CYBER SECURITE

Une Complexité Assurantielle !

Imprévisible et incertaine, la cyber criminalité éprouve la vulnérabilité des entreprises et confronte les assureurs à l’évaluation d’un risque nouveau, difficile à défier.

Comment appréhender ce danger souvent insaisissable et permettre aux assureurs de répondre à la crainte des entreprises ?

Adversité Partagée

Face à la double croissance du marché numérique d’une part et de la cyber criminalité d’autre part, les entreprises et les assureurs sont confrontés aux enjeux et aux défis d’une société digitale nouvelle.

Faire preuve de vigilance ne suffit pas : la vitesse de transmission, l’ampleur des réseaux informatiques et la virulence des attaques sont autant de dynamiques à combattre pour les entreprises, à évaluer pour les assureurs.

La considération des conséquences d’une cyber attaque – dysfonctionnements des logiciels, indisponibilités et/ou arrêts des systèmes, vols des données confidentielles – explique la hausse de la demande en assurance cyber ; néanmoins, la plupart des TPE/PME ne sont pas protégée car les assurances peinent à estimer la menace en termes de nature, de fréquence et de sévérité.

En effet, ces trois variables restent aléatoires et bouleversent l’approche statistique des compagnies d’assurance, lesquelles durcissent les conditions d’éligibilité et augmentent leurs primes. Mais cette réponse assurantielle n’est pas alignée aux besoins de nos petites et moyennes entreprises, victimes exclues, car toutes ne disposent pas d’un budget sécuritaire.

TPE / PME : Contre-Attaque

Cyber Audit
Établir des questionnaires proches de la cyber réalité

La solution envisagée par les assureurs qui consiste à poser des questions pour estimer un risque est une initiative insuffisante ; les questionnaires sont binaires, ils simplifient une réalité complexe et ne permettent pas de cibler la/les vulnérabilité/s critique/s.

Mesurer les risques sans atteindre ses divisions névralgiques ne peut pas être concluant.

De même, déconsidérer la solidité des infrastructures et mésestimer la sensibilisation des collaborateurs mènent à de faibles conclusions.

Pour être en mesure de comprendre finement un risque, l’assureur doit s’affranchir de son approche habituelle pour se tourner vers la cyber expertise : il doit réfléchir comme un attaquant ! Chercher et exploiter les failles, s’introduire dans le système informatique, accéder aux données sensibles… Au travers de ces simulations mentales, l’assureur se trouve en capacité d’évaluer la réelle cyber maturité d’une entreprise.

Stratégie d’Anticipation
Réfléchir comme un cyber attaquant pour répondre au cyber risque

Si l’expansion du digitale et du numérique stimule l’imagination des attaquants, la contre-attaque doit avoir un coup d’avance.

Il s’agit d’une approche davantage technique utilisée par les entreprises de taille intermédiaire et par les grands groupes, grâce aux solutions comme Bitsight et SecurityScorecard.

Cependant, une problématique demeure pour les TPE et les PME : à la charge sécuritaire qui leur revient d’assurer, s’ajoute la charge financière.

Réponse Proactive
Une action immédiate à chaque nouvel assaut pour limiter les impacts

Si la menace vient de partout et de nulle part, les cyber attaquants sont tout le monde et personne. Ces véritables génies « excellent » chaque jour et finissent toujours par déjouer un nouveau système de sécurité mis en place.

Le fait est que la posture de risque prise par l’assureur peut être excellente à l’instant T, sans intérêt quelques mois plus tard. Au titre d’une prévention à longs termes, il revient à l’assureur de contrôler la portée de la défense de ses assurés, et ce durant la période contractuelle. Il devient un acteur clef qui dispose des informations sur l’état de la menace, permettant une mise à jour permanente du niveau de défense.

Cyber Expertise
Prévenir le risque systémique pour aligner les intérêts

Si une nouvelle vulnérabilité apparaît et touche de nombreux assurés, l’assureur prévient aussitôt ses clients non-affectés, réduisant la sinistralité de l’évènement tout en sauvegardant les intérêts de chacun.

Intégrer la cyber expertise pour protéger les assurés

Les compagnies d’assurance sont de plus en plus préoccupées par leurs clients TPE et PME, pour lesquels elles intègrent la cyber expertise au sein de leurs équipes : le développement d’outils de prévention simples et accessibles tels que les scanners de vulnérabilités ou les simulateurs de phishing , permet de monitorer 1 le risque dans le temps et de le surveiller en continu.

In fine, les assureurs pourront constituer leur propre base de données en associant les indicateurs de cyber maturité aux sinistres, une analyse indispensable pour actualiser un modèle adapté aux profils cyber risques des TPE et PME.

Malheureusement, ces outils de prévention et de sensibilisation restent insuffisamment exploités face à l’ampleur d’une menace multi-facette.