La menace des cyberattaques n’est pas nouvelle, mais les ransomware s’avèrent plus efficaces que jamais pour générer des revenus. Cette situation a poussé les entreprises à se tourner vers l’assurance pour se protéger de l’impact financier considérable que peuvent avoir ces attaques. La demande ayant atteint des niveaux sans précédent, le secteur est devenu très volatile. Les primes augmentent, les règles sur ce qui est couvert et ce qui ne l’est pas sont plus nombreuses et des normes minimales ont été introduites pour les organisations qui souhaitent s’assurer. Cela peut sembler une mauvaise nouvelle pour les entreprises, mais beaucoup d’entre elles devraient en fin de compte considérer cette évolution comme positive.
Une assurance pour le monde numérique
La cybersécurité est parfois perçue comme le royaume de l’ombre. En réalité, les mondes physique et numérique se ressemblent bien plus qu’on ne le pense. Il y a trente ans, les entreprises qui cherchaient à protéger leurs biens essentiels pensaient d’abord à l’assurance contre l’incendie et le vol. Aujourd’hui, les risques sont davantage de nature numérique. Selon le rapport Veeam Data Protection Trends Report 2024, trois organisations sur quatre ont subi au moins une attaque par ransomware au cours de l’année écoulée, et une sur quatre a été attaquée plus de quatre fois au cours de cette période.
Il n’est donc pas étonnant que la cyberassurance soit devenue une option évidente pour de nombreuses organisations. Selon les prévisions, elle devrait croître de 24 % pour atteindre un chiffre d’affaires de 84,62 milliards de dollars d’ici à 2030. Mais comme le nombre d’entreprises qui souscrivent une assurance et réclament des indemnisations ne cesse de croître, le coût de ce type d’assurance ne cesse de croître lui aussi, avec une augmentation ininterrompue des primes au cours des trois dernières années. Ce n’est pas le seul changement opéré par les assureurs qui cherchent à rentabiliser la cyberprotection : une évaluation plus poussée des risques, l’introduction de normes de sécurité minimales et une réduction de la couverture sont devenues des pratiques courantes ces dernières années.
Ne pas nourrir les criminels
La cyberassurance est devenue une pomme de discorde ces derniers temps ; cela se résume principalement à la question à un million de dollars concernant les ransomware : payer ou ne pas payer ? Si beaucoup réfutent l’idée que les entreprises assurées sont plus susceptibles de payer des rançons, un rapport de 2023 sur les victimes a révélé que 77 % des rançons ont été payées par l’assurance. Des nombreux assureurs tentent toutefois de mettre un terme à cette pratique. Selon le même rapport, 21 % des organisations excluent désormais explicitement les ransomware de leurs polices d’assurance. Nous avons également vu d’autres organisations exclure spécifiquement de leur police le paiement de rançons – la couverture portant sur le coût des temps d’arrêt et des dommages, mais pas sur le coût de l’extorsion.
À mon avis, c’est cette dernière approche qui est la meilleure. Le paiement des rançons n’est pas une bonne idée et n’est pas la raison d’être de l’assurance. Ce n’est pas seulement une question d’éthique et de renforcement de la criminalité, mais le fait que le paiement de la rançon ne résout pas immédiatement le problème – et en crée souvent de nouveaux. Tout d’abord, les gangs de ransomware « marquent » les entreprises qui paient afin de les réattaquer une deuxième fois ou de partager ces informations avec d’autres gangs. Une étude a montré que 80 % des entreprises qui ont payé une rançon ont été touchées une deuxième fois. Mais même avant d’en arriver là, la récupération après paiement d’une rançon est rarement une sinécure. Il faut beaucoup de temps pour récupérer les clés de décryptage fournies par les attaquants – c’est souvent intentionnel, car certains groupes font payer la clé pour accélérer le processus. Si le décryptage fonctionne, une entreprise sur cinq paie une rançon et se retrouve dans l’incapacité de récupérer ses données.
Renforcer les normes
Le paiement de rançons avec l’argent des assurances est, heureusement, en train de disparaître. Mais ce n’est pas le seul changement. Les entreprises qui ont besoin d’une cyberassurance sont de plus en plus souvent tenues de respecter des normes minimales en matière de sécurité et de résilience aux ransomware. Cela peut inclure l’utilisation de sauvegardes cryptées et immuables et la mise en œuvre de pratiques exemplaires en matière de protection des données, comme le principe du moindre privilège (ne donner l’accès qu’aux personnes qui en ont besoin) ou le principe des quatre yeux (exiger que les changements importants ou les demandes soient approuvés par deux personnes). Certaines polices exigent également des entreprises qu’elles disposent de plans solides pour garantir la disponibilité des systèmes, y compris des processus de restauration après sinistre bien définis pour éviter les temps d’arrêt dus à une attaque de ransomware. Après tout, plus un environnement est indisponible longtemps, plus le coût de l’indisponibilité est élevé et, avec lui, le coût de la demande d’indemnisation.
Quoi qu’il en soit, les entreprises devraient instaurer toutes ces mesures. S’il n’y a qu’une assurance associée à des processus de protection et de récupération des données peu convaincants, les indemnités d’assurance ne feront que masquer les fissures. L’introduction de normes minimales est une bonne nouvelle pour les entreprises. Non seulement elles feront baisser le coût des primes à long terme, mais les principes de sécurité qu’elles imposent auront plus de valeur pour les entreprises que ne l’avait l’assurance au départ. La cyberassurance n’est pas une solution miracle, mais elle peut être un élément bénéfique d’une stratégie plus large de cyberrésilience. Les deux sont utiles, mais s’il ne fallait en avoir qu’une, la résilience serait toujours privilégiée. Heureusement, les assureurs sont du même avis, car les entreprises non protégées deviennent trop peu rentables pour être couvertes.
La cyberassurance, en particulier celle qui concerne les ransomware, évolue vers un monde où les entreprises assurées ont une forte résilience cybernétique, des plans de restauration après sinistre bien définis et n’utilisent l’assurance que pour atténuer l’impact des attaques et le coût des temps d’arrêt pendant qu’elles se rétablissent grâce à des sauvegardes immuables. Un tel contexte est bien plus résistant aux ransomware que celui où les entreprises dilapident l’argent de l’assurance.
Ceci est une contribution soumise par Edwin Weijdema, Field CTO & Lead Cybersecurity Technologist Veeam