Au fur et à mesure que les cyber risques augmentent, se diversifient et se sophistiquent, un fossé important se creuse entre les assureurs et les entreprises qui éprouvent des difficultés à obtenir une couverture cyber abordable et exhaustive. Cette disparité crée un défi majeur pour les acteurs du secteur de l’assurance et les entreprises, soulignant l’importance cruciale de comprendre les raisons de cette disparité croissante et de trouver des moyens de la résoudre.
Alors que le rapport de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) établissait l’an dernier que la demande d’assurance cyber était à son comble, fin 2022, avec une augmentation de 25 % du nombre d’entreprise assurées, en 2023, le marché français de la cyberassurance se concentre sur les grands groupes, à hauteur de 82 %. L’association relève aussi une augmentation significative du temps et des efforts nécessaires pour souscrire une assurance cyber. L’enquête menée par Censuswide révèle également que le nombre d’entreprises dont la souscription nécessitait six mois ou plus a connu une augmentation spectaculaire d’une année à l’autre. Dans le rapport 2022, une seule entreprise indiquait une durée de plus de six mois pour ce processus ; elles sont plus de vingt à avoir fait face à une durée similaire dans l’enquête de cette année.
Cette année, l’enquête de Censuswide dévoile de nouvelles tendances. Près de la moitié des entreprises a fait usage de leur cyberassurance à plusieurs reprises tandis que la majorité (67 %) des participants ont observé que leurs primes d’assurance cyber ont atteint des niveaux sans précédent lors de la souscription ou du renouvellement. Toutefois, les résultats de l’enquête ont mis en lumière une liste grandissante d’exclusions pouvant invalider la couverture de la cyberassurance, comprenant notamment l’absence de protocoles de sécurité en place (43 %), les erreurs humaines (38 %), les actes de guerre (33 %) ou encore le non-respect des procédures conformes (33 %). Même si les entreprises réussissent à obtenir ou à renouveler des polices d’assurance cyber abordables, leur demande peut être rejetée ou limitée en raison des clauses spécifiques du contrat.
Au cours de l’année écoulée, il est devenu évident que les assureurs spécialisés en cyber apprennent de leurs données et développent une plus grande expertise. Alors que, à l’aube de l’ère de la cyberassurance, leur objectif se limitait à satisfaire une demande en constante croissance, ils réalisent aujourd’hui l’importance de minimiser leur propre vulnérabilité face à des circonstances à la fois prévisibles et hors de leur contrôle. Toutefois, les résultats d’enquête révèlent que la plupart des entreprises abordent la question de la cyberassurance de manière inégale. Leur principal objectif est généralement d’obtenir une couverture, mais elles négligent souvent de vérifier si la police d’assurance qu’elles détenaient l’année précédente est toujours adaptée à leurs besoins actuels ou si des modifications ont été apportées lors du renouvellement. Ce manque de vigilance pourrait mettre de nombreuses entreprises dans une position précaire en cas d’incident de cybersécurité, les laissant sans filet de sécurité financier.
Souscrire : un défi croissant
pour les entreprises
Cependant, de nombreuses entreprises persévèrent dans leurs investissements en matière de cybersécurité pour protéger leurs infrastructures et satisfaire les demandes croissantes en matière de cyberassurance. Selon l’étude, 96 % ont adopté au moins une solution de sécurité avant même d’obtenir l’approbation de leur demande. De plus, 81 % d’entre elles ont réussi à mobiliser les ressources financières nécessaires pour souscrire la police d’assurance cyber souhaitée. Il est intéressant de noter que 36 % des répondants ont observé que cette démarche est désormais devenue une exigence des conseils d’administration et des équipes de direction.
Le marché français semble évoluer dans le même sens. D’après la 8e édition de son baromètre sur la cybersécurité des entreprises françaises (Cesin), les budgets alloués à la cybersécurité augmentent encore légèrement cette année. Ils dépassent majoritairement 5 % du budget IT global. 63 % des répondants anticipent une augmentation allouée aux dispositifs de protection, et 54 % à l’augmentation des effectifs. 82 % des entreprises prévoient d’acquérir de nouvelles solutions. In fine, 77 % estiment avoir les moyens de se prémunir d’une cyberattaque de grande ampleur, mais plus de la moitié se déclare limitée dans son aptitude à répondre et reconstruire.
Environ la moitié des personnes interrogées par Censuswide ont indiqué que leurs polices d’assurance cyber imposent des contrôles de gestion des identités et des accès (51 %), ainsi que de la gestion des accès à privilèges (49 %). Les responsables budgétaires ont répondu aux besoins en la matière : 50 % d’entre eux ont investi dans des solutions adéquates, 45 % ont acheté un coffre-fort de mots de passe et 44 % ont mis en place les contrôles de gestion des accès à privilèges requis pour garantir leur couverture.
La résilience des systèmes d’information face à des cyberattaques reste un maillon important à améliorer dans la stratégie de défense et, compte tenu du fait que la majorité des cyberattaques impliquent le vol d’informations d’identification, il est logique que les fournisseurs d’assurance exigent des mesures de sécurité connexes. Il est donc impératif que les entreprises non-équipées de ces solutions de contrôle d’accès les mettent en place avant d’envisager de souscrire ou de renouveler une cyberassurance. Ces mesures de sécurité sont cruciales pour compléter les stratégies de cybersécurité, en complément des éléments fondamentaux tels que les logiciels anti-malware, le chiffrement des données, le pare-feu, la détection d’intrusion, les mises à jour et la gestion des vulnérabilités. En investissant dans ces contrôles de sécurité essentiels, les entreprises peuvent renforcer leur résilience face aux menaces cybernétiques et améliorer leur position pour obtenir une couverture d’assurance adéquate.
