L’assurance cybersécurité est un secteur en pleine expansion, car de plus en plus d’entreprises paient des primes qui, espèrent-elles, couvriront leurs pertes en cas d’incident. Malgré cela, seul un tiers des organisations ont souscrit une assurance cybernétique. En fait, la croissance du marché s’est ralentie dernièrement, et ce pour un certain nombre de très bonnes raisons. Le fait est que l’assurance cybersécurité présente d’importantes lacunes.
Voici les 5 limites de l’assurance cybersécurité :
1. L’assurance cybersécurité présente de nombreuses limites
L’assurance cybersécurité est très difficile à souscrire, ce qui signifie que la plupart des assureurs ont tendance à imposer des limites très larges. Une limitation qui revient souvent est qu’ils ne couvrent pas les «actes de guerre». Cette clause a été utilisée pour justifier le refus de couvrir des attentats même s’il n’a pas été démontré qu’ils étaient le fait d’un gouvernement étranger. En fait, la plupart des incidents majeurs survenus en 2019 n’ont pas été couverts en raison de cette clause.
En outre, l’assurance ne couvre que les coûts directs liés à une cyberattaque, ce qui signifie qu’aucune assurance ne peut vous aider à récupérer les pertes intangibles de confiance des clients et les atteintes à la réputation causées par de tels incidents. Autre limite majeure : l’assurance cybersécurité ne couvre généralement pas les dommages physiques ou corporels causés par un dysfonctionnement de votre équipement industriel s’il est victime d’une cyberattaque perturbatrice. Une menace qui s’est considérablement accrue ces derniers temps dans l’industrie manufacturière.
Ces polices étant relativement récentes, il est difficile de savoir ce qui est couvert et ce qui ne l’est pas. La couverture n’a été étendue aux petites entreprises que ces dernières années, et il n’existe pas beaucoup de précédents juridiques permettant de savoir ce que les assureurs peuvent faire à la suite d’un incident de cybersécurité.
2. Il crée un faux sentiment de sécurité
En outre, l’assurance cybersécurité crée souvent un faux sentiment de sécurité, laissant croire aux entreprises assurées que l’ensemble de leurs pertes financières seront couvertes à la suite d’un incident. Cela conduit nombre d’entre elles à négliger leur sécurité et à réduire les budgets consacrés à la sécurité informatique, ce qui les expose encore plus au risque d’une cyberattaque.
En réalité, la majorité des assureurs refuseront d’indemniser une entreprise dont les mesures de cybersécurité ont été jugées insuffisantes, tout comme un assureur peut refuser d’indemniser un vol si le voleur est passé par la porte de derrière qui a été maintenue ouverte avec une brique. Cela signifie que les risques liés à la cybersécurité ne doivent jamais être pris à la légère, même si vous avez une assurance, car ils pourraient être la principale raison pour laquelle votre demande d’indemnisation est rejetée.
3. Il vous oblige à divulguer des détails sur votre cybersécurité
Avant de vous assurer, la plupart des assureurs vous demanderont des informations détaillées sur votre gestion de la cybersécurité, telles que vos pratiques de sécurité, vos politiques, les mesures que vous avez prises pour sécuriser votre entreprise, etc. Cela signifie que votre assureur pourrait exiger que vous vous conformiez à ses pratiques de sécurité avant de vous assurer, ce qui vous obligerait à élaborer de nouvelles politiques en matière de cybersécurité, à augmenter votre budget consacré à la sécurité informatique, à mettre en place des systèmes d’information et des systèmes de gestion de l’information. audits de sécurité / tests d’intrusion de tous vos systèmes et infrastructures sur une base régulière et bien plus encore. En conséquence, vous pourriez être contraint de consacrer plus de ressources que nécessaire aux contrôles de sécurité, en plus de votre prime d’assurance, avant même de pouvoir en bénéficier.
Si leurs exigences strictes vous aideront souvent à réduire vos risques, elles vous feront dépenser plus pour votre cybersécurité que vous n’auriez pu le faire pour prévenir tout incident. Pire encore, ces investissements sont souvent gaspillés car les entreprises ne valident ces contrôles de sécurité que pour se conformer aux exigences, les laissant de côté et les négligeant une fois qu’ils ont été assurés avec succès. Cette négligence servira souvent de justification à l’assureur pour éviter de payer les sinistres.
4. Elle ne couvre pas les attaques menées en interne
En outre, cette assurance ne couvre pas les pertes liées à une attaque ou à une violation de données effectuée en interne par un acteur malveillant, un stagiaire ou un employé temporaire dont l’accès aux systèmes n’a pas été soigneusement sécurisé et validé. Cela signifie également que la négligence d’un employé, comme la perte d’un ordinateur portable de l’entreprise contenant des données précieuses sur les clients, ou une infection due à une attaque par hameçonnage (le fait d’envoyer un courrier électronique coercitif pour infecter un système ou obtenir les données d’authentification d’un utilisateur), ne sera pas couverte par la prime. Pour ne rien arranger, près de 90 % des cyberattaques en 2017 ont été causées par une erreur humaine, ce qui signifie que la majorité des incidents relèvent généralement de la négligence d’un employé et ne sont pas couverts par ce type d’assurance.
5. L’assurance cybersécurité ne peut pas empêcher les pertes intangibles
Une autre lacune de l’assurance cybersécurité est qu’elle couvre les coûts nécessaires pour se remettre d’une attaque (réponse à l’incident, restauration technique, etc.), mais pas les pertes intangibles à long terme qui résultent inévitablement d’un incident de cybersécurité. Qu’il s’agisse de des secrets commerciaux volés qui ont pu être vendus à vos concurrentsune perte de confiance de la part de vos clients, à une baisse des actions de votre entrepriseVotre assurance ne couvrira qu’une petite partie du coût total de l’incident, ce qui pourrait même être insuffisant pour permettre à votre entreprise de s’en remettre complètement. C’est pourquoi vous ne devez jamais compter sur elle pour couvrir toutes vos pertes.
En conclusion
Cela ne veut pas dire que c’est une mauvaise idée de souscrire une police d’assurance cybersécurité si vous en trouvez une qui soit abordable et qui réponde à vos besoins. Cependant, vous devez être pleinement conscient que l’assurance cybersécurité a des limites, qu’elle ne peut aider qu’à couvrir certaines pertes et qu’elle ne doit pas être une raison pour négliger votre sécurité informatique.
Il est préférable de s’assurer que l’on dispose d’un bon plan de sécurité afin d’éviter d’avoir à souscrire une assurance. Pour vous protéger, ainsi que vos employés et vos clients, vous devez prendre toutes les mesures nécessaires, même si vous êtes assuré. Contactez un spécialiste expérimenté pour en savoir plus sur la manière dont vous pouvez atténuer les risques liés à la cybersécurité afin de prévenir tout incident.
