Quel équilibre pour le marché de l’assurance cyber ?

Cyber-assurance : le taux de pénétration est faible et sans surprise particulièrement sur le marché des PME et ETI.

La quantification du risque, bien connue des assureurs, reste difficile à mesurer de manière adéquate en raison de l’inadaptation des approches standards de modélisation liées au risque cyber.

La diminution du nombre d’attaques réussies s’explique en partie par la maturité défensive accrue des entreprises françaises. Elles ont su renforcer leurs défenses, limitant ainsi les possibilités d’intrusion et rendant la tâche plus ardue pour les cybercriminels. Mais il demeure une grande différence entre les moyens humains, technologiques et financiers entre les grands comptes et les PME. Avec un niveau général qui reste élevé, l’ANSSI note que cette menace touche de moins en moins d’opérateurs régulés et se déporte sur des entités moins bien protégées.

Quelle que soit la qualité de la préparation d’une organisation à répondre à une attaque de ransomware, son image risque de subir des dommages importants indépendamment de tous les autres facteurs. “Par ailleurs, la cyber-assurance ne garantit pas qu’une organisation sera en mesure de récupérer les pertes subies à la suite d’une attaque par ransomware” confie Guillaume Leseigneur, Cybereason.

Que l’on soit dans le rôle de l’assureur ou de l’assuré, il est essentiel de comprendre pleinement les risques associés à la cybercriminalité. “En ayant une vision globale du risque par l’ensemble de leur portefeuille d’assurés, les assureurs seraient en mesure d’adapter leurs offres, leurs garanties et leurs primes. Ainsi, un portefeuille équilibré, avec une vision dynamique et granulaire, leur permettrait d’assurer de nouveaux clients” explique Pouya Canet, Citalid.

Avec l’augmentation du volume des cyberattaques, il est désormais plus difficile d’obtenir une assurance cyber. Les pertes financières liées à une violation sont devenues disproportionnées par rapport aux primes demandées par les assureurs. Selon le rapport IBM Cost of a Data Breach Report 2023, le coût moyen mondial d’une violation de données en 2023 était de 4,45 millions de dollars, soit 15 % de plus qu’en 2020, tandis que la société d’analyse de la blockchain Chainalysis a constaté que les acteurs du ransomware gagneront près de 900 millions de dollars sur le dos des victimes cette année. La rançon moyenne versée en France s’élevant à plus de 370 000 €.

“Les attaquants vont jusqu’à utiliser les polices d’assurance cyber exfiltrées pour dicter leurs demandes de rançon” ajoute Adrien Merveille, Check Point.

La prévention trouve donc toute sa place pour améliorer la protection des entreprises pour réduire leur risque mais aussi pour améliorer les conditions de leur assurabilité. Assureurs et intermédiaires d’assurance l’ont bien compris et offrent de plus en plus de solutions complètes afin d’accompagner les entreprises dès la phase sensibilisation au risque afin d’incarner le rôle de partenaire dans l’ensemble du cycle de gestion du risque.

La quantification du risque, bien connue des assureurs, reste difficile à mesurer de manière adéquate en raison de l’inadaptation des approches standards de modélisation liées au risque cyber. Cependant, en 2021, la méthode FAIR est venue combler ce manque en proposant un modèle d’analyse du risque objective et quantifiable, qui permet d’estimer le risque de façon mathématique. “Pour être encore plus pertinente, celle-ci peut être enrichie dynamiquement par des modèles bayésiens afin d’être plus exhaustive” explique Pouya Canet, Citalid.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.