Ransomwares et assureurs : il est temps de réagir

Si l’assurance contre le risque cyber a été autrefois perçue comme très prometteuse, en raison de ses faibles taux de pertes et de sa profitabilité importante par rapport aux autres grandes lignes métier d’assurance non-vie, la fréquence toujours plus grande des attaques par ransomware est en train de niveler le débat.

La question du remboursement des sinistres liés aux ransomwares n’est pas nouvelle, mais le statu quo devient intenable pour l’assurance cyber.

La récente communication du gouvernement français, qui autorise bien les assureurs à indemniser les rançons, permet en partie de clarifier le débat. Mais la façon dont les acteurs du secteur ont agi jusqu’à présent a peut-être contribué à aggraver le problème. S’ils ne parviennent pas à mettre au point des stratégies pour décourager ces ransomwares, l’étendue ou le prix de la garantie ne seront bientôt plus adaptés aux besoins des entreprises qui souhaitent transférer ce risque, et la couverture du risque cyber deviendra caduque. Dans les deux cas, les entreprises ciblées seront d’autant plus exposées.

Quelles sont les pistes d’amélioration les plus pertinentes à l’heure actuelle pour les compagnies d’assurance ? Pour commencer, elles peuvent accompagner leurs clients dans la mise en place de bonnes pratiques sécuritaires et d’hygiène technologique pour réduire fortement l’exposition aux risques, en les alertant sur les campagnes d’e-mails frauduleux et sur les vulnérabilités serveurs et logicielles non corrigées.

Dans un deuxième temps, il faut envisager une coordination de la réduction des risques, à l’aide d’indicateurs en matière de sécurité mis en place auprès des souscripteurs, des courtiers et des professionnels de la sécurité informatique. Des outils d’évaluation du risque cyber fiables donnent aujourd’hui la possibilité aux assureurs d’évaluer celui-ci en fonction des caractéristiques des entreprises : leur propension à être ciblées, et leurs mesures de protection – non seulement en termes de technologies utilisées, mais aussi de processus et de ressources humaines. Les assurés pourraient contribuer à cet élan, en fournissant des informations sur leur posture sécuritaire, afin que les assureurs puissent évaluer le risque, la tarification et les paramètres de couverture, et bénéficier de conseils de prévention sur mesure.

Enfin, les assureurs peuvent également avoir recours à des solutions de DFIR (Digital Forensics and Incident Response, en français « Renseignements numériques et réponse aux incidents ») pour rassembler toute information utile concernant les vecteurs d’attaque, les failles dans les contrôles de sécurité, la manière dont les attaquants parviennent à accéder au réseau d’une entreprise ou encore les garde-fous qui se sont révélés inefficaces. Encore trop peu mise à profit, cette cartographie de données liées aux risques cyber est pourtant la meilleure réponse possible pour permettre aux assureurs de réduire leur exposition à ceux-ci.