Henrik Dolle - Fotolia
Cyberassurance : les assureurs sont-ils assez exigeants ?
La posture de sécurité de certaines entreprises victimes de cyberattaques, peut parfois laisser hautement dubitatif. Encore plus lorsque celles-ci s’avèrent assurées contre ce risque. Les assureurs sont-ils suffisamment circonspects ?
« Avez-vous formalisé un programme de sensibilisation à la sécurité de l’information pour tout l’effectif, au moins une fois par an ? » Non. « Les ressources informationnelles sont inventoriées et classées selon leur criticité et sensibilité ? » Non. « L’accès aux systèmes critiques nécessite une authentification à double facteur ? » Non. « Un système de détection/prévention des intrusions est déployé, mis à jour et supervisé régulièrement ? » Non. « La segmentation réseau est mise en œuvre pour séparer les zones critiques des zones non critiques ». Non.
Un profil préoccupant
C’est un extrait du questionnaire retourné par une entreprise à son assureur à l’occasion d’un renouvellement de contrat de cyberassurance, que nous avons pu consulter. Cette entreprise a été récemment victime d’un ransomware. Plusieurs filiales sont également couvertes et ont dû retourner le même questionnaire. La situation qu’ils donnent à voir est fortement hétérogène. Le filtrage des accès Web ? Certaines l’ont mis en œuvre, d’autres pas. Journalisation des événements de sécurité ? Oui pour certaines filiales, non pour beaucoup. Pare-feu local sur les portables ? Pareil. Gestion et supervision de la configuration des postes de travail ? C’est à l’avenant.
Et ce n’est pas comme si cette entreprise et ses filiales n’avaient jamais connu d’incident de sécurité. Pour la maison-mère, trois sont mentionnés, durant l’année précédant le renouvellement du contrat d’assurance. Dont un cas de phishing. À la même période, l’une des filiales a été confrontée à un rançongiciel.
Les réponses aux questions liées à la protection des données personnelles sont encore plus hétérogènes, d’une entité à l’autre, l’une d’entre elles estimant même ne pas collecter ni traiter la moindre donnée personnelle… malgré quelques centaines d’employés au compteur. Sans surprise, il n’y a pas là à chercher l’ombre d’une trace de politique de protection des données personnelles, selon le questionnaire.
Ces observations interpellent et soulèvent la question des exigences des assureurs : après tout, ils ne sont là que pour couvrir un risque résiduel, réduit autant que possible par la mise en œuvre de mesures préventives raisonnables. Des contrôles comme l’authentification à facteurs multiples ou la segmentation réseau ont montré leur importance face aux menaces actuelles. Et les questionnaires de renouvellement évoqués ici ont moins de deux ans d’âge.
De possibles explications
Chez Hiscox, Astrid-Marie Pirson, « il peut y avoir beaucoup d’éléments de contexte client pour expliquer que l’assureur ait décidé de signer », comme par exemple le fait que des projets d’amélioration de la posture de sécurité soient en cours au moment où est rempli le formulaire. « Un non à la question de l’authentification forte ne va pas forcément nous amener à dire non. On ne dira pas systématiquement oui pour autant ; cela va nous amener à creuser ».
Mais pour le profil affiché par l’une des filiales apparemment les moins sécurisées… « ça peut être un calcul, pour un assureur capable d’absorber le montant de sinistre potentiel, face à un client prêt à payer une grosse prime ». Pour autant, « en termes de message passé, cela ne nous aide pas : l’assureur n’est pas une alternative à une gestion correcte du risque cyber ». Et pour Astrid-Marie Pirson, c’est simple : « pour moi, il est impensable d’accepter ça ». Et avec l’éventail des réponses au questionnaire… : « ça fait un peu froid dans le dos. Cela ressemble à un contre-cas d’école ».
Chez Willis Towers Watson, Laure Zicry, relève qu’il s’agit de questionnaires de renouvellement, de quoi potentiellement expliquer que l’assureur ait été « moins regardant ». Mais pour elle, avec un profil pareil, « c’est une grande entreprise, il n’aura même pas d’offre. Pour une petite entreprise, ça peut être différent ». Mais quand, là, « un dossier pareil, aujourd’hui ou en fin d’année dernière, il ne passe pas ». À moins que l’entreprise en question n’ait un certain « poids » chez l’assureur, suffisant pour l’amener à être moins regardant.
Des assureurs plus prudents
De son côté, Luc Vignancour, chez Beazley, explique son approche : « nous estimons avoir besoin, pour assurer une entreprise, qu’elle ait conscience de ses risques et les gère ». Car après tout, « nous ne sommes que les financeurs de la crise ». Avec face à un profil comme celui décrit ici, « je dis au courtier, pour ce risque-là, je préfère ne pas faire d’offre d’assurance. Mais tous les assureurs ne fonctionnent pas comme ça ».
Reste que, globalement, les assureurs sont de plus en plus prudents et exigeants, en réponse à l’évolution de la menace. Astrid-Marie Pirson l’observe : « depuis 2 ans et demi, l’approche de l’assurance se muscle ». Pour Laure Zicry, plus particulièrement, « depuis l’automne dernier, et encore plus avec les mesures de confinement au printemps, les assureurs ont commencé à serrer la vis, en posant de plus en plus de questions, sur les accès distants, l’authentification forte, le BYOD, etc. Ils en parlaient avant, mais désormais, ils veulent entrer dans les détails ».
Pour Luc Vignancour, c’est en fait assez simple : « l’analyse de l’exposition au risque cyber a fortement évolué. On sait bien ce qui protège contre les ransomwares : l’authentification à facteurs multiples est primordiale ; la segmentation réseau est vitale ; et il faut des sauvegardes hors ligne, ainsi qu’un bon filtrage des courriels entrant ».
Difficile, donc, de faire l’impasse sur ces mesures de protection. Mais plus généralement, « le risque cyber évolue très vite. Les assureurs doivent évoluer aussi vite ». Un véritable changement culturel pour des organisations habituées à « regarder dans le passé ».