Face à la multiplication des cyberattaques, les assureurs augmentent leurs primes et élèvent le niveau d’exigence. En donnant des gages de bonne gouvernance IT, la DSI permet à l’entreprise de souscrire le meilleur contrat d’assurance cyber possible.
Depuis le début de la crise sanitaire, la menace cyber a fortement augmenté. Opportunistes, les hackers intensifient les attaques contre des organisations fragilisées avec la généralisation du télétravail. Selon l’ANSSI, le nombre de victimes a été multiplié par quatre en 2020. « La menace cyber est devenue le premier risque professionnel », estime Marc-Henri Boydron fondateur du courtier Cyber Cover. « Sans système d’information, difficile de concevoir l’avenir et beaucoup de sociétés ont déposé le bilan après un sinistre », ajoute-t-il.
Si l’assurance fait partie de la panoplie d’une entreprise pour se protéger du risque cyber, les conditions de souscription se sont fortement durcies ces derniers mois. « Face à la multiplication des ransomwares, les sociétés d’assurances ont enregistré un solde négatif, indemnisant plus de sinistres qu’elles ne collectaient de primes », observe Jean Bayon de la Tour, responsable de l’activité cyber chez Marsh Europe. « Résultat, elles ont restreint les conditions d’accès, augmenté les primes – parfois de plus de 50 % –, et limité la couverture du risque cyber. »
De fait, les chiffres parlent d’eux-mêmes. Selon une étude de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), parue en mai, le montant des indemnisations versées a été multiplié par près de trois entre 2019 et 2020, passant de 73 à 217 millions €. Sur la même période, le ratio sinistres sur primes a, lui, crû de 84 % à 167 %. L’étude montre aussi que si 87 % des grandes entreprises ont souscrit un contrat d’assurance cyber, seules 8 % des ETI sont couvertes.
Non seulement les primes flambent, mais le niveau d’exigence des compagnies d’assurances aussi. Dans ce contexte, le DSI ou le RSSI joue un rôle clé en amont de la souscription. Dans la rédaction du questionnaire déclaratif que doit remplir l’assuré, il donnera des gages en termes de gouvernance ou de mesures de protection afin d’obtenir la meilleure police possible. « Un assureur peut préconiser le déploiement d’outils de prévention, et si une entreprise ne le met pas en œuvre, elle doit justifier des mesures alternatives qu’elle a prises », avance Jean Bayon de la Tour.
« Avant ce travail de mise en conformité assurantielle, huit dossiers sur dix ne sont pas éligibles », complète Marc-Henri Boydron. Et quand le dossier passe, il s’agit de réduire le montant de la prime. « Pour le même type d’organisation, il peut aller du simple au double si le risque cyber est mal sécurisé. » Pour préparer le meilleur dossier, il est conseillé de passer par un courtier qui aura une vue globale de l’offre. « Les assureurs ont des approches différentes et proposent des niveaux de garanties et d’exclusions très variables », estime Craig Dunn, responsable du cyber chez Hiscox.
Ce dernier préconise aussi d’effectuer un test de vulnérabilités avant la souscription. « En fonction des résultats, des recommandations seront soumises à l’entreprise qui apportera les actions correctives nécessaires. »
Quelles exigences pour les assureurs ?
« Pour les PME réalisant moins de 50 millions d’euros de chiffre d’affaires, les exigences des assureurs sont relativement simples », avance Marc-Henri Boydron. « L’entreprise a mis en place un antivirus, un antimalware et un pare-feu. Elle applique une politique stricte de patching et de mises à jour et réalise des sauvegardes a minima toutes les semaines. Ces sauvegardes sont déconnectées et externalisées – les hackers cherchent à les corrompre – et testées au moins une fois par an. C’est un élément essentiel. Une sauvegarde défectueuse ou incomplète compromettrait fortement la restauration. »
La sensibilisation des collaborateurs aux risques cyber est un élément pris en compte par les assureurs. Elle donne lieu à des piqûres de rappel régulières sous forme de réunions, d’alertes ou de fausses campagnes de phishing. Les entreprises de taille plus importante ajouteront à cette liste l’authentification multifacteurs – a minima pour les comptes administrateurs – et un VPN pour sécuriser les accès distants.
« La compromission d’identifiants et l’élévation de privilèges se retrouvent fréquemment dans les sinistres analysés », note Marc-Henri Boydron. La gouvernance dans la gestion des mots de passe et des habilitations est donc regardée de près. Le chiffrement de données sensibles, la mise en quarantaine des e-mails suspects (sandboxing) ou une stratégie de PCA/PRA tenue à jour sont également des éléments appréciés des assureurs.
Pour sa part, le courtier Marsh a listé douze points de contrôle pour guider les entreprises. Il s’agit, entre autres, de mettre en place une authentification multifacteurs (MFA) et un plan de gestion de crise ou assurer la segmentation des réseaux. « Si ces conditions ne sont pas réunies, cela peut être rédhibitoire du point de vue de l’assureur », affirme Jean Bayon de la Tour.
Ensuite, tout dépend du profil de l’organisation, de son secteur d’activité ou de sa culture. Les exigences seront plus fortes pour une société financière ou un établissement de santé. « Aucune entreprise n’a la même exposition aux risques, poursuit-il. Et s’il n’y a pas de contrat type, on retrouve toutefois des blocs de garanties d’un document à l’autre. »
Le cloud est-il couvert ?
Selon Jean Bayon de la Tour, l’assurance agit comme un catalyseur. « En analysant les sinistres, un assureur dispose d’une bonne vision des points de contrôle qui fonctionnent et donc il aura tendance à les imposer. Pour une entreprise souscrire à une assurance cyber montre qu’elle a atteint un certain niveau de maturité en cybersécurité. Cela devient comme un Graal, supérieur aux normes et certifications de type ISO 27001 et NIST. »
Si on est davantage sur du sur mesure, les experts conseillent de bien lire les conditions générales et s’attarder notamment sur la définition du système d’information. Est-ce qu’il est envisagé comme un SI étendu aux sous-traitants ? Par ailleurs, avec la généralisation du cloud, l’entreprise voit ses données éparpillées en de multiples lieux.
Pour Jean Bayon de la Tour, un contrat cyber doit couvrir la perte d’intégrité de données, qu’elles soient hébergées sur les propres serveurs de l’entreprise ou dans l’infrastructure d’un tiers. « Des polices complémentaires couvriront, elles, les dommages matériels consécutifs à un incendie, par exemple. »
Une assurance cyber couvre les pertes d’exploitation, les frais liés à la restauration du système d’information, mais aussi les dommages subis à un tiers si la responsabilité civile de l’assuré est engagée. Au-delà de ce volet indemnisation, il y a le volet services. L’assureur envoie des experts qui vont identifier la menace, évaluer l’ampleur de l’attaque et le volume de données exfiltrées.
Des experts juridiques prennent en charge la déclaration à la CNIL, des professionnels en communication de crise tentent de limiter les impacts du sinistre sur l’image de l’entreprise. « Une assurance auto prévoit une assistance pour remorquer une voiture en panne et le prêt d’un véhicule de remplacement, illustre Marc-Henri Boydron. Un contrat cyber tient le même rôle. »
Indemniser ou non le paiement d’une rançon ?
Dans le cas d’un ransomware, une entreprise peut bénéficier de l’intervention d’experts en négociation qui, en dialoguant avec les hackers, vont essayer d’annuler la rançon ou du moins de la réduire. In fine, c’est à l’assuré qui prend la décision de payer ou pas. « En théorie, tout le monde est contre », rappelle Jean Bayon de la Tour. « Aucun client ne souhaite la payer et tout est mis en œuvre pour que cela ne soit pas le cas. Cela étant, la réalité rattrape la théorie quand l’activité d’une entreprise, voire sa survie, est en jeu. »
Le débat s’est ouvert aux Pays-Bas sur la possibilité d’interdire le paiement des rançons. Certaines sociétés d’assurances ont pris le parti de ne plus rembourser leurs clients extorqués. C’est le cas d’AXA et de Generali en France. « Nous interrogeons nos clients pour savoir s’ils souhaitent ou non souscrire cette garantie », précise Jean Bayon de la Tour. À ses yeux, « l’exclusion éventuelle de ce risque ne va pas changer la rentabilité des contrats. Il s’agit d’un débat idéologique et c’est au régulateur de trancher ».
Un contrat cyber a une durée d’un an. Durant cette durée, l’entreprise s’engage à continuer les bonnes pratiques de cybersécurité comme les 40 règles d’hygiène informatique de l’ANSSI. De son côté, « un assureur peut alerter sur de nouvelles vulnérabilités et la mise à disposition de patchs, mais pas imposer d’exigences supplémentaires », complète Jean Bayon de la Tour. « Nous luttons contre l’introduction de nouvelles clauses en cours de contrat. » En revanche, un bilan est effectué à l’échéance afin de s’assurer que la réalité déclarée est toujours conforme à la situation actuelle. Ce bilan annuel permet d’actualiser le tarif du contrat à la hausse ou à la baisse.
La prime sera certainement réévaluée à la hausse, « toute organisation devrait penser à souscrire un contrat », conclut Marc-Henri Boydron. « Une PME qui réalise moins de dix millions d’euros de chiffre d’affaires peut avoir un bon niveau de couverture pour une prime de 1 500 € par an. »
Voir aussi : Assurances cyber : le PRA obligatoire ? Témoignages de deux RSSI
