En cas d'incident de sécurité, les entreprises risquent gros si elles ne sont pas assurées même si elles doivent parfois y mettre le prix. (crédit : Freepik)
L'augmentation des tarifs d'assurance due aux ransomwares ces dernières années semble se stabiliser alors que les réglementations européennes incitent davantage d'entreprises à envisager une couverture.
L'explosion des tarifs des cyberassurance est-elle révolue ? Au cours des dernières années, les indemnités versées par les assureurs ont dépassé 70 % des primes, ce qui a pu créer un environnement commercial insoutenable pour les assureurs qui ont réagi en montant les primes. Face à l'augmentation des demandes d'indemnisation, le prix des contrats a cependant grimpé bien au-delà des niveaux d'inflation, les assureurs imposant par ailleurs des conditions de souscription plus strictes voire dans certains cas des limitations de couverture. En conséquence, les polices ont ainsi augmenté de 50 % en 2022, selon Fitch Ratings. Mais bien que les coûts liés aux incidents de sécurité continuent d'augmenter, les hausses des contrats ont cependant ralenti dernièrement.
« Nous constatons aujourd'hui une baisse des incidents et des paiements liés aux ransomwares, ce qui contribue à stabiliser les coûts », explique Michael Robert, spécialiste de la cybersécurité chez GTA Bloom. Les exigences strictes des assureurs en matière de souscription et leur insistance pour que les clients potentiels adoptent de meilleures pratiques d'hygiène en sécurité informatique ont également joué un rôle dans la stabilisation du marché, selon les experts du secteur. « Maintenant que nous avons passé le plus dur, nous sommes en mesure de compenser l'augmentation des taux et d'atténuer les limitations de couverture, car nous avons vu la posture de cybersécurité s'améliorer dans la plupart des secteurs et des tranches de revenus », indique quant à elle Emma Fekkas, vice-présidente régionale de la souscription chez Cowbell Insurance. « Bien que les exigences strictes en matière de souscription n'aient pas vraiment changé, nous constatons une meilleure hygiène en matière de cybersécurité dans les entreprises qui recherchent une cyberassurance. »
Des coûts d'incidents cyber qui grimpent
La cyberassurance est une forme spécialisée d'assurance conçue pour protéger les entreprises contre les pertes financières et les responsabilités découlant des effets des ransomwares ou d'autres formes de cyberattaques et d'atteintes à la protection des données. Les polices couvrent généralement les pertes d'exploitation dues à ces événements, le coût de la récupération des systèmes, les frais juridiques, les honoraires des consultants ad hoc, le coût de la notification aux clients et même (dans certains cas) le paiement des ransomwares, qui reste un sujet de controverse parmi les RSSI. Et les coûts associés aux violations de données continuent d'augmenter. Selon une étude d'IBM, le coût moyen d'une violation de données a augmenté de 10 % l'année dernière, pour atteindre 4,88 M$. Les ransomwares sont, de loin, la principale cause de pertes liées à la cyberassurance, selon un rapport de l'assureur Munich Re, qui note que l'industrie manufacturière est le secteur qui enregistre le plus grand nombre de demandes d'indemnisation liées à des ransomwares. Le rapport 2024 Ransomware de Zscaler Threat Labs confirme que l'industrie est le secteur le plus ciblé par les ransomwares, suivi par la santé, l'IT et l'éducation. Une étude réalisée en 2024 par Chainanalysis a montré que les paiements de crypto-monnaies de rançon ont presque doublé en 2023 pour atteindre 1,1 Md$, contre 567 M$ en 2022. D'autres vecteurs d'attaque coûteux sont la compromission des courriels d'entreprise (BEC) et les attaques de type supply chain (partenaires, sous-traitants).
Les entreprises doivent généralement faire preuve de solides pratiques de cybersécurité pour obtenir une couverture d'assurance et ces critères de base ont été rehaussés à mesure que les incidents deviennent plus fréquents et plus coûteux. Keith Povey, évangéliste en matière de sécurité chez Panaseer, fournisseur d'outils de surveillance de la sécurité des entreprises, explique : « les assureurs se sont brûlés les doigts avec des paiements importants et demandent plus de garanties à leurs clients - certains ne donneront même pas de devis si les entreprises ne peuvent pas prouver un certain niveau de sécurité. » En outre, les attaques de ransomware ont modifié le marché en poussant les assureurs à mettre en oeuvre des processus de souscription plus stricts, selon James Harrison, responsable mondial de l'assurance à la société d'analyse de données commerciales Dun & Bradstreet. « De nombreuses polices d'assurance n'offrent plus de couverture complète pour les événements liés aux ransomwares, mais plafonnent la couverture pour les paiements de rançon », explique-t'il. « Les évaluations des risques basées sur les données sont désormais un outil clé pour les assureurs, leur permettant d'identifier les vulnérabilités au sein des entreprises. Cela signifie que des polices personnalisées peuvent être adaptées à l'exposition au risque spécifique d'une entreprise. »
Les assurances cyber plus souscrites aux Etats-Unis qu'en Europe
Dans l'ensemble, le marché mondial de la cyberassurance a atteint 14 Md$ en 2023 et, selon les estimations de Munich Re, il devrait encore doubler pour atteindre 29 Md$ d'ici 2027. Cependant, des différences régionales subsistent en ce qui concerne la prévalence de la couverture et les contextes réglementaires et juridiques. Par exemple, selon les données présentées lors de la conférence Zywave à Londres en début d'année, le nombre d'entreprises assurées contre le risque de cybersécurité était estimé à 20 % aux États-Unis, 12 % en Allemagne et 10 % au Royaume-Uni. Selon les observateurs, le chiffre de l'assurance cyber aux États-Unis est plus élevé en raison de la grande maturité du marché dans ce pays, ainsi que du risque plus important que courent les entreprises américaines de faire l'objet de recours collectifs à la suite d'une violation de données que leurs homologues européennes. Selon Claude Bilbao, vice-président régional britannique des ventes et de la distribution chez Cowbell Insurance, « l'adoption de la cyberassurance a été beaucoup plus importante aux États-Unis qu'en Europe ». « Cela s'explique par un certain nombre de facteurs clés, notamment les différences d'approche en matière de litiges et de risques juridiques, l'environnement réglementaire, la sensibilisation à la cybercriminalité, ainsi que la maturité du marché de l'assurance. Rick Betterley, président de Betterley Risk Consultants, ajoute que les conseillers en assurance des entreprises américaines sont plus proactifs lorsqu'il s'agit de vendre une couverture de cyberassurance.
« Je pense qu'aux États-Unis, un courtier craint plus que dans d'autres pays d'être poursuivi par un client pour ne pas l'avoir informé sur les risques de cyberséurité et l'assurance », indique Rick Betterley. Les marchés américain et européen de la cyberassurance devraient continuer à se développer à mesure que les menaces augmentent et que la sensibilisation à la gestion des risques par l'assurance se généralise. « Le marché américain de la cyberassurance est plus vaste, plus mature et se caractérise par un taux d'acceptation plus élevé », explique Claude Bilbao. « En revanche, le marché européen se développe, le RGPD étant un moteur essentiel de la croissance, mais l'adoption est plus lente en raison d'un risque moins bien perçu et d'une plus faible maturité du marché. » Un autre facteur susceptible d'influer sur les différences régionales est le fait que les grandes entreprises doivent parfois passer des contrats avec plus d'un fournisseur de cyber-assurance pour couvrir la responsabilité qu'elles souhaitent. L'assurance cyber étant plus répandue aux États-Unis, cela peut signifier qu'un plus grand nombre de polices sont en jeu parmi les grandes entreprises de ce pays. « Une grande entreprise peut souhaiter souscrire des limites plus élevées que celles proposées par un seul assureur », prévient Rick Betterley. Ainsi, pour atteindre les limites souhaitées, elle peut souscrire une limite de base (25 M$) et en ajouter une autre (10 M$, par exemple), pour un total de 35 M$. Aux États-Unis, les grandes entreprises achètent souvent des limites de plusieurs centaines de millions de dollars.
Des réglementations qui poussent l'adoption de la cyberassurance
La réglementation, et en particulier l'expansion du cadre NIS2, sont des facteurs clés de l'expansion de la cyberassurance en Europe. La directive qui entre en vigueur au mois d'octobre 2024 (en attendant sa transposition dans le droit des Etats membres), élargit le champ des secteurs et des entités couverts par la réglementation européenne. Celle-ci impose des exigences plus strictes en matière de sécurité et des mesures de gestion des risques aux entreprises dans 15 secteurs critiques au lieu des sept précédents. Par ailleurs, elle met davantage l'accent sur la protection de la supply chain et la sécurité globale des fournisseurs. Un plus grand nombre d'entreprises, dont beaucoup de petites et moyennes entreprises, dans de multiples secteurs à travers l'Europe devront se conformer à la directive. Les sociétés peuvent se tourner vers une cyberassurance pour les aider à gérer les risques financiers associés à une éventuelle non-conformité ou à des incidents de sécurité couverts par le NIS2. En outre, les assureurs proposent souvent des services de gestion des risques qui peuvent aider les entreprises à améliorer leur maturité en matière de sécurité. « Si une entreprise suit un cadre de cybersécurité, tel que NIS2, il existe des processus qu'une société ou administration doit mettre en place pour se conformer - par exemple, la gestion de crise, la réponse aux incidents, les services médico-légaux, etc. en préparation d'un incident de cybersécurité potentiel », explique Tony Anscombe, évangéliste en chef de la sécurité chez Eset. « Ces services ou ensembles de compétences ne sont pas nécessairement à la portée des équipes opérationnelles, mais ils sont généralement fournis par les cyberassureurs dans le cadre de la police d'assurance. »
Toute réglementation exigeant la divulgation d'informations - y compris, mais sans s'y limiter, NIS2 et le RGPD ainsi que les réglementations américaines telles que le California Consumer Privacy Act - ou exigeant une réponse aux incidents, justifie que les entreprises investissent dans une cyberassurance dans le cadre de leurs plans d'amélioration de leur maturité globale en matière de cybersécurité. D'autres experts s'accordent à dire que les réglementations jouent un rôle important dans la motivation des RSSI à souscrire une cyberassurance. « Les réglementations qui imposent des obligations de réponse coûteuses à l'organisation victime d'une violation constituent une raison impérieuse de souscrire une assurance », fait remarquer Rick Betterley. La plupart des grandes entreprises suivent un cadre ou une norme, telle que ISO 27001, pour la gestion des risques. Lorsque les entreprises suivent un cadre, elles développent naturellement une architecture et des politiques de sécurité plus matures, ce qui les rend plus faciles à assurer. « Si une entreprise ne suit pas un tel cadre, l'assureur peut lui demander de mettre en place une protection supplémentaire et de répondre à toutes les questions qu'il soulève », note Tony Anscombe.
La responsabilité des RSSI engagée
La récente législation fédérale américaine et l'application de la réglementation par la SEC ont mis les RSSI dans la ligne de mire, face à la menace d'une action en justice si la posture de sécurité réelle de leur organisation ne correspond pas aux assurances données aux investisseurs. « Cette situation a accru les risques, et l'assurance cyber évolue pour englober les individus aussi bien que leurs employeurs », selon Keith Povey. « De nombreux RSSI envisagent désormais de souscrire une assurance responsabilité civile personnelle et de l'inclure dans leur contrat afin d'être couverts en cas de procès. Des doutes subsistent quant à la question de savoir si les RSSI sont protégés par leur employeur tant qu'ils travaillent pour lui ou à vie. Nous approchons d'un scénario dans lequel les RSSI pourraient quitter leur entreprise et être poursuivis en justice par leur ex-employeur pour des manquements en matière de sécurité. »
Suivez-nous