Combler le manque de couverture : cyberassurance vs cybergaranties

Remarque : cet article a été initialement publié sur SmarterMSP.

La cyberassurance est devenue un incontournable pour les entreprises. Cependant, la hausse des primes et les difficultés d’application ont entraîné l’émergence de cybergaranties, une protection financière cruciale pour les MSP et leurs clients.

La cyberassurance est devenue une forme de protection essentielle pour les entreprises à mesure que les cyberattaques augmentent et deviennent de plus en plus complexes et efficaces. Bien que ce type d’assurance responsabilité puisse aider les entreprises à se remettre d’une attaque, en particulier lorsque les clients sont concernés et demandent une indemnisation, il existe d’autres formes de protection financière que les MSP et les utilisateurs finaux peuvent envisager en plus de la cyberassurance.

La cybergarantie est l’une de ces offres émergentes. À l’instar des garanties pour un véhicule ou un nouveau réfrigérateur, une cybergarantie est émise par un fournisseur de technologie pour garantir les conditions de sécurité de son produit pendant une période donnée. Ces garanties seront importantes pour les fournisseurs de cybersécurité et les clients à l’avenir à mesure que les politiques de cyberassurance deviendront plus strictes dans leurs limites et leurs exigences.

Les délais d’indemnisation dans le cadre de la cyberassurance est souvent un problème pour les PME qui doivent faire face à des engagements financiers à court terme pour se remettre d’un cyberincident. Les cybergaranties se différencient essentiellement par des remboursements plus rapides, permettant aux clients de se rétablir plus vite. Des petites entreprises peuvent même choisir cette solution comme seule forme de protection.

À mesure que les cyberattaques se font plus efficaces, fréquentes et coûteuses, les fournisseurs de cyberassurance réduisent l’étendue de leur couverture et imposent davantage de limites sur ce qu’ils sont prêts à payer. Par exemple, les entreprises couvertes sont parfois tenues de respecter des consignes de sécurité particulières (et le prouver au moyen d’un audit). En cas de manquement, l’assureur peut refuser de couvrir d’éventuels dommages. De plus, les pertes subies en cas de panne, les dommages matériels ou les violations liées à des applications ou à des fournisseurs de services tiers peuvent être exclus de la garantie.

Cependant, une cybergarantie prévoit généralement une indemnisation lorsqu’une cyberattaque se produit sur les systèmes assurés. Outre des paiements plus rapides, elle peut fournir une couverture complémentaire pour les dommages non couverts par la police d’assurance professionnelle de l’entreprise.

Une source de revenus récurrents supplémentaire pour les MSP

Par exemple, Barracuda Networks s’est associé à la compagnie d’assurances Cork pour fournir une garantie aux petites et moyennes entreprises clientes des MSP. La garantie est intégrée à l’offre de services gérés de Barracuda afin de protéger financièrement les clients contre certains coûts liés à des cyberattaques ciblées.

Ce type de garantie apporte une protection financière supplémentaire aux clients. Pour les MSP, il s’agit d’un produit explicitement conçu à des fins de cybersécurité, et une source potentielle de revenus récurrents. Cork propose également un moteur de surveillance et d’analyse permettant d’identifier et de corriger les failles de sécurité, intégré aux fonctionnalités de surveillance et de réponse de Barracuda XDR.

Si les capacités intégrées de surveillance et de garantie apportent une certaine tranquillité d’esprit aux clients, la plupart des entreprises ont tout intérêt à investir dans une police de cyberassurance robuste. L’essentiel est de bien comprendre ce qui est couvert et ce qu’il convient de faire pour respecter les conditions de garantie.

Des produits tels que l’offre conjointe Barracuda/Cork peuvent aider les PME à répondre à ces exigences particulières au moyen de fonctionnalités de sécurité et de surveillance performantes, ainsi que de rapports aisément vérifiables. Alors que les polices de cyberassurance deviennent plus compliquées et plus coûteuses, il s’agit d’un aspect important à ne pas négliger.

Les primes de cyberassurance sont en forte hausse

Selon l’agence de notation AM Best, les primes de cyberassurance ont augmenté de 50 % en 2022 avec la hausse des attaques par ransomware. Les assureurs ont collecté 7,2 milliards de dollars de primes l’année dernière, soit trois fois plus qu’il y a trois ans. Dans le même temps, les taux de sinistres des assureurs ont chuté de manière significative en raison de l’augmentation des tarifs et du resserrement des conditions de souscription.

« Les assureurs ont utilisé tous les éléments de leur légendaire boîte à outils pour gérer les risques », explique Christopher Graham, analyste sectoriel senior chez AM Best dans cet article d’Insurance Business. « En plus des augmentations de tarif, les assureurs ont resserré les limites, augmenté la rétention des assurés et renforcé la sélection des risques. »

La hausse des coûts et les conditions de souscription plus restrictives rendent la cyberassurance hors de portée pour certaines entreprises. Certaines compagnies limitent également la couverture dans certains secteurs d’activité.

Dans un article de CNBC publié l’année dernière, Dan Garcia-Diaz, directeur général du Government Accounting Office (GAO) des États-Unis, a noté qu’« un assureur a indiqué avoir choisi de ne pas assurer le secteur de l’énergie en raison de sa vulnérabilité aux attaques et parce qu’il craignait que les opérateurs du secteur ne suivent pas de protocoles de cybersécurité stricts. Un autre assureur a déclaré être peu enclin à proposer une couverture à certains secteurs, y compris les opérateurs de réseaux électriques et les compagnies aériennes. »

Les cybergaranties offrent aux petites entreprises et aux MSP qui les servent un moyen intéressant de limiter les dommages causés par une cyberattaque, même si les assureurs diminuent le montant de leurs remboursements.