Depuis 2021, il y a eu une augmentation de 81 % du nombre de cybercrimes signalés au FBI tandis que le montant des pertes a presque doublé, passant de 3,5 milliards de dollars à 6,9 milliards de dollars.1

Bien sûr, les assureurs de cyberassurance ont pris note : Piqués par leurs propres pertes, la disponibilité de la couverture a diminué et les primes ont grimpé en flèche — les assureurs limitent le montant de la couverture disponible, tandis que les primes ont plus que triplé en 2022.

De plus, les négociations sur les franchises dans certaines catégories de risque débutent maintenant à 2 millions de dollars.

Les assurés devraient également s’attendre à un examen plus minutieux de la souscription et à une tolérance zéro pour un risque avec des contrôles faibles . Les souscripteurs refuseront ou ne renouvelleront pas les polices pour les organisations qui ne disposent pas d’un certain niveau de base de protection de la sécurité du réseau.

Comment devenir un meilleur risque

Pour que les organisations obtiennent une couverture à un taux raisonnable, elles devront démontrer que leur sécurité est de premier ordre. Les quatre étapes suivantes sont devenues essentielles pour qu’une organisation — quel que soit son secteur d’activité, son succès ou même son bilan en matière de sécurité — participe à la discussion sur la couverture d’assurance cyber :

  1. Mettre en œuvre plusieurs contrôles de sécurité. Avant même de proposer un prix, les cyberassureurs exigent plusieurs contrôles de sécurité :
    • Authentification multifacteur (AMF) pour l’accès réseau à distance, les systèmes de messagerie et les comptes privilégiés.
    • Fermer les ports de Protocole de travail à distance (Remote Desktop Protocol) ou les placer derrière un réseau privé virtuel protégé par une AMF.
    • Accès au compte privilégié limité à ceux qui en ont besoin.
    • Une ou plusieurs solutions de filtrage de messagerie telles qu’un Cadre de politique de l’expéditeur (SPF), DomainKeys Identified Mail (DKIM) ou Domain-based Message Authentication, Reporting & Conformance (DMARC).
    • Meilleure protection antivirus.
    • Endpoint detection and response (EDR).
    • Au moins une copie des sauvegardes stockées hors site ou dans le nuage.
  2. Mettre l’accent sur la formation des employés. Il est obligatoire de former les employés, les fournisseurs et les autres joueurs clés à reconnaître l’hameçonnage par courriel et les escroqueries par usurpation d’identité. Les cybercriminels sont sophistiqués dans leurs approches, donc les employés doivent être tout aussi avertis. Cette étape exige une culture de sécurité selon une approche descendante à l’échelle de l’organisation.
  3. Préparer un plan de réponse aux incidents. Les assureurs veulent voir le plan de réponse aux incidents (IRP) d’une organisation, un plan complet pour répondre aux menaces et aux attaques liées à la sécurité du réseau et à la responsabilité en matière de protection des renseignements personnels. Le plan indique qui appeler, quoi faire et quand le faire en cas d’atteinte à la sécurité. Les assureurs considéraient autrefois un IRP comme utile, mais maintenant c’est une exigence.
  4. Pratiquer des exercices sur table et simuler des violations. Un exercice sur table de cybersécurité est un exercice de simulation de scénario de cybersécurité dans lequel les participants doivent réagir à un incident hypothétique. De tels exercices mettent en évidence des liens faibles dans le plan de réponse aux incidents et dans le cadre de communication d’une organisation. Encore une fois, les assureurs ne sont pas seulement intéressés par le fait que les assurés disposent d’un plan, mais qu’ils peuvent démontrer que le plan fonctionnera réellement.

Contactez votre cyberexpert HUB pour plus de renseignements sur votre cyberrisque.

1 U.S. Federal Bureau of Investigation, « Le FBI publie le rapport Internet Crime Report de 2021 du Internet Crime Complaint Center », 22 mars 2022.