igor - Fotolia
La cyberassurance promise à améliorer la sécurité
Raytheon-Websense s’attend à ce que les demandes d’assurance contre les risques informatiques conduisent à une amélioration des pratiques de sécurité des entreprises en 2016.
Les prestataires d’assurances contre les risques informatiques vont créer un modèle d’évaluation et de gestion du risque plus complet et plus strict, poussant les entreprises à adopter des pratiques de sécurité plus rigoureuses. C’est du moins ce à quoi Raytheon-Websense s’attend pour l’an prochain.
« Les entreprises vont devoir mieux comprendre ce qui est attendu d’elles afin d’être couvertes pour les risques informatiques », estime ainsi l’analyste sécurité Carl Leonard, chez Raytheon-Websense. Pour lui, « de nombreuses entreprises sont susceptibles de découvrir qu’elles ne sont pas en position de force pour montrer qu’elles ont fait tout ce que leurs assureurs leur demandaient pour lutter contre une attaque ».
Dès lors, Raytheon-Websense estime que ces demandes sont appelées à influencer aussi fortement le comportement des entreprises que les contraintes réglementaires. De fait, le groupe s’attend à ce que les assureurs, pour maintenir la rentabilité de leurs offres, cherchent à obtenir autant d’informations que possible sur les menaces réelles, et développent des conditions à minima pour couvrir le risque qu’elles représentent.
Des coûts appelés à évoluer
Le coût de ces assureurs devrait être basé sur la valeur de l’entreprise couverte, son niveau de préparation contre les attaques, la fréquence à laquelle elle est susceptible d’être visée, et la rapidité avec laquelle elle peut répondre à des brèches, reprendre le contrôle, et refouler les attaquants.
Dans un récent rapport, Standard & Poor a relevé que le coût des cyberassurances devraient progresser – ou les couvertures être réduites – alors que le nombre d’attaques réussies et à fort impact économique progresse.
Les auteurs de ce rapport s’attendent à ce que les assureurs intègrent de manière de plus en plus sophistiquée le risque associé à une brèche de sécurité dans le calcul du montant de leurs primes, de la même manière que l’historique d’un conducteur est intégré au calcul du montant de sa prime d’assurance.
Toujours selon ce rapport, les entreprises devraient prendre en compte le coût de ces primes dans leur approche globale du risque informatique, jusqu’à le comparer à celui d’un service tiers de surveillance en continue des comportements suspects ou à risque sur leurs réseaux.
Former pour réduire l’exposition
La formation régulière des utilisateurs, sur les comportements à observer face à une pièce jointe, par exemple, pourrait par exemple constituer un facteur de réduction du coût des primes d’assurance du fait d’une réduction de l’exposition au risque.
Et c’est ainsi que, au final, Raytheon-Websense estime que l’assurance cyber est appelée à renforcer la posture de sécurité des entreprises.
Cette analyse n’est pas nouvelle. Fin août dernier, une étude de l’institut Ponemon pour Wombat tendait à montrer que former ses utilisateurs à identifier le hameçonnage et à y réagir de manière appropriée s’avère bien plus rentable que de devoir en supporter les conséquences.
De fait, le hameçonnage est impliqué est de nombreuses attaques réussies. Il fut le point de départ de fuites de données RSA SecurID, il y a quelques années. Mais le phishing a également été impliqué dans l’importante attaque dont a été victime Sony Pictures, plus récemment, voire dans celle qui a frappé TV5 Monde en début d’année.
Fin septembre, PwC estimait de son côté que le marché des assurances contre les risques informatique est appelé à tripler d’ici la fin de la décennie pour atteindre 7,5 Md$ en 2020, contre 2,5 Md$ aujourd’hui.
Mais les assureurs ne sont pas les seuls à s’intéresser au risque informatique. Moody’s et Standard & Poor estiment ainsi que les menaces informatiques sont appelées à être prises en compte de plus en plus dans les analyses de solvabilité.
Entre contraintes réglementaires croissantes, pressions des assureurs et des organismes prêteurs, il y a en effet fort à parier que la posture de sécurité des entreprises soient appelée à progresser rapidement. Du moins peut-on l’espérer.
Avec nos confrères de ComputerWeekly (groupe TechTarget).