Le montant des demandes d’indemnisation est un moyen efficace de quantifier l’impact des cyberattaques sur les entreprises. Un montant de demande d’indemnisation plus élevé indique que la victime a subi des conséquences financières et opérationnelles considérables suite à l’attaque, tandis qu’un montant plus faible reflète une perturbation limitée.
Réduire le montant de telles demandes dans le cadre d’une cyberassurance est dans l’intérêt de tous. Pour les clients, la baisse des sinistres démontre une meilleure cyber-résilience avec en parallèle des assureurs confrontés à des demandes d’indemnisation qui affichent des montants moins élevés. Cette tendance crée également un cercle vertueux : si les assureurs dépensent moins pour couvrir les sinistres, ils sont alors en mesure de baisser les primes, offrant ainsi des avantages supplémentaires aux clients.
Bien qu’il existe un large consensus sur le fait que des défenses plus solides réduisent les impacts financiers et opérationnels des cyberattaques et donc le montant des demandes d’indemnisation qui en découlent, personne n’a été en mesure de quantifier ce phénomène. Jusqu’à aujourd’hui.
Sophos a récemment commandé une étude agnostique et indépendante des éditeurs pour quantifier l’impact financier de divers cybercontrôles sur le montant des demandes d’indemnisation en matière de cyberassurance. L’étude révèle l’impact différent des solutions de protection endpoint, des technologies EDR/XDR et des services MDR sur les demandes d’indemnisation liées aux attaques, fournissant ainsi des informations précieuses pour les assureurs et les organisations.
Les principales conclusions de cette étude sont les suivantes :
- Les organisations qui utilisent les services MDR déclarent des valeurs de sinistre 97,5% moins importantes que celles qui s’appuient uniquement sur la protection endpoint (75 000 $ contre 3 millions de dollars).
- Les organisations qui utilisent des solutions EDR/XDR déclarent des valeurs de sinistre représentant un sixième (1/6) des valeurs de celles qui utilisent uniquement la protection endpoint (500 000 $ contre 3 millions de dollars).
- Les organisations qui utilisent les services MDR ont les demandes d’indemnisation les plus prévisibles ; celles qui utilisent des outils EDR/XDR ont les demandes d’indemnisation les moins prévisibles.
- Les organisations qui utilisent les services MDR se remettent le plus rapidement de cyberattaques majeures, près de la moitié (47%) étant entièrement rétablies en une semaine, contre seulement 18% de celles qui s’appuient uniquement sur la protection endpoint et 27% de celles qui utilisent des solutions EDR/XDR.
- Les organisations qui utilisent les services MDR ont le temps de récupération le plus prévisible après un incident utilisant des ransomwares, tandis que les utilisateurs EDR/XDR ont le temps de récupération le moins prévisible.
Pourquoi cette étude est importante ?
Les organisations dépensent chaque année des sommes considérables en matière de cybersécurité. En quantifiant l’impact des cybercontrôles sur les conséquences des cyberattaques, cette recherche permet aux organisations d’orienter leurs investissements là où elles obtiendront le meilleur retour.
Parallèlement, les assureurs exercent une influence significative sur les dépenses de cybersécurité en exigeant certains contrôles comme conditions d’éligibilité à une couverture et en offrant des remises si d’autres contrôles sont en place. Cette recherche leur permet de s’assurer qu’ils encouragent les investissements qui ont réellement un impact positif sur les conséquences des incidents et les montants des demandes d’indemnisation qui en découlent.
Critères de recherche
282 sinistres provenant de 232 organisations comptant entre 50 et 3 000 employés ont été étudiés dans le cadre de cette étude. Les personnes interrogées ont utilisé des solutions de cybersécurité provenant d’un large éventail d’éditeurs, dont 19 éditeurs de protection endpoint différents et 14 fournisseurs de services MDR distincts. Toutes les organisations utilisaient l’authentification multifacteur (MFA) au moment des cyberattaques à l’origine des sinistres déclarés. L’enquête a été menée par le cabinet Vanson Bourne pour le compte de Sophos.
Les réponses ont été réparties en trois groupes statistiquement significatifs en fonction des cyberdéfenses qu’elles avaient déployées au moment des attaques ayant donné lieu à des sinistres :
- Utilisateurs endpoint : ils ont utilisé une solution de protection endpoint depuis au moins un an, mais ils n’ont pas utilisé d’outils EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) ou de services MDR (n=63 organisations, 83 demandes d’indemnisation).
- Utilisateurs EDR/XDR : ils ont utilisé une solution de protection endpoint et un outil EDR/XDR depuis au moins un an, mais ils n’ont pas utilisé de services MDR (n=109 organisations, 129 demandes d’indemnisation).
- Utilisateurs MDR : ils ont utilisé une solution de protection endpoint et un service MDR depuis au moins un an (n=60 organisations, 70 demandes d’indemnisation).
Nous utiliserons cette terminologie de segmentation tout au long de ce rapport.
Afin d’éviter d’éventuels doutes, l’étude se concentre uniquement sur les demandes d’indemnisation résultant de cyberattaques et exclut celles faites au niveau d’une police de cyberassurance pour d’autres raisons (par exemple, l’impact commercial des pannes provenant des éditeurs de cybersécurité ou la perte accidentelle de données).
Résultat N°1 : Les organisations qui utilisent les services MDR déclarent des valeurs de sinistre 97,5% moins importantes que celles qui s’appuient uniquement sur la protection endpoint
L’étude révèle que le montant médian des demandes d’indemnisation faites par des organisations utilisant les services MDR est inférieur de 97,5% à celui des utilisateurs endpoint. Le montant moyen (médian) des demandes d’indemnisation faites par des utilisateurs MDR était de seulement de 75 000 $, contre 3 millions de dollars pour les utilisateurs endpoint. En d’autres termes, les utilisateurs endpoint déclarent généralement 40 fois plus de sinistres liés à des cyberattaques que les utilisateurs MDR. Un montant de demande d’indemnisation inférieur reflète probablement la capacité du service MDR à détecter et neutraliser rapidement les activités malveillantes, éjectant ainsi les adversaires avant que des dommages graves ne soient causés.
Les données confirment également l’avantage d’utiliser un outil EDR ou XDR en plus de la protection endpoint, le montant moyen de la demande d’indemnisation des utilisateurs EDR/XDR représentant un sixième (1/6) de celui des demandes émises par ceux qui utilisent uniquement la protection endpoint (500 000 $ contre 3 M$).
Quel était le montant approximatif des demandes d’indemnisation en matière de cyberassurance formulées (quels montants ont été réclamés, excluant ceux qui ont été payés ?) par votre organisation ? À l’exclusion des valeurs aberrantes et des cas de type “je ne sais pas”. n=232 organisations, 282 demandes d’indemnisation. La question a été posée aux personnes dont l’organisation avait fait au moins une demande d’indemnisation à la suite d’une cyberattaque majeure au cours des 12 derniers mois.
Résultat N°2 : Les utilisateurs MDR ont les valeurs de sinistre les plus prévisibles ; celles des utilisateurs EDR/XDR sont les moins prévisibles
La prévisibilité des demandes d’indemnisation est un indicateur important de la cohérence et de la fiabilité des cybercontrôles visant à réduire l’impact des cyberattaques. Pour comprendre comment les différents contrôles peuvent être comparés, un exemple théorique de demande d’indemnisation pour une organisation avec un chiffre d’affaires annuel de 100 millions de dollars a été modélisé pour chacun des segments. Ces résultats sont basés sur les résultats générés par le modèle de régression multiple utilisé pour l’analyse (voir la section “À propos de l’enquête” à la fin de cet article pour plus de détails).
L’analyse permet de tirer deux enseignements importants :
- Les demandes d’indemnisation des utilisateurs MDR sont les plus prévisibles
- Les demandes d’indemnisation des utilisateurs EDR/XDR sont les moins prévisibles
La prévisibilité des demandes d’indemnisation des utilisateurs MDR reflète la cohérence avec laquelle les fournisseurs MDR détectent et neutralisent rapidement les menaces. En fournissant une surveillance, une investigation et une réponse 24h/24 et 7j/7 assurées par des experts en opérations de sécurité, les services MDR peuvent agir rapidement à tout moment du jour ou de la nuit.
Une couverture continue est particulièrement importante étant donné que de nombreux adversaires ciblent délibérément les “heures creuses” pour mener leurs attaques dans l’espoir de retarder la détection jusqu’à ce qu’ils aient atteint leurs objectifs. Une analyse de Sophos X-Ops révèle que 91% des attaques de ransomware commencent en dehors des heures de bureau standard, à savoir de 8h à 18h, du lundi au vendredi.
La nature imprévisible des demandes d’indemnisation faites par les utilisateurs EDR/XDR démontre que l’efficacité de ces outils pour stopper les cyberattaques avant que des dommages majeurs ne soient causés dépend entièrement des compétences et de la réactivité de l’utilisateur. Certaines organisations utilisent les outils EDR/XDR avec beaucoup d’efficacité, stoppant ainsi les attaques rapidement et efficacement. Cependant, d’autres ne sont pas en mesure de fournir des opérations de sécurité efficaces malgré leur investissement dans la technologie EDR/XDR, des retours anecdotiques suggérant que cela est souvent dû à un manque de capacité à fournir une couverture 24h/24, 7j/7, et/ou à un manque d’expertise.
Le fait que les demandes d’indemnisation des utilisateurs EDR/XDR couvrent une zone plus large que celles des utilisateurs endpoint suggère en outre que la mauvaise utilisation de ces outils peut, en fait, aggraver la situation. Par exemple, les organisations peuvent retarder le recours à des experts externes en réponse aux incidents pour les aider pendant qu’elles tentent de résoudre la situation elles-mêmes.
Quelle était le montant approximatif de chacune des demandes d’indemnisation effectuées en matière de cyberassurance (quels montants ont été réclamés, excluant ceux qui ont été payés ?) par votre organisation ? [n=232 organisations, 282 demandes d’indemnisation]. La question a été posée aux personnes dont les organisations ont fait au moins une demande d’indemnisation à la suite d’une cyberattaque majeure au cours des 12 derniers mois, le montant médian réclamé est réparti par type de solution de sécurité, en excluant les valeurs aberrantes de plus de 10 millions de dollars – niveau de confiance de 95%. Basé sur un modèle de régression multiple (voir la section “À propos de l’enquête” à la fin de cet article).
Résultat N°4 : Les utilisateurs MDR ont le temps de récupération le plus prévisible après un incident de ransomware ; les utilisateurs EDR/XDR ont le temps de récupération le plus faible
La modélisation du temps de récupération basée sur un exemple théorique d’une organisation qui subit une attaque de ransomware importante révèle une variation considérable en fonction du contrôle de sécurité utilisé. Dans cette analyse, nous avons modélisé à la fois la fenêtre de récupération (le temps entre la récupération la plus rapide et la plus lente possible) ainsi que le temps de récupération prévu en fonction du temps de récupération moyen signalé.
- Les utilisateurs endpoint se situent dans la “moyenne” avec une fenêtre de récupération de 40 jours et un temps de récupération prévu de 40 jours.
- Les utilisateurs EDR/XDR sont les plus lents à récupérer, avec à la fois la fenêtre de récupération la plus large (66 jours) et le temps de récupération prévu le plus long (55 jours).
- Les utilisateurs MDR récupèrent plus rapidement, avec une fenêtre de récupération de cinq jours et un temps de récupération prévu de seulement trois jours.
Ces résultats démontrent en outre que l’utilisation d’un service MDR réduit considérablement l’impact des cyberattaques sur les organisations. Ce constat révèle également la nature hautement imprévisible de la phase de récupération des utilisateurs EDR/XDR. Il est important de garder à l’esprit que les solutions EDR/XDR sont des outils et que leur efficacité et leur impact dépendent de la manière dont elles sont utilisées.
Combien de temps a-t-il fallu à votre organisation pour se remettre complètement de la cyberattaque ou de chacune des cyberattaques ayant conduit à la ou aux demandes d’indemnisation ? Chiffres de base dans le graphique. La question a été posée aux personnes dont les organisations ont fait au moins une demande d’indemnisation à la suite d’une attaque de ransomware majeure au cours des 12 derniers mois, sur la base de la médiane excluant les valeurs aberrantes, sans afficher toutes les réponses.
Conclusion
L’étude confirme ce que beaucoup savent instinctivement : à savoir que le type de cybercontrôles utilisés a un impact important sur les demandes d’indemnisation en matière de cyberassurance. Les utilisateurs MDR ont à la fois les montants de demande d’indemnisation les plus bas et les plus prévisibles. Les utilisateurs endpoint ont le montant de demande d’indemnisation moyen le plus élevé, tandis que les utilisateurs EDR/XDR ont le montant le moins prévisible.
Les cyberattaques sont inévitables. La manière dont les organisations se défendent contre ces dernières fait la différence. Ces résultats constituent un outil utile pour les organisations qui souhaitent optimiser leurs cyberdéfenses et leur retour sur investissement en matière de cybersécurité, ainsi que pour les assureurs qui cherchent à réduire leur exposition et à proposer des offres de polices adaptées à leurs clients.
À propos de l’enquête
L’étude a été menée pour Sophos par Vanson Bourne au cours du second semestre 2024 et a porté sur les demandes d’indemnisation résultant de cyberattaques survenues au cours des 12 mois précédents. Tous les résultats ont fait l’objet d’une validation statistique rigoureuse et robuste, à l’aide de modèles de régression multiples.
Ces modèles prennent la variable principale (dans ce cas, la solution de sécurité utilisée) et comparent l’impact de celle-ci sur d’autres variables clés (telles que le montant de la demande d’indemnisation et le temps de récupération). Des variables de contrôle (secteur d’activité de l’organisation, taille de l’organisation, type de cyberassurance, niveau de la posture de sécurité au moment de l’attaque, statut de la demande d’indemnisation) ont également été intégrées aux modèles. Les résultats présentés dans ce rapport sont les conclusions de ces analyses.
Billet inspiré de Quantifying ROI: Understanding the impact of cybersecurity products and services on cyber insurance claims, sur le Blog Sophos.
