Polices d'assurance cyber : attention aux pièges !
Points clés
- La majorité des entreprises (4 sur 5) ont subi une cyberattaque qui n'était pas entièrement couverte par leur police d'assurance cyber.
- De nombreuses entreprises comptent sur l'assurance cyber pour couvrir les pertes résultant d'incidents cyber, mais sont souvent surprises de constater que leur assurance ne couvre qu'une petite partie.
- Une liste croissante d'exclusions pourrait annuler la couverture d'assurance cyber, notamment l'absence de protocoles de sécurité, les erreurs humaines et le non-respect des procédures de conformité.
Une couverture inadéquate laisse les entreprises exposées
Vous pensez être couvert en cas d'attaque informatique grâce à votre police d'assurance cyber, n'est-ce pas ? Détrompez-vous ! Une nouvelle étude choc révèle que la plupart des entreprises subissent en réalité d'énormes pertes financières non couvertes après une violation de données.
Selon une analyse de la société CYE spécialisée dans la quantification des risques cyber, 4 entreprises sur 5 ont été victimes d'une cyberattaque qui n'était pas entièrement prise en charge par leur assurance. En d'autres termes, leurs polices comportaient de sérieuses lacunes qui les ont laissées complètement démunies face au coût faramineux des dommages.
Des trous béants dans la couverture
Mais à quel point ces lacunes sont-elles importantes ? Les chiffres sont tout simplement ahurissants. En moyenne, chaque faille dans la couverture d'assurance a laissé plus de trois quarts d'une violation de données non couverts. Concrètement, cela représente des pertes astronomiques de 27,3 millions de dollars en moyenne (aux USA) par incident pour les entreprises touchées !
Imaginez un peu la scène. Vous venez d'essuyer une cyberattaque dévastatrice qui a mis à mal vos systèmes et exposé les données sensibles de millions de clients. Persuadé d'être protégé, vous vous tournez vers votre assureur, soulagé de pouvoir compter sur une indemnisation rapide. Et là, l'horreur : on vous annonce que seul un quart des dégâts sera pris en charge.
Une fausse impression de sécurité
Pourquoi une telle situation ? Selon Nimrod Partush, vice-président de la data science chez CYE, de nombreuses sociétés "comptent sur l'assurance cyber pour couvrir les pertes subies à la suite d'incidents cyber, puis sont surprises de constater que leur assurance ne couvre qu'une petite partie".
On le comprend aisément : qui d'entre nous prend vraiment le temps d'éplucher les tonnes de clauses restrictives contenues dans les contrats d'assurance ? On se fie à une impression générale de couverture, sans se douter des pièges qui nous attendent.
Pourtant, les assureurs ne cachent pas leurs intentions. Selon un sondage de 2023 réalisé par l'entreprise de cybersécurité Delinea, les polices comportent une "liste croissante d'exclusions" susceptibles d'annuler purement et simplement la couverture. Parmi ces exclusions :
- Le manque de protocoles de sécurité adéquats
- Les erreurs humaines
- Les actes de guerre
- Le non-respect des procédures de conformité
Autant d'éléments qui peuvent servir de prétexte aux assureurs pour refuser d'indemniser les victimes. Un véritable parcours du combattant pour les entreprises !
Une demande d'assurance exponentielle
Face à la recrudescence des cybermenaces, il n'est guère surprenant que la demande pour l'assurance cyber explose. Selon l'Insurance Information Institute, un organisme représentant le secteur, les primes d'assurance cyber écrites directement dans le monde pourraient grimper à 23 milliards de dollars d'ici 2025.
Les entreprises américaines, principales clientes pour ce type de couverture, devraient représenter environ 56% de ce montant faramineux. Une augmentation fulgurante qui s'explique par leur exposition croissante aux violations de données, en raison notamment :
- De l'essor de l'Internet des objets
- De l'expansion du télétravail
- De l'utilisation accrue du cloud pour le stockage des données
Face à ces nouveaux risques, il devient indispensable pour les sociétés de se prémunir. Mais gare aux pièges !
Choisir son assurance cyber avec la plus grande vigilance
"Notre enquête révèle que la plupart des organisations n'abordent pas l'assurance cyber avec la même diligence - elles cherchent simplement à être couvertes", déplore Joseph Carson, chercheur en sécurité chez Delinea.
Et d'ajouter : "Ce qu'elles ne vérifient pas, c'est si la police qu'elles avaient l'année dernière est celle dont elles ont besoin maintenant, ou si leur police a changé au moment du renouvellement."
Un constat navrant qui montre à quel point de nombreuses entreprises souscrivent des polices d'assurance à l'aveuglette, sans réellement s'assurer de la qualité de la couverture. Une négligence qui peut leur coûter une fortune en cas de sinistre !
Comment bien choisir son assurance cyber ?
Pour éviter les mauvaises surprises, il est crucial d'être particulièrement vigilant lors de la souscription d'une police d'assurance cyber. Voici quelques conseils à suivre absolument :
-
Lisez attentivement le contrat - Et je ne parle pas d'un survol rapide, mais bien d'une lecture approfondie de l'intégralité des clauses, y compris les plus petits caractères. N'hésitez pas à faire appel à un juriste en cas de doute.
-
Comparez les offres - Ne vous contentez pas de la première proposition venue. Étudiez plusieurs devis d'assureurs différents et comparez scrupuleusement les garanties, les exclusions, les franchises, etc.
-
Réévaluez régulièrement - Vos besoins en assurance évoluent avec le temps. Revoyez votre couverture au moins une fois par an pour vous assurer qu'elle est toujours adaptée.
-
Soyez irréprochable - Respectez scrupuleusement les protocoles de sécurité exigés par votre assureur. Tout manquement pourrait lui donner un prétexte pour refuser la prise en charge.
-
Formez vos équipes - La principale faille de sécurité reste souvent l'erreur humaine. Assurez-vous que vos employés sont régulièrement formés aux bonnes pratiques.
En suivant ces quelques règles de base, vous réduirez grandement les risques de vous retrouver sur la paille en cas d'attaque informatique majeure. Une précaution qui vaut définitivement son pesant d'or !
Les erreurs à éviter absolument en matière de sécurité informatique
Pour éviter les conséquences néfastes en matière de sécurité informatique, il est crucial de ne pas négliger les mises à jour régulières des logiciels et des systèmes d'exploitation. De plus, il est primordial de ne pas utiliser des mots de passe faibles ou faciles à deviner, mais plutôt d'opter pour des combinaisons complexes. Il est également essentiel de ne pas cliquer sur des liens suspects ou des pièces jointes provenant de sources inconnues pour éviter les attaques de phishing. En outre, il ne faut jamais partager ses informations personnelles ou confidentielles avec des tiers non fiables. Enfin, il est recommandé de ne pas négliger l'importance de la sauvegarde régulière des données cruciales pour prévenir toute perte catastrophique.
Conclusion
Cette étude de CYE nous fait réaliser une vérité dérangeante : bien que de plus en plus d'entreprises souscrivent une assurance cyber, la plupart d'entre elles ne bénéficient en réalité que d'une couverture très partielle, voire dérisoire.
Avec les pertes non couvertes, le coût financier et organisationnel d'une cyberattaque peut s'avérer tout simplement catastrophique pour de nombreuses sociétés. Un risque que peu peuvent se permettre de prendre à la légère.
Plus que jamais, il est donc impératif de redoubler de vigilance lors du choix d'une police d'assurance cyber. En étudiant scrupuleusement les contrats, en comparant les offres et en respectant rigoureusement les exigences des assureurs, vous vous éviterez bien des désillusions.
