Une étude révèle que les assureurs stimulent les investissements dans la cybersécurité

Une étude menée auprès de 300 décideurs montre que les investissements dans la cybersécurité augmentent en raison des exigences imposées par les assureurs dans ce domaine.

Réalisée par Delinea, fournisseur d'une plateforme de gestion de l'identité, l'enquête révèle que 95 % des personnes interrogées déclarent avoir eu besoin d'investir dans des solutions de sécurité de l'identité avant de souscrire une cyberassurance. Les principales exigences sont le contrôle des autorisations et des accès (41 %), la détection des menaces et le plan de résilience (40 %), la gestion et la surveillance des sessions (38 %), la gestion des mots de passe (35 %), les contrôles tiers sécurisés (35 %) et l'authentification multifacteur (35 %).

À une époque, de nombreuses entreprises recherchaient des polices de cyberassurance pour ne pas avoir à investir dans des solutions de cybersécurité, mais après avoir subi des pertes considérables, les assureurs spécialisés dans ce domaine demandent désormais aux entreprises d'investir davantage dans la cybersécurité avant de souscrire une police.

Cette approche entraîne souvent le rejet de demandes d'indemnisation, par exemple lorsqu'une organisation ne respecte pas les bonnes pratiques en matière de protection des données. On ne sait pas exactement combien de demandes ont été rejetées, mais le nombre de demandes déposées a augmenté. Un peu moins des deux tiers des personnes interrogées (62 %) ont déclaré que leur entreprise avait déposé une demande d'indemnisation à la suite d'une cyberattaque au cours des 12 derniers mois, et plus du quart (27 %) ont déposé plusieurs réclamations. L'enquête révèle également que plus des trois quarts des personnes interrogées (77 %) travaillent pour des organisations qui ont déjà déposé une demande d'indemnisation auprès de leur cyberassureur.

Évolution des exigences et des coûts

42 % des entreprises ont indiqué que leur assureur leur avait demandé de s'équiper d'une solution/d'un dispositif de sécurité. La moitié des personnes interrogées (50 %) ont également noté que les coûts de leur cyberassurance avaient augmenté au cours de l'année écoulée, principalement en raison de la complexité accrue de leur environnement informatique (48 %).

Toutefois, 50 % d'entre elles ont déclaré avoir réduit le tarif de leur assurance en mettant en place des contrôles de sécurité supplémentaires. Un pourcentage équivalent a affirmé utiliser l'intelligence artificielle (IA) pour la détection et la surveillance des menaces afin de réduire leurs primes de cyberassurance.

Les principales raisons de souscrire une cyberassurance sont les exigences de conformité/réglementaires (35 %), les exigences de la direction/du conseil d'administration (37 %), les cyberattaques récentes (27 %), les attaques par ransomware (26 %) et les exigences de contrat avec un tiers (24 %), indique le rapport. Plus d'un tiers des participants (37 %) ont déclaré que leur cyberassurance pourrait être annulée si les contrôles de sécurité adéquats n'étaient pas mis en place. En outre, 32 % ont affirmé qu'ils étaient tenus de signaler tout incident à l'assureur en premier lieu ou dans un délai spécifique.

L'enquête révèle que la couverture comprend le backup et la récupération des données (50 %), les contrôles de sécurité supplémentaires (46 %), les frais juridiques (44 %), la négociation et le paiement des ransomwares (41 %), les services de réponse aux incidents (40 %), l'impact sur les partenaires et les clients (40 %), la perte de revenus (39 %) et les amendes réglementaires (38 %).

Dans l'ensemble, l'enquête montre que les demandes d'indemnisation sont principalement liées à un fournisseur tiers ou à un partenaire de la chaîne d'approvisionnement responsable d'une cyberattaque (27 %), suivi de près par les attaques par ransomware (26 %). Près de la moitié (47 %) des attaques ayant donné lieu à des demandes d'indemnisation étaient liées à des compromissions d'identité (24 %) et de privilèges (22 %).

Déterminer les besoins de votre organisation

Chaque entreprise devra déterminer quel niveau de cyberassurance est le plus adapté à ses besoins. Cependant, il est évident que plus la police est complète, plus il est probable que les entreprises devront investir dans des outils, des plateformes et des processus de cybersécurité pour s'assurer que toute demande d'indemnisation future sera réellement honorée.