Sommes-nous devenus trop dépendants de la cyberassurance ?

Alors que les cyberattaques s’intensifient, l’assurance ne peut plus être considérée comme un simple bouclier financier. En exigeant des mesures de protection robustes, les assureurs jouent un rôle clé dans l’évolution des pratiques de sécurité.

Par Damien Gbiorczyk, expert en cybersécurité chez Illumio

L’assurance cyber est souvent perçue comme un filet de sécurité financier en cas d’incident de cybersécurité, mais cette perception est trompeuse. La vérité est que l’assurance cyber ne devrait jamais être le premier recours pour les entreprises face aux risques numériques. En France, où les cyberattaques ont augmenté de 50 % en 2023, selon l’ANSSI, il est temps de changer de perspective.

De la simple couverture à une régulation de fait

Souvent perçue par les entreprises comme un moyen de transférer les risques, la cyberassurance est en pleine évolution. La hausse des attaques par ransomware a conduit à un renforcement des exigences pour obtenir une couverture d’assurance cyber. Désormais, les assureurs demandent aux entreprises de prouver qu’elles disposent déjà de mesures de cybersécurité de base, telles que l’authentification multifactorielle (MFA), la segmentation des réseaux et, plus récemment, la micro-segmentation, avant d’accorder leur couverture.

Les chiffres sont en effet alarmants : selon une étude de l’AFNIC, 70 % des entreprises françaises ne respectent pas les critères d’hygiène cyber exigés par les assureurs.
Cette rigueur accrue est le résultat de l’augmentation continue des attaques par ransomware, poussant les assureurs à évaluer plus minutieusement les infrastructures technologiques de leurs clients potentiels. De plus en plus, les assureurs se comportent presque comme des régulateurs, en exigeant des audits complets avant de délivrer une police d’assurance. . Il en résulte que les entreprises doivent mettre en place et démontrer qu’elles répondent aux exigences en matière de cyberassurance au moins six mois avant de demander une couverture, tout comme nous fournissons des informations financières avant d’obtenir un prêt immobilier. 

L’illusion de la protection totale

Il est essentiel de comprendre que l’assurance cyber ne couvre pas tous les risques. Par exemple, les cyberattaques soutenues par des États sont souvent exclues des polices d’assurance. L’attaque de 2017 contre Saint-Gobain par le malware NotPetya, attribuée à un groupe lié à la Russie, a causé plus de 250 millions d’euros de pertes, non couvertes par l’assurance. Cela illustre une réalité difficile : il est impossible de prévenir toutes les attaques. La cyberassurance, bien qu’importante, ne doit pas être considérée comme une solution miracle. Les menaces géopolitiques et les cyberattaques d’État demeurent une responsabilité pour les entreprises.

Avant même de considérer la cyberassurance comme une option, les organisations doivent se demander si elles ont pris toutes les mesures raisonnables pour protéger leurs réseaux. Les exigences en matière de cyberassurance devraient servir de liste de contrôle pour évaluer ce qu’une entreprise a mis en place, et non ce qu’il lui manque.

Le mouvement latéral est un facteur déterminant dans le succès des attaques par ransomware. Par conséquent, les technologies qui réduisent la surface d’attaque permettant les violations, telles que la segmentation Zero Trust, qui empêchent les attaquants de se déplacer au sein du réseau, sont essentielles. Ces solutions non seulement réduisent l’impact des attaques, mais facilitent également l’obtention d’une couverture d’assurance. Une simulation de ransomware réalisée par Bishop Fox a démontré que la segmentation Zero Trust empêche la propagation des attaques par ransomware en seulement 10 minutes

Un changement de paradigme

Le coût moyen d’une cyberattaque en France s’élève à 1,1 million d’euros, et ce chiffre ne cesse d’augmenter (selon IBM). Même avec des défenses les plus robustes en place, les attaques et les violations de sécurité sont inévitables. Pour protéger leur activité, les organisations doivent établir une stratégie cybersécuritaire solide qui mette l’accent sur la résilience, l’atténuation et le confinement des menaces. Pourtant, nous constatons que trop d’entreprises concentrent tous leurs efforts sur des solutions visant à prévenir les attaques, tandis que peu d’entre elles investissent dans des mesures pour limiter leur impact en amont.

En adoptant des solutions de microsegmentation, de gestion des accès, et en veillant à ce que les employés suivent les bonnes pratiques de cybersécurité, les entreprises peuvent non seulement réduire leur exposition aux risques, mais aussi rendre leurs systèmes plus résilients face aux nouvelles menaces.

En fin de compte, l’assurance cyber ne devrait être vue que comme une dernière ligne de défense. Il est temps de repenser la manière dont les entreprises françaises abordent la cybersécurité, car l’assurance seule ne suffira plus à les protéger.

À LIRE AUSSI :

Gouvernance

L’avenir des cyber assurances face au paiement des rançons

Laurent Delattre

23 Jan

À LIRE AUSSI :

Secu

15 prédictions Cybersécurité pour 2024 et au-delà

Laurent Delattre

22 Nov

À LIRE AUSSI :

Secu

Les cyber-attaques défient-elles toute assurance ?

La rédaction

14 Juin

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !