Alors que l’année 2020 était fortement déficitaire pour le micro-marché des assurances cyber, l’AMRAE constate que la situation s’est stabilisée en 2021, représentant désormais 219 millions d’euros. En cause, le taux des primes qui a doublé et les conditions de versement devenues plus exigeantes.
Tribune – Cette évolution renforce le débat autour de la pertinence des cyber assurance, portant notamment le doute sur leur efficacité, leur déploiement et l’étendue réelle de la couverture offerte.
Les experts juridiques de Cohesity ont en effet constaté, après avoir analysé les principales assurances de rançongiciel présentes sur le marché à la fin de l’année 2022, que les garanties actuelles ne sont guère plus que des limitations de responsabilité qui profitent aux fournisseurs — et non aux clients.
Le PDG de Zurich Insurance déclarait d’ailleurs dans une interview accordée au Financial Times que les cyberattaques deviendront bientôt « inassurables », puisque l’assurance et la prévention se sont communément révélées inefficaces aussi bien faces aux cyberattaques que pour la récupération effective des données.
Le risque cyber en France
La multiplication des attaques pose un risque considérable pour les entreprises, à l’image de l’éditeur de logiciels Dedalus, sous-traitant des laboratoires médicaux français qui s’est vu infliger une amende à hauteur de 1,5 million d’euros par la CNIL en avril dernier suite à plusieurs failles de sécurité ayant conduit au vol de données de 500 000 patients français.
Le nombre d’attaques n’a fait qu’augmenter au cours des dernières années, si bien que le parquet de Paris, selon FranceInfo, a enregistré l’ouverture de 600 enquêtes en 2022 (65 en 2021), dont la moitié concerne des attaques par rançongiciels.
L’adoption récente de la loi de programmation du ministère de l’Intérieur (LOPMI), soutenu par Bercy et les assureurs français, continue aussi d’alimenter le débat. Même si elle rend légale l’indemnisation des cyber rançons payées par les entreprises, elle leur incombe tout d’abord de déposer une plainte auprès des autorités compétentes, une condition décriée par beaucoup de par les conséquences qu’elle impose pour la réputation de l’entreprise ou de l’organisme visé.
Quelles alternatives à l’assurance cyber ?
Pour Jean-Baptiste Grandvallet, Ingénieur Système chez Cohesity « les organisations ont tout intérêt à concentrer leurs efforts sur la récupération des données en cas d’attaques. Un défi surmontable si de réelles mesures de prévention sont correctement mises en place. »
Les entreprises peuvent notamment conserver une copie isolée des données dans le cadre d’une stratégie 3-2-1 et adopter une optique zéro-trust, afin que les données soient chiffrées aussi bien pendant les transferts que sur les espaces de stockage.
Pour Cohesity, l’enjeux majeur en 2023 sera d’atteindre la cyber-résilience en améliorant la collaboration entre les équipes IT et OT grâce à une stratégie globale de sécurité, pour leur permettre d’œuvrer conjointement à la détection et la prévention des attaques cyber. L’ensemble de ces mesures pourraient non seulement avoir un impact positif direct sur la couverture des assurances cyber mais réduiront également le risque d’incidents et les éventuels dommages à la suite d’une panne ou d’une perte de données.