Les tarifs des polices d’assurance cyber continuent d’augmenter tandis qu’un nombre croissant d’exclusions réduisent ce qui est couvert par ces polices, selon un rapport publié mardi par une société de cybersécurité.

Près de quatre organisations sur cinq (79 %) sur plus de 300 aux États-Unis interrogées par Censuswide pour le fournisseur de gestion des accès privilégiés Delinea ont vu leurs coûts d’assurance augmenter, tandis que plus des deux tiers (67 %) ont indiqué que leurs primes de cyberassurance avaient augmenté. a augmenté de 50 % à 100 % lorsqu’ils ont souscrit ou renouvelé leur police cette année.

« Au cours de l’année écoulée, il est devenu évident que les cyber-assureurs apprennent de leurs données et sont désormais en train de mûrir », a déclaré Joseph Carson, scientifique en chef de la sécurité et RSSI consultatif chez Delinea, dans un communiqué.

Il a expliqué qu’au début de la cyberassurance, les assureurs essayaient simplement de répondre à une demande énorme, mais qu’ils réalisent désormais qu’ils doivent réduire leur exposition aux circonstances à la fois évitables et incontrôlables.

« Les résultats de notre enquête révèlent que la plupart des organisations n’abordent pas la cyber-assurance avec la même diligence : elles cherchent simplement à être couvertes », a-t-il poursuivi. « Ce qu’ils ne vérifient pas, c’est si la police qu’ils avaient l’année dernière est celle dont ils ont besoin maintenant ou si leur police a changé lors du renouvellement. »

« Ce « déficit de cyberassurance » pourrait mettre de nombreuses organisations dans une situation difficile en cas d’incident de cybersécurité, et elles souhaitent utiliser ce filet de sécurité financière », a-t-il ajouté.

L’évaluation des risques et la cyber-assurance seront toujours en évolution, de la même manière que les vecteurs de menace évoluent, a expliqué Bud Broomhead, PDG de Viakoo, un fournisseur de cyber-hygiène automatisée pour l’IoT à Mountain View, en Californie.

« Les changements récents, tels que le changement d’acteurs malveillants exploitant des appareils IoT/OT vulnérables et des vulnérabilités plus open source, poussent les assureurs à adapter leurs modèles de risque et à imposer également des conditions aux assurés, comme exiger une cyber-hygiène automatisée pour les appareils non informatiques et systèmes », a-t-il déclaré à TechNewsWorld.

Explosion d’exclusions

Les assureurs réduisent notamment leurs risques lorsqu’ils souscrivent des polices d’assurance cyber en limitant leurs couvertures par le biais d’exclusions. Le rapport Delinea révèle que la liste des exclusions annulant la couverture d’une police cyber s’allonge.

La principale raison invoquée par les personnes interrogées pour exclure la couverture d’une police était le manque de protocoles de sécurité en place (43 %), suivi par l’erreur humaine (38 %), les actes de guerre (33 %) et le non-respect des procédures de conformité appropriées. (33%).


Les exclusions peuvent réduire la valeur d’une cyberassurance aux yeux d’une organisation. « Toute exclusion qui exclut les escroqueries par ingénierie sociale ou les erreurs humaines tue essentiellement cette politique, car la plupart des cyberattaques sont liées à ces deux causes profondes », a affirmé Roger Grimes, un évangéliste de la défense chez KnowBe4, un prestataire de formation en sensibilisation à la sécurité à Clearwater, en Floride.

« Soixante-dix à 90 pour cent de toutes les cyberattaques réussies impliquent l’ingénierie sociale », a-t-il déclaré à TechNewsWorld. « Toute exclusion qui exclut l’ingénierie sociale ne vous donne pratiquement aucune chance d’être remboursé. »

Les exclusions réduisent la valeur globale d’une police car elles réduisent la véritable portée de la couverture, a ajouté Jason Dettbarn, fondateur et PDG d’Addigy, fabricant d’une plateforme de gestion d’appareils Apple à Miami.

« Plus important encore, très peu d’entreprises satisfont aux exigences de souscription de base », a-t-il déclaré à TechNewsWorld. « Ils ne disposent pas des bons outils ou processus de gestion cyber/informatique en interne. »

La responsabilité incombe aux victimes

Carson a déclaré à TechNewsWorld que la liste croissante d’exclusions et de limitations signifie que les organisations doivent comprendre les petits caractères des politiques pour garantir que leur réclamation sera approuvée.

« Si les organisations ne suivent pas la procédure de réclamation, elles pourraient se retrouver avec certains coûts d’incident ou de violation de données qui pourraient ne pas être couverts dans le cadre de la réclamation. Il est donc essentiel de connaître la procédure correcte avant de devoir l’utiliser dans le cadre de la réclamation. au milieu d’une cyberattaque », a-t-il déclaré.

« La grande question sera de savoir combien de ces exclusions résisteront devant les tribunaux après le procès clé du début de l’année, où Merck a gagné, concernant la clause d’exclusion pour « action hostile/guerrière » qui ne devrait pas être appliquée à une cyberattaque contre un site non militaire. entreprise – même si elle émane d’un gouvernement », a-t-il ajouté.

Darren Williams, PDG et fondateur de BlackFog, développeur d’une technologie anti-exfiltration de données intégrée à Cheyenne, dans le Wyoming, a affirmé que l’augmentation des coûts de la cyber-assurance a des conséquences néfastes sur toutes les entreprises du monde entier.


« Nous voyons de nombreuses petites entreprises choisir de ne plus bénéficier de couverture en raison du nombre d’exclusions, mais plutôt d’investir dans des solutions préventives de cybersécurité », a-t-il déclaré à TechNewsWorld.

« Comme l’indique cette recherche », a-t-il déclaré, « l’erreur humaine est inévitable et constitue l’une des principales causes d’attaques de ransomwares, et les actes de guerre peuvent être interprétés de manière très large si les assureurs le souhaitent. »

« De plus », a-t-il poursuivi, « les exclusions combinées aux récentes annonces d’États interdisant les paiements par ransomware rendent l’assurance d’une valeur limitée. »

« En fin de compte, il incombe à la victime d’empêcher l’exfiltration de données et, par conséquent, le risque pour l’entreprise doit être soigneusement pesé », a-t-il ajouté.

Nécessité opérationnelle

Néanmoins, les organisations qui évitent la cyber-assurance le font à leurs propres risques. « La cybersécurité est quasiment obligatoire pour toute entreprise qui détient des données clients et qui court le risque d’une violation de données ou d’une attaque de ransomware », a observé Dettbarn.

« Aujourd’hui, la cyber-assurance est fortement recommandée », a déclaré Theresa Le, directrice des sinistres chez Cowbell, un fournisseur de cyber-assurance basée sur l’IA pour les PME de Pleasanton, en Californie.

« Même avec les meilleurs efforts de cybersécurité, les entreprises sont toujours confrontées à des cyber-risques résiduels dus à des erreurs de configuration du système, des erreurs des employés ou d’autres failles de sécurité involontaires », a-t-elle déclaré à TechNewsWorld. « Il est de plus en plus courant qu’une cyber-couverture soit exigée dans les accords contractuels. »

Carson a noté que l’une des statistiques les plus surprenantes du rapport est l’augmentation du nombre d’organisations ayant utilisé leur assurance cybersécurité plus d’une fois, de 41 % en 2022 à 47 % en 2023.

« Cela montre une fois de plus que la cyber-assurance ne signifie pas nécessairement une meilleure sécurité, et qu’elle constitue un filet de sécurité financière lorsque des incidents de sécurité surviennent », a-t-il déclaré.

« Du côté positif », a-t-il poursuivi, « les assureurs évoluent grâce à des données améliorées et à une meilleure compréhension de ce qui est nécessaire pour rendre les entreprises plus résilientes face aux cyberattaques, et leurs politiques exigent désormais de meilleures pratiques de sécurité de la part des entreprises avant même de pouvoir devenir assurables. .»

A lire également