La planification rigoureuse d’une politique Zero Trust permet indirectement de négocier les primes liées à une cyber assurance. Car l’assureur, de son côté, perçoit l’effort consenti par l’entreprise pour protéger son SI des ransomwares et d’en restaurer les données sans avoir à payer une rançon auprès des pirates. « Si vous ne faites rien, aucun audit préalable, quel assureur prendra des risques », s’interroge à juste titre Bruno Caille, CTO de Cisco France et d’ajouter : « Quelque part, cela oblige parfois certaines entreprises à mettre en place leur premier audit de sécurité et certains outils. » Dans ce contexte de menaces en constante évolution et en croissance, les assureurs sont de plus en plus exigeants et imposent des garanties comme la mise en place d’une solution MFA par exemple. Pour certaines cyberassurances, il faut aller plus loin dans la couverture du risque, comme le dit Benoit Grunemwald, d'Eset France, il ne suffit pas d’apporter une réponse cosmétique : « Est-ce que le remboursement d’un device couvre les données qui sont à l’intérieur ? » C’est dans ce contexte que l’éditeur ESET a signé aux Pays-Bas avec le cabinet Northwave qui intervient directement sur le sinistre à la demande des assureurs. D’une manière globale, les assureurs durcissent leurs garanties et les conditions de souscription face à des risques parfois systémiques. Axa et Generali avaient même cessé de proposer des contrats couvrant les dommages liés à des rançongiciels. Ce durcissement pénalise en premier lieu les PME qui n’auront pas les moyens de souscrire à une cyberassurance dans l’avenir. Selon l’Amrae (Management des Risques et des Assurances de l’Entreprise), si la plupart des grandes entreprises sont aujourd’hui couvertes en France, à peine 1 % des PME le serait alors que ces mêmes PME sont de plus en plus attaquées selon la plate-forme Cybermalveillance. Face à ce constat, les pouvoirs publics ont pris les choses en mains, un projet de loi devrait même voir le jour d’ici peu ; ce projet faisant suite à un rapport remis début septembre. Il prévoit à ce titre la possibilité d'être indemnisé en cas d'attaque par rançongiciel sous condition que l’entreprise dépose une plainte.
Commentaire