Un enjeu majeur pour les assureurs
Tout l’enjeu de ces prochaines années sera de trouver un équilibre efficace pour lutter contre les cyber-attaques, qui, nous l’avons vu, sont de plus en plus nombreuses et protéiformes.
Alors que faire ?
Afin de se protéger car il s’agit aussi du but de l’assurance, les assureurs tissent depuis quelques années, des partenariats avec des ESN, ou de jeunes start-up spécialisées dans la cyber-sécurité et la protection des données.
Ce nouvel écosystème de partenariats permet aux compagnies d’assurance de proposer à leurs clients un pack de protection très étendu, allant des tests d’intrusion jusqu’au paiement des rançons.
Il existe déjà plusieurs formes de partenariats sur le marché :
- La première consiste à inclure au contrat un service de rétablissement du système informatique post intrusion et de fournir une équipe d’experts de gestion de crise.
- La seconde consiste à conseiller les assurés sur la sécurité de leur système informatique et de vendre des outils de protection permettant de réduire les vulnérabilités de leurs systèmes. Des formations sont également proposées dans le cadre de grandes campagnes de prévention au sein des entreprises (dispensées par des cabinets spécialisés).
La prévention, fer de lance de la lutte contre les cyber-attaques
L’avènement à marche forcée du télétravail n’a pas encore permis à la majorité des entreprises de se doter d’une politique complète de cyber-protection et de prévention. Être en possession d’un ordinateur professionnel ne nous protège pas de toutes les attaques lorsque l’on se connecte sur un réseau internet « personnel » et non « professionnel ».
Force est de constater que la majorité des intrusions arrivent encore par l’action d’un humain et dans 80% des cas (*CESIN, OpionWay 2019) ce sont des attaques basiques qui permettent une intrusion ou un vol de données (plus ou moins grave).
La prévention devrait être le maître mot de cette lutte contre les attaques informatiques en entreprise, en assurant la bonne formation des employés, bien documenter le sujet et rendre accessible facilement cette documentation. Avoir un contact d’urgence en cas de doute. Cette prévention qui doit partir des entreprises touchera petit à petit les différentes sphères de l’entourage du salarié.
- Familial tout d’abord, si nous sensibilisons l’entourage de notre foyer, nous réduisons les risques d’attaques et de propagation de ces attaques.
- Amical, en croisant les différents éléments de prévention et de sensibilisation dispensées à travers différentes entreprises, ce partage entre amis permettra de sensibiliser ou de compléter la formation déjà reçue.
2020 a été, à plus d’un titre, une année mouvementée pour les RSSI (lien ci-contre). Malgré l’inquiétude grandissante autour du sujet de la cyber-sécurité, les moyens déployés restent encore relativement faibles. En 2020, selon un sondage en France mené auprès de plusieurs centaines de RSSI, le budget alloué à leur activité et la cyber-protection ne représentait en moyenne que 5% de l’enveloppe IT de leur entreprise…
Se doter d’une infrastructure robuste, bien que nécessaire ne pallie pas à notre naïveté sur notre environnement. Notre meilleure arme reste la connaissance et la sensibilisation à ce monde.
De grandes entreprises d’assurance ont publié des livres blancs sur la prévention, avec une liste d’actions à mener, à planifier, à rappeler, etc…
Le volet de la formation et de la sensibilisation aux cyber-risques ne peut se jouer qu’au niveau des entreprises, les compagnies d’assurance, mutuelles ou autres organismes assurantiels peuvent à leur niveau intervenir en fournissant des kits de prévention, des e-learning, des serious games, ou d’autres sortes de données d’accompagnement pour les entreprises mais elles ne peuvent intervenir sous une autre forme puisque les solutions assurantielles ne rentrent en vigueur qu’au moment où le sinistre a eu lieu (principe fondamental de l’assurance).
Etat des lieux du marché
Nous pouvons voir que sur la place, un certain nombre d’assureurs ont déjà franchi le pas et proposent des solutions dans le pack cyber qui ont été externalisées.
La MAIF a tissé un partenariat avec F-Secure à travers une nouvelle offre « Sécurité Numérique », lancée en 2019. Celle-ci propose à ses adhérents des tarifs préférentiels pour souscrire à un abonnement chez F-Secure, permettant ainsi de sécuriser tous les appareils numériques d’un adhérent (Antivirus, protection des mots de passe, protection de la vie privée en ligne et accompagnement parental, sans oublier la protection bancaire).
La MAIF a fait le choix d’offrir à ses adhérents une offre qui leur permettra de se protéger, de se prémunir contre les cyber-attaques (vol de données personnelles, virus, malware, etc…).
Un autre assureur avait déjà franchi le pas quelques mois plus tôt. C’est le cas de QBE (assureur mondial implanté dans 27 pays et employant plus de 11 000 personnes). Cet assureur propose via un partenariat avec Sysdream (division Cyber-sécurité du Groupe Hub One), un service de tests d’intrusion externe. Cette fonctionnalité était associée à l’offre assurance QBE Cyber Response.
Ici QBE veut également agir en amont du risque en proposant à ses clients de mesurer le risque associé à de potentielles attaques externes. Sysdream opère pendant 5 jours des attaques de tout type sur l’entreprise et rend un rapport à l’entreprise lui indiquant les failles de sécurité et les risques auxquels elle est exposée. Ce rapport comporte aussi une liste de recommandations et d’outils pour améliorer la sécurité informatique.
Ce type de prestation se trouve assez facilement sur le marché des entreprises spécialisées en cyber-sécurité, la nouveauté était qu’elle soit proposée par un assureur à ses clients.
Continuons l’exploration de ces partenariats avec une solution proposée par AXA XL et Accenture. Ici les deux géants mondiaux de l’assurance et du conseil s’associent pour proposer à leurs courtiers et leurs clients une expertise globale en matière de cyber-sécurité.
Cette analyse, via les services de l’équipe iDefense threat intelligence d’Accenture permettra d’établir des rapports complets et personnalisés afin d’identifier toutes les failles de sécurité d’une entreprise et l’aider à mettre en place des mesures visant à limiter ses risques.
« Accenture deviendra le prestataire stratégique post-incident pour les clients d’Axa XL en dehors des Etats-Unis » précise AXA XL.
Les premiers acteurs du monde de l’assurance investissent de plus en plus auprès de startups. Soupe primordiale d’innovation et d’agilité, les startups, soutenue par de grands groupes qui ont la puissance financière de faire avancer les projets, permettront de développer de nouvelles offres, de nouveaux partenariats afin d’offrir à leurs clients un panel de garanties et de services toujours plus grands.
Pour autant cette couverture ne protège pas d’une nouvelle attaque de la part du même groupe cyber-criminel ou d’un autre. Si à court terme, payer la rançon est le moyen le plus simple et souvent le moins cher de recouvrer ses données, cette incitation à payer valide plutôt le modèle économique des cyber-criminels et les amène à augmenter les rançons et à multiplier leurs attaques.
L’éditeur de Sophos mentionnait dans un rapport de janvier 2018 que la moitié des victimes de rançongiciels l’étaient plusieurs fois.
Certaines sociétés camouflent le fait qu’elles paient la rançon en prestations de déchiffrement des fichiers à l’aide d’expertise technique interne. Pire, certaines de ces sociétés ont même développé des liens avec des groupes cyber-criminels, afin de négocier des rançons.
Seules les assurances cyber-sécurité peuvent protéger une entreprise contre les pertes qu’une cyber-provoque. Elles sont également les seules à vous couvrir en cas d’erreur non intentionnelle de manipulation.