Cyber Insurance : reduced coverage for increased costs.

Assurance en cybersécurité

Une couverture réduite pour des coûts accrus

Avec la montée en puissance des cybermenaces, les organisations sont désormais encouragées à investir dans des mesures de sécurité robustes, non seulement pour répondre aux exigences de conformité, mais également pour s'adapter aux nouvelles exigences des assureurs.

Ainsi, les organisations commencent à aligner leurs efforts de cybersécurité avec leurs politiques d'assurance pour essayer d'obtenir des tarifs d'assurance plus favorables, reflétant un changement de paradigme où les mesures de cybersécurité influencent directement les primes d'assurance.

Le marché de l'assurance en cybersécurité a atteint un niveau de maturité tel que les demandeurs et les fournisseurs d'assurance cyber ont acquis une connaissance précise de la manière dont les menaces se traduisent par des sinistres et comprennent généralement la nécessité de disposer de contrôles de sécurité minimaux pour aider à prévenir et à atténuer les effets de ces menaces.

Alors qu'elles cherchent à se prémunir des conséquences financières des cyberattaques, les organisations font face à un double défi : une augmentation des coûts d'assurance en cybersécurité et une diminution de la couverture offerte.

Cette tendance met en lumière la nécessité croissante pour les organisations d'améliorer leurs propres mesures de sécurité et d'évaluer rigoureusement leurs fournisseurs.

L'assurance en cybersécurité, plus populaire que jamais malgré l'augmentation des coûts.

Malgré l'augmentation des coûts et la complexité des cybermenaces, la demande d'assurance en cybersécurité continue d'augmenter. Les entreprises de toutes tailles investissent de plus en plus dans des polices d'assurance en cybersécurité pour se protéger contre les conséquences financières des violations de données, des ransomwares, et autres types d'incidents de cybersécurité.

La demande pour ces assurances est également stimulée par l'évolution des réglementations gouvernementales et des exigences en matière de conformité, ce qui incite les entreprises à chercher une couverture d'assurance adaptée.

Le marché mondial de l'assurance en cybersécurité devrait peser près de 90 milliards d'euros en 2033, avec un rythme de croissance annuelle de près de 22,3% entre 2024 à 2033. En 2023, sa valeur devrait s'élever à plus de 12 milliards d'euros.

Source: market.us.

Les montants maximaux de couverture des fournisseurs d'assurance cybernétique sont très variables, allant de 1 million d'euros à 100 millions d'euros par sinistre.

Face à une série de violations massives de données, l'industrie de l'assurance est contrainte de revoir ses tarifs à la hausse tout en limitant la portée de sa couverture. Cette évolution est en partie due à une visibilité réduite sur les risques comparée à d'autres secteurs d'assurance, ainsi qu'à une augmentation significative des réclamations.

La couverture des tiers au cœur des préoccupations du marché

La couverture des tiers détient une part significative de plus de 62% sur le marché de l'assurance, soulignant l'importance de protéger les entreprises contre les réclamations de tiers résultant de violations de données ou d'incidents de cybersécurité.

Pour plus de détails sur les données du marché, nous vous invitons à consulter le site de market.us ici. et l'article de Media article.

L'essor des évaluations automatisées des fournisseurs

Avec la consolidation de la chaîne d'approvisionnement et la complexité croissante des écosystèmes de sécurité, les évaluations automatisées des fournisseurs deviennent essentielles. Ces évaluations permettent d'identifier et de gérer les risques liés à la sécurité des tiers de manière plus efficace et exhaustive.

Les évaluations automatisées des fournisseurs, proposées par des plateformes telles que SecurityScorecard, Findings.co et Scytale.ai, offrent des solutions efficaces et rentables pour évaluer et gérer les risques liés aux tiers, garantissant ainsi la conformité avec les exigences des assurances cybersécurité.

🛡️ SecurityScorecard: Cette plateforme propose des technologies telles que des questionnaires automatisés de cybersécurité et des systèmes de notation de sécurité pour construire un programme complet de gestion des risques des fournisseurs. Ces outils aident à atténuer les risques et à rationaliser les processus tout en améliorant la vitesse et en réduisant le travail nécessaire pour une gestion efficace des risques liés aux tiers. Pour plus d'informations, vous pouvez visiter le site web de SecurityScorecard. SecurityScorecard website.

🤖 AssessmentAI: C'est un auditeur automatisé alimenté par l'IA générative qui intègre l'IA dans les processus d'évaluation et d'audit de sécurité. Il améliore l'efficacité et la réactivité, offrant une expérience plus rapide, plus claire et plus simple à la fois pour les fournisseurs et les entreprises. AssessmentAI optimise la gestion des risques de la chaîne d'approvisionnement et réduit considérablement les coûts d'audit des fournisseurs. Pour plus d'informations, vous pouvez visiter le site web de Findings.co. Findings.co website.

🌐Scytale.ai: Cette plateforme met l'accent sur les économies de coûts opérationnels grâce à l'automatisation. Elle propose des outils intuitifs et des flux de travail automatisés pour une évaluation rapide des fournisseurs et l'identification des risques, conduisant à des efficacités opérationnelles et à des réductions de coûts. Pour plus d'informations, vous pouvez visiter le site web de Scytale.ai. Scytale.ai website.

Ces plateformes offrent des solutions efficaces et rentables pour évaluer et gérer les risques liés aux tiers, garantissant ainsi la conformité avec les exigences changeantes des assurances en cybersécurité.

Les principales exigences des assureurs en matière de cybersécurité

Gestion moderne de la surface d'attaque (ASM)

Aux Etats_Unis, la règle 106 de la SEC,, annoncée en juillet dernier impose de nouvelles obligations pour les entreprises cotées en bourse de divulguer rapidement les incidents et de rapporter annuellement sur la gestion, la stratégie et la gouvernance des risques de cybersécurité.

La gestion moderne de la surface d'attaque (ASM) devient une exigence clé en matière d'assurance de cybersécurité. L'ASM moderne offre la visibilité et la surveillance nécessaires pour satisfaire à cette règle tout en répondant aux attentes des assureurs.

Implémentation d'une Solution XDR (Extended Detection and Response)

Les assureurs privilégient les organisations dotées de solutions XDR pour plusieurs raisons clés. Les solutions XDR offrent une visibilité étendue et une surveillance continue, ce qui est crucial pour la conformité avec des réglementations telles que la Règle 106 de la SEC. Ces solutions intègrent et gèrent la sécurité sur l'ensemble des appareils, comptes et applications, fournissant ainsi une évaluation continue des risques plutôt que périodique. Cette approche globale permet aux équipes de sécurité d'identifier et de réagir rapidement aux menaces, réduisant ainsi le risque global et rendant l'organisation plus attrayante pour les assureurs. De plus, les capacités d'analyse intelligente des solutions XDR aident les organisations à prioriser efficacement les risques, accélérant la mitigation et soutenant une posture proactive en matière de cybersécurité.

Priorisation de la gestion des vulnérabilités

Les souscripteurs des compagnies d'assurance se concentreront sur les vulnérabilités qu'ils considèrent comme les plus critiques et exploitables, et les intégreront fortement dans leurs évaluations des risques.

Exclusion des brèches de fabrication de la couverture d'assurance

La digitalisation dans le cadre de l'Industrie 4.0 a augmenté les risques pour les environnements industriels, conduisant de nombreuses entreprises industrielles à se tourner vers l'assurance en cybersécurité. Cependant, les assureurs pourraient ne plus couvrir les dommages subis par ces organisations.

L'industrie manufacturière est une industrie critique, vitale pour l'économie. Une attaque contre un fabricant peut avoir pour but non pas de nuire à une entreprise spécifique, mais de perturber l'économie. Dans de telles situations - en particulier si plusieurs fabricants sont touchés en même temps - les assureurs pourraient considérer les attaques comme des actes de guerre plutôt que comme des cybercrimes, et les actes de guerre sont exclus de la couverture.

Effectivité des plans de réponse aux incidents (IR)

Les compagnies d'assurance sont susceptibles d'exiger des plans de réponse aux incidents documentés et testés comme une exigence obligatoire de l'assurance en cybersécurité. On retrouve la même exigence dans la nouvelle directive européenne NIS2 qui devrait rythme 2024. Entrée en vigueur en janvier 2023, elle entrera en application dès octobre 2024 (la directive NIS2 par l'ANSSI).).

Mise en place de Services de Sécurité Gérés (Managed Security Services Provider - MSSP)

Les assureurs privilégient les organisations dotées de services de sécurité gérés pour plusieurs raisons essentielles. Tout d'abord, les MSSP offrent une expertise en cybersécurité qui peut manquer en interne dans de nombreuses organisations. Cette expertise est cruciale pour faire face aux cybermenaces de plus en plus sophistiquées et pour maintenir une posture de sécurité robuste.

Les MSSP fournissent des services tels que la surveillance continue des événements de sécurité, la détection et la réponse gérées aux menaces, les tests de pénétration et la chasse proactive aux menaces, assurant ainsi une protection complète.

De plus, les MSSP peuvent aider à gérer et à allouer efficacement les budgets de sécurité, réduisant ainsi les coûts globaux de cybersécurité pour les organisations. Ils offrent également une administration de la conformité, ce qui est essentiel pour respecter des réglementations telles que le RGPD, HIPAA et CCPA. Cette conformité est un facteur important pour les assureurs lorsqu'ils évaluent le risque et la couverture d'assurance.

En outre, les MSSP consolident des professionnels expérimentés dans un domaine à forte demande, permettant ainsi de centraliser les ressources limitées en cybersécurité pour offrir un service optimal. Ceci est particulièrement bénéfique pour les organisations qui n'ont pas les moyens de développer une équipe de sécurité robuste en interne. L'externalisation de la maintenance et de la surveillance de la sécurité à un MSSP permet aux organisations de bénéficier d'une protection améliorée tout en se concentrant sur leurs objectifs commerciaux principaux.

En somme, l'utilisation de MSSP peut augmenter la qualité de la protection, améliorer la détection précise des menaces et aider à la conformité réglementaire, ce qui est favorable aux yeux des assureurs. Les organisations qui utilisent des services de sécurité gérés sont souvent mieux préparées et équipées pour répondre aux exigences croissantes des assureurs en matière de cybersécurité.

Cet article souligne l'importance croissante de s'adapter aux évolutions du marché de l'assurance en cybersécurité. Les organisations doivent désormais faire face à des coûts accrus et une couverture réduite, tout en répondant aux exigences de conformité et aux attentes des assureurs. L'essor des évaluations automatisées des fournisseurs et l'adoption de stratégies de cybersécurité plus complètes, notamment la gestion moderne de la surface d'attaque (ASM) et l'implémentation de solutions XDR, deviennent cruciaux. Par ailleurs, l'importance croissante de la couverture des tiers et l'émergence de services de sécurité gérés (MSSP) reflètent une tendance vers une gestion plus proactive et stratégique des risques en matière de cybersécurité. Cette approche devrait devenir la norme, notamment dans des secteurs comme l'assurance. En cette période de transformation digitale, il est plus important que jamais pour les entreprises de toutes tailles d'investir dans des mesures de sécurité robustes et de rester informées sur les meilleures pratiques et solutions disponibles pour protéger leurs actifs numériques et maintenir leur compétitivité sur le marché.