendant la pandémie a conduit certains à blâmer le secteur pour encourager indirectement les acteurs de la menace à lancer des attaques. Les pertes subies par de nombreux transporteurs ont conduit à des mesures correctives - une une augmentation significative dans les taux de prime et la couverture réduite. Heureusement, les prix se stabilisent maintenant les polices redeviennent donc abordables.

Cela est dû en partie à des politiques plus granulaires qui exigent davantage de clients potentiels. De cette façon, nous pouvons voir le rôle de la cyberassurance évoluer - de prêteur en dernier ressort à un partenaire de sécurité incitant à un bon comportement. En bref, en obligeant les entreprises à mettre en place des contrôles de sécurité et des mesures de cyber-hygiène conformes aux meilleures pratiques, les assureurs peuvent réellement apporter des améliorations de base à la gestion des cyber-risques.

Selon la politique, ces mesures pourraient inclure :

Qu'est-ce qui se passe ensuite?

Les PME et les grandes entreprises classent toujours les cyberincidents comme leur menace numéro un. Au fur et à mesure que les coûts augmentent, ils se tourneront de plus en plus vers la cyberassurance. Cela devrait à son tour améliorer la sécurité, réduire les risques et offrir une couverture plus abordable. Mais il reste encore du chemin à parcourir : environ la moitié (48 %) des PME n'ont toujours pas de couverture, contre 16 % des grandes organisations, selon le World Economic Forum (WEF). Pour optimiser votre utilisation de l'assurance à l'avenir, la lecture de la police en petits caractères sera plus importante que jamais.

Pour en savoir plus sur la cyberassurance pour les entreprises, ce manuel ESET avez-vous couvert.