Le secteur de l’assurance cybersécurité est un domaine très récent, avec de plus en plus d’assureurs offrant ces protections. Pourtant, seule une entreprise sur trois possède une forme ou une autre de cyberassurance. En fait, la croissance du marché a connu un certain ralentissement dernièrement et ce, pour plusieurs raisons.
Voici 5 limitations des assurances cybersécurité à connaître:
1. Comporte des limitations très larges
L’assurance en cybersécurité est très difficile à garantir, ce qui signifie que la plupart des assureurs ont tendance à avoir des limitations très larges. Une des limitations qui surgit souvent est qu’elles ne couvrent pas les « actes de guerre ». Cette clause a été invoquée pour justifier le refus de la couverture d’attaques, même s’elle n’a pas été démontré qu’elles avaient été causées par un état étranger. En réalité, la plupart des incidents majeurs survenus en 2019 n’ont pas été couverts en raison de cette clause.
De plus, l’assurance ne couvre que les coûts directs liés à une cyberattaque, ce qui signifie qu’aucune assurance ne peut vous aider à vous remettre des pertes intangibles que ces actes occasionnent en ce qui concerne la confiance des clients et la réputation de l’entreprise. Une autre limitation majeure est que l’assurance cybersécurité ne couvre généralement pas les dommages physiques et les blessures causés par un dysfonctionnement de vos équipements industriels dans le cas d’une cyberattaque perturbatrice, une menace qui ne cesse de croître dans l’industrie manufacturière dernièrement.
Comme ces politiques sont relativement nouvelles, il est difficile de savoir ce qui est couvert de ce qui ne l’est pas. La couverture n’a été étendue aux petites entreprises qu’au cours des dernières années et on ne dispose pas d’assez de précédents juridiques pour savoir ce qui sera couvert suite à un incident de cybersécurité.
2. Les assurances cybersécurité créent un faux sentiment de sécurité
Par ailleurs, l’assurance cybersécurité crée souvent un faux sentiment de sécurité, ce qui mène les entreprises assurées à croire que la totalité de leurs pertes financières seront couvertes à la suite d’un incident. Cela amène bon nombre d’entre elles à négliger leur sécurité et à réduire leurs budgets pour leur équipe de sécurité informatique, ce qui les expose encore plus au risque d’une cyberattaque.
En réalité, la majorité des assureurs refuseront la réclamation d’une entreprise si leurs mesures de cybersécurité ont été jugées insuffisantes, de la même manière qu’un assureur peut refuser de vous indemniser si un voleur parvenait à entrer par votre porte arrière maintenue ouverte à l’aide d’une brique, par exemple. Cela signifie que vos risques de cybersécurité ne doivent jamais être pris à la légère et ce, même si vous avez une assurance, car il est possible que ce soit la principale raison pour laquelle votre réclamation puisse être refusée.
3. Nécéssite la dilvugation d’informations sur votre cybersécurité
Avant que vous puissiez être assuré, la plupart des fournisseurs auront besoin de renseignements détaillés sur votre gestion de la cybersécurité, tels que vos pratiques de sécurité, vos politiques, les mesures qui ont été prises pour sécuriser votre entreprise, etc. Cela signifie que votre assureur pourrait exiger que vous vous conformiez à ses pratiques de sécurité avant de pouvoir être assuré, vous forçant à créer de nouvelles politiques de cybersécurité, à augmenter votre budget en sécurité TI, à effectuer des audits de sécurité et des tests d’intrusion sur tous vos systèmes et infrastructures sur une base régulière, et bien plus encore. De ce fait, vous pourriez être forcé de dépenser plus de ressources sur les contrôles de sécurité que nécessaire, en plus de votre prime d’assurance, avant même de pouvoir en bénéficier.
Bien que leurs exigences strictes vous aideront souvent à atténuer vos risques, elles vous obligeront à dépenser davantage pour votre cybersécurité que vous ne l’auriez fait en premier lieu afin de prévenir tout incident. Pire encore, ces investissements sont souvent gaspillés, car les entreprises ne valideront ces contrôles de sécurité que pour se conformer aux exigences, les laissant de côté et les négligeant une fois qu’elles auront été assurées avec succès. Dans bien des cas, cette négligence sera invoquée pour justifier le refus de l’assureur de payer des indemnités.
4. Ne couvre pas les menaces à l’interne
De plus, cette assurance ne couvre pas les pertes associées à une attaque ou à une brêche de données effectuée à l’interne par un acteur malveillant, un stagiaire ou un employé temporaire dont l’accès aux systèmes n’a pas été soigneusement sécurisé et validé. Cela signifie également que la négligence d’un employé, comme la perte d’un ordinateur portable de l’entreprise contenant des données client précieuses, ou le fait d’être touché par une attaque par hameçonnage (l’acte d’envoyer un courriel coercitif pour infecter un système ou pour obtenir les données d’authentification d’un utilisateur) ne sera pas couvert par la prime d’assurance. Pour empirer les choses, près de 90 % des cyberattaques en 2017 ont été causées par une erreur humaine, ce qui implique que la majorité des incidents relèvent généralement de la négligence d’un employé et risquent de ne pas être couverts par ce type d’assurance.
5. Ne peut couvrir les pertes intangibles
Une autre lacune de l’assurance cybersécurité est que, bien qu’elle couvre les coûts nécessaires pour se remettre d’une attaque (comme la réponse aux incident, la restauration technique, etc.), elle ne couvre pas les pertes intangibles à long terme qui résulteront inévitablement d’un incident de cybersécurité. Que ce soit en raison de secrets commerciaux volés qui ont pu être vendus à vos concurrents, d’une perte de confiance de la part de vos clients ou d’une baisse des actions de votre entreprise, votre assurance ne couvrira qu’une petite partie du coût global de l’incident et cette somme pourrait même ne pas être suffisante pour vous permettre de récupérer entièrement de ce dernier. C’est pourquoi, vous ne devriez jamais compter sur celle-ci pour couvrir toutes vos pertes financières.
En conclusion
Malgré toutes ces limitations, ce n’est pas nécessairement une mauvaise idée d’obtenir une police d’assurance cybersécurité si vous êtes en mesure d’en trouver une qui est abordable et qui réponds à vos besoins. Cependant, vous devez être pleinement conscient qu’il y a des limites à l’assurance cybersécurité, qu’elle ne peut servir qu’à couvrir certaines pertes et qu’elle ne doit pas être une raison pour négliger vos risques de cybersécurité.
Il est préférable de s’assurer d’avoir un bon plan de sécurité en place pour éviter d’avoir besoin d’une police d’assurance pour limiter les pertes financières. Afin de vous protéger, ainsi que de protéger vos employés et vos clients, il est nécessaire de prendre toutes les mesures nécessaires, même si vous êtes assurés. Contactez un spécialiste d’expérience pour en savoir plus sur la façon d’atténuer vos risques de cybersécurité afin de prévenir les incidents potentiellement coûteux.
