Le cyber-risque est inévitable. Dans l’environnement actuel, l’objectif ne devrait pas être d’éradiquer le risque, mais plutôt de le gérer aussi efficacement que possible. Les deux principales approches sont le traitement par le déploiement de cyber-contrôles et la modification des comportements des utilisateurs, ainsi que le transfert de risque via la cyberassurance. Ces approches sont interconnectées : des contrôles stricts diminuent le risque, facilitant ainsi l’accès à une couverture, tandis que des contrôles faibles augmentent le risque, rendant ainsi plus difficile la souscription de polices d’assurance abordables.

Nous venons de publier un nouveau rapport qui explore cette relation en profondeur. S’appuyant sur une enquête indépendante menée auprès de 5 000 responsables IT, cette dernière examine le niveau de souscription de cyberassurance par les entreprises de taille moyenne, en mettant en évidence les facteurs influençant l’achat, l’impact des investissements en matière de défense sur l’assurabilité et les raisons pour lesquelles les coûts des cyber-incidents ne sont pas toujours entièrement couverts.

Résumé

Face aux inévitables cyberattaques, l’adoption d’une approche holistique au niveau de la gestion des cyber-risques tirant parti de l’interaction entre les cyberdéfenses et la cyber-assurance permettra aux entreprises de réduire leur TCO (Total Cost of Ownership) en matière de gestion des cyber-risques tout en réduisant la probabilité d’être victime d’un incident majeur.

L’étude révèle également qu’investir dans la cyberdéfense permet non seulement d’obtenir une assurance plus facilement et à moindre coût, mais améliore également la protection tout en réduisant la charge de travail informatique. Cette enquête souligne en outre l’importance de considérer les investissements liés aux cyber-risques de manière globale, plutôt que comme des composants individuels.

L’un des sujets de préoccupation mis en évidence par l’enquête est la possibilité que les souscriptions de polices d’assurance ne soient pas alignés sur les besoins des entreprises. La cyberassurance est un investissement, les polices doivent donc couvrir les bons risques. Toutes les parties prenantes, en particulier les équipes informatiques et de cybersécurité, doivent être impliquées dans le choix des polices afin de garantir qu’elles répondent aux besoins de l’entreprise.

Le recours à la cyberassurance est très répandu

L’enquête confirme que le recours à la cyberassurance est très répandu parmi les entreprises comptant entre 100 et 5 000 employés, 90 % des entreprises bénéficiant d’une certaine forme de cyber-couverture. 50 % ont une police d’assurance spécifique tandis que 40 % ont une cyber-couverture dans le cadre d’une police d’assurance générale, telle qu’une police de type responsabilité civile. Les niveaux de souscription sont élevés dans les 14 pays étudiés, Singapour signalant la plus forte propension à bénéficier d’une couverture.

La prise de conscience générale de l’impact des cyberattaques sur les entreprises est la raison la plus courante qui motive le recours à la cyberassurance

Les entreprises ont recours à la cyberassurance pour des raisons multiples et variées, près de la moitié (48 %) citant la prise de conscience de l’impact commercial des cyberattaques comme principale motivation. 45 % ont déclaré que ce choix faisait partie de leur stratégie de mitigation des cyber-risques et 42 % ont déclaré avoir besoin d’une cyberassurance pour travailler avec des clients ou des partenaires qui en avaient eux-mêmes besoin.

Investir dans les cyberdéfenses pour optimiser la posture en matière d’assurance est une pratique courante et cette approche fonctionne

97% des entreprises ayant souscrit une cyberassurance ont déclaré que la qualité de leurs défenses avait eu une incidence directe sur leur posture vis-à-vis des assureurs. Près des deux tiers (63 %) ont réalisé des investissements majeurs, tandis que 34 % ont réalisé des investissements mineurs.

Ces investissements en matière de sécurité portent leurs fruits, puisque l’enquête révèle que presque toutes les entreprises ayant investi dans l’amélioration de leurs cyberdéfenses ont déclaré que cette approche avait eu un impact positif sur leur posture en matière de cyberassurance (99,6 %, 4 351 sur 4 370 personnes interrogées).

Les exigences en matière de cyberassurance poussent les entreprises à renforcer leurs défenses (le “bâton“), 76 % des personnes interrogées affirmant que leurs investissements garantissaient une couverture qu’elles n’auraient pas pu obtenir autrement. La “carotte“, c’est que les deux tiers (67 %) ont pu obtenir une couverture à un meilleur prix et 30 % ont bénéficié de meilleures conditions grâce à leur protection améliorée (par exemple, des seuils de couverture plus élevés).

De plus, les entreprises qui investissent dans la sécurité bénéficient d’avantages allant au-delà de la simple assurance. En effet, 99 % ont signalé des avantages plus importants, tels qu’une protection améliorée, moins d’alertes et une charge de travail IT réduite.

Les assureurs indemnisent presque toujours, dans une certaine mesure, les sinistres

Les entreprises qui ont investi dans une cyber-police seront contentes d’apprendre que les assureurs indemnisent presque toujours, dans une certaine mesure, un sinistre déclaré : néanmoins, une seule personne interrogée a déclaré que sa demande d’indemnisation avait été entièrement rejetée.

En parallèle, dans 99 % des sinistres, les assureurs n’ont pas couvert l’intégralité des coûts de l’incident. Dans l’ensemble, les assureurs ont payé généralement 63 % du coût total de l’incident, le taux d’indemnisation modal se situant entre 71 et 80 %.

Raisons pour lesquelles les coûts ne sont pas entièrement couverts

L’enquête a également révélé que les coûts de récupération suite à des cyberattaques dépassent ceux de la couverture d’assurance. La raison la plus courante (63 %) pour laquelle la facture de récupération n’a pas été entièrement payée était le dépassement des coûts globaux par rapport aux seuils fixés par la police. Selon l’enquête intitulée “L’état des ransomwares de Sophos” (The State of Ransomware 2024), les coûts de récupération suite à un incident de ransomware ont augmenté de 50 % au cours de l’année passée, ce qui a probablement entraîné un décalage entre les polices et les dépenses.

Il existe une grande incertitude concernant ce que les politiques couvrent en cas de cyberincident

De nombreux responsables IT/cybersécurité ne savent pas exactement ce que couvre leur police en cas d’incident. Parmi ceux qui disposent d’une police d’assurance, 40 % pensent qu’elle couvre le paiement des rançons et 41 % pensent qu’elle couvre la perte de chiffre d’affaires, mais n’en sont pas certains. Ces constats sont préoccupants à plusieurs égards :

Les entreprises risquent de ne pas obtenir la couverture dont elles ont besoin : pour preuve, 45 % de celles dont les coûts d’incident n’ont pas été entièrement couverts affirment que certains coûts/pertes n’étaient pas couverts par leur police d’assurance. Les entreprises risquent de ne pas obtenir le soutien qu’elles attendent en cas de sinistre.

Le manque de visibilité sur la couverture d’assurance résulte probablement, au moins en partie, d’un décalage entre ceux qui souscrivent la police et ceux qui sont en première ligne en cas d’incident majeur.

À propos de l’enquête

Le rapport est basé sur les résultats d’une enquête indépendante commandée par Sophos, réalisée auprès de 5 000 responsables IT/cybersécurité répartis dans 14 pays sur le continent américain, la région EMEA et la région Asie-Pacifique. Toutes les personnes interrogées appartiennent à des organisations comptant entre 100 et 5 000 employés. L’enquête a été menée par le cabinet d’études Vanson Bourne, entre janvier et février 2024. Les participants ont été invités à répondre sur la base de leurs expériences au cours de l’année écoulée.

