Suite à la multiplication des cyberattaques, s’assurer devient de plus en plus difficile pour les entreprises. Les règles changent, des minima de protection sont exigés et les primes augmentent. Face à cette évolution inéluctable, les entreprises doivent miser sur la cybersécurité pour limiter le coût d’une cyberassurance.
Le risque cyber, nouveau point faible des entreprises
Il y a trente ans, incendie et cambriolage constituaient les principales menaces sur les actifs d’une entreprise. Aujourd’hui, avec l’informatisation et internet, le risque devient numérique. D’ailleurs, une majorité d’entreprises a connu une attaque de ransomware sur les 12 derniers mois.
Ces prises d’otages du monde moderne défrayent la chronique de chaque salon du numérique. Et la question qui revient le plus est « faut-il payer ? ».
Il faut dire qu’à l’heure des réseaux et du cloud, l’importance des données numériques est devenue vitale pour la survie des entreprises. Leur disparition dépasse ainsi de loin la gravité de la moindre rançon exigée par les cybercriminels pour débloquer la circulation des données.
Mais les assureurs commencent à traîner des pieds. En 2023, les assureurs auraient payé 77 % des rançons réclamées à la suite d’une attaque de ransomware. Une réalité qui ne leur fait pas plaisir et explique l’apparition de clauses nouvelles dans les contrats d’assurance.
Les cyberattaques : un défi pour les assureurs
Cela fait déjà quelques années que les assureurs placent les cyberattaques en tête des menaces pour leur profession, devant le réchauffement climatique. La raison principale : la difficulté à en évaluer le risque, véritable baromètre des assureurs.
Et ce n’est pas l’émergence de l’Intelligence artificielle (IA) comme outil des hackers qui arrange les choses. L’IA générative a en effet simplifié notre entrée dans l’ère de l’IA offensive en permettant à n’importe qui de devenir un hacker en herbe.
D’où la multiplication des ransomwares, plus faciles qu’une attaque à main armée pour dévaliser une entreprise… Et son assureur !
Mais les assureurs doivent trouver une autre réponse que la simpliste augmentation des primes pour tenter de limiter le déficit de ce secteur. C’est ainsi que plusieurs compagnies d’assurance excluent désormais le paiement de la rançon des contrats qu’elles proposent.
Une évidence quand on voit que 80 % des entreprises ayant accepté de payer la rançon se font de nouveau attaquer plus tard. Sans compter le temps qu’il faut pour récupérer les clés de décryptage… Avec le risque de ne jamais revoir leurs données, comme dans 20 % des cas après décryptage.
Ce constat pousse donc de nombreuses entreprises à renforcer leurs propres systèmes de sécurité et à multiplier les sauvegardes de données, cryptées et diversifiées.
Cette stratégie leur permet également de mieux négocier des réductions de primes pour leur garantie cyber avec leur courtier en assurances. Conscientes de chaque côté de l’obligation de s’unir face à cette menace numérique, les deux parties doivent ainsi inventer de nouvelles pratiques de résilience.
Voir à ce sujet, notre article « Cybersécurité : mieux vaut prévenir que guérir ».
Les données, nouvelle richesse à protéger coûte que coûte
Circulant en permanence dans les canaux vitaux de notre économie, les données sont devenues stratégiques pour notre survie à tous.
Les consommateurs l’ont bien compris et exigent donc transparence et protection de la vie privée à tous ceux à qui ils confient leurs données personnelles. Ce nouveau droit est même reconnu par l’Europe avec la création du Règlement général sur la protection des données, le RGPD.
Sous la pression de leurs clients, les entreprises prennent également conscience de l’obligation de sécuriser les données qu’elles manipulent de plus en plus. Et, effectivement, à chaque instant, quelqu’un lit des données, les modifie, les transmet, les copie, les enregistre…
Mais aujourd’hui, Internet a fait exploser la notion de périmètre de sécurité. En matière de cybersécurité, la « confiance zéro » est désormais le nouveau credo : « Toujours vérifier, ne jamais faire confiance ».
Reste que de nombreuses entreprises devraient commencer par balayer devant chez elles.
Combien d'entre elles n'appliquent pas systématiquement les mises à jour de sécurité qu’elles reçoivent ? Combien utilisent la double authentification pour ouvrir un ordinateur ou un dossier ?
Les cybercriminels ont bien compris que nous ne sommes pas encore très loin du degré zéro de la protection. La compromission des identifiants reste la première cause des attaques !
La cyber-résilience intègre la culture d’entreprise
Heureusement, peu à peu, les entreprises prennent conscience qu’attendre la prochaine cyberattaque n’est pas la solution. Elles passent à l’offensive et décident de redéfinir leur schéma de circulation des données. La cyber-résilience prend le pas sur la cybersécurité.
Redondance des circuits d’échange de données, sauvegardes à tous les étages, formation de tout le personnel à de nouveaux réflexes… Il s’agit désormais de réduire le plus possible les interruptions de service, même en cas d’attaque. L’activité de l’entreprise doit être garantie.
Pour réussir cette révolution interne, les entreprises peuvent compter sur leur courtier en assurance préféré, le Groupe Gesco Assurances.
Fort de son expérience et de son regard extérieur, c’est un atout gagnant dans le jeu des chefs d’entreprises. Ses conseillers expérimentés sauront vous conseiller pour détecter les failles de sécurité et adopter les mesures de protection indispensables.