Ce que les entreprises doivent savoir sur l’assurance cybersécurité

En tant que fournisseurs de services informatiques, nous travaillons avec nos clients pour qu’il soit aussi difficile que possible pour les mauvais acteurs de les attaquer. Cependant, nous sommes très clairs sur le fait qu’il n’y a pas de garantie à 100 % qu’une entreprise ne sera pas victime d’une attaque. Il suffit d’un clic sur un lien malveillant, une mise à jour manqué ou un port ouvert qui a été oublié. Notre meilleure recommandation à nos clients est de supposer qu’il y aura une violation et d’avoir une stratégie qui comprend la prévention, la détection et la réponse.

Dans cet article, nous nous concentrerons sur l’un des domaines très important pour répondre à un événement cybernétique, mais auquel de nombreuses entreprises ne pensent pas ou ne comprennent pas.

Nous souhaitons préfacer les informations suivantes en déclarant que nous ne sommes pas des experts en assurance, des courtiers ou des revendeurs. Nous sommes, en tant que fournisseurs informatiques, souvent sollicités pour aider nos clients à répondre aux questionnaires d’assurance ainsi que pour les aider à améliorer leurs postures de sécurité pour les aider dans leurs demandes d’assurance cybersécurité. Ce faisant, nous avons pensé que nous pourrions partager certaines choses que nous avons apprises et qui pourraient être utiles aux PME.

Pourquoi les entreprises ont besoins d’une cyberassurance

La principale raison pour laquelle les entreprises ont besoin d’une cyberassurance est de couvrir les dépenses liées à une violation. À première vue, la plupart des entreprises penseront au coût d’un paiement de ranson (ransomware) par exemple. Mais il y a beaucoup plus à prendre en compte lorsqu’il s’agit de répondre et de se remettre d’une attaque à laquelle les entreprises doivent être préparées. Voici une liste de certaines des dépenses liées à une violation :

• Légal
• Relations publiques
• Enquête légale
• Notification aux clients, partenaires, employés, et autres personnes concernés
• Rétablissement d’usurpation d’identité
• Gestion de la réputation
• Rendre l’entreprise opérationnelle
• Suivi de crédit

La cyberassurance peut inclure non seulement les coûts de récupération des violations tels que ceux mentionnés ci-dessus qui sont connus sous le nom de couverture de première partie, mais également les coûts et les dommages potentiels des poursuites, qu’il s’agisse de recours collectifs ou intentés par des organisations avec lesquelles vous faites affaire, faisant partie de la responsabilité civile.

Les cybercriminels ne font pas de discrimination en fonction de la taille de l’entreprise. S’ils peuvent trouver votre réseau, ils peuvent l’attaquer. Pour cette raison, chaque entreprise, quelle que soit sa taille, doit être préparée et examiner la cyberassurance.

Chaque entreprise est unique et possède des données différentes qui entraînent des risques différents. Le nombre de clients d’une entreprise, les données collectées auprès de ses clients et la sensibilité des données collectées sont tous des facteurs qui influencent les niveaux de risque de l’entreprise. Le niveau de risque influencera les exigences des assureurs ainsi que le type de couverture de cyber-assurance et les primes auxquelles les entreprises peuvent adhérer.

Nous sommes tous un peu fatigués d’entendre parler de la pandémie de COVID-19 et de la façon dont elle a tout changé. Cependant, c’est le cas. le mouvement du travail à domicile, en particulier, a augmenté le nombre de vecteurs d’attaque, ce qui a entraîné une augmentation des incidents de ransomware et une augmentation du montant des rançons demandées. Un fournisseur de cyberassurance a signalé qu’au premier semestre 2021, la demande moyenne de rançon adressée à ses clients était de 1,2 million de dollars.

Les types de contrôles de sécurité en place ou qui pourraient faire défaut auront un effet direct sur la tarification des polices de cyberassurance. Différents souscripteurs peuvent rechercher différents contrôles, mais des exemples sont l’authentification multifacteur (MFA), le cryptage des données, la gestion des mots de passe, l’antivirus de nouvelle génération (EDR) pour n’en nommer que quelques-uns.

Avec la montée en flèche du nombre de cyber-réclamations au cours des dernières années, les compagnies d’assurance sont de plus en plus strictes quant aux contrôles de sécurité dont elles ont besoin pour obtenir ou renouveler une cyber-assurance. Le MFA et les programmes de formation, de test et de sensibilisation à la cybersécurité des employés sont deux contrôles de sécurité que nous voyons souvent. Les exigences restent en constante évolution puisque les compagnies d’assurance deviennent beaucoup plus instruites et que les cybercriminels deviennent encore plus sophistiqués, il est donc important de s’assurer que l’entreprise dispose des contrôles de base et reste au courant de ce que les compagnies d’assurance exigent.

La cyberassurance et les contrôles de sécurité ne sont pas « peu cher ». Cependant, si l’on considère les coûts d’une violation, qui au mieux pourrait laisser une entreprise inexploitable pendant une période de temps entraînant des pertes financières et, au pire, pourrait mettre une entreprise en faillite, l’investissement en vaut la peine. Encore une fois, toutes les entreprises devraient se préparées à une violation et être préparées.

L’assurance cybersécurité évolue, presque aussi rapidement que le paysage de la cybersécurité lui-même. Il est important que les entreprises comprennent les changements et comment ils peuvent avoir un impact sur leurs politiques. Nous vous recommandons de parler à un courtier en cyberassurance ou à un fournisseur d’assurance expérimenté qui peut travailler avec vous pour vous proposer la bonne politique de cyberassurance pour les besoins de votre entreprise.

Encore une fois, MicroAge n’est pas un expert en assurance. Nous pouvons cependant vous aider à améliorer votre posture de sécurité. Contactez-nous aujourd’hui.