5 Limitations des Assurances Cybersécurité

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

Le secteur de l’assurance cybersécurité est un domaine très récent, avec de plus en plus d’assureurs offrant ces protections. Pourtant, seule une entreprise sur trois possède une forme ou une autre de cyberassurance. En fait, la croissance du marché a connu un certain ralentissement dernièrement et ce, pour plusieurs raisons.

Voici 5 limitations des assurances cybersécurité à connaître:

1. Comporte des limitations très larges

L’assurance en cybersécurité est très difficile à garantir, ce qui signifie que la plupart des assureurs ont tendance à avoir des limitations très larges. Une des limitations qui surgit souvent est qu’elles ne couvrent pas les « actes de guerre ». Cette clause a été invoquée pour justifier le refus de la couverture d’attaques, même s’elle n’a pas été démontré qu’elles avaient été causées par un état étranger. En réalité, la plupart des incidents majeurs survenus en 2019 n’ont pas été couverts en raison de cette clause.

De plus, l’assurance ne couvre que les coûts directs liés à une cyberattaque, ce qui signifie qu’aucune assurance ne peut vous aider à vous remettre des pertes intangibles que ces actes occasionnent en ce qui concerne la confiance des clients et la réputation de l’entreprise. Une autre limitation majeure est que l’assurance cybersécurité ne couvre généralement pas les dommages physiques et les blessures causés par un dysfonctionnement de vos équipements industriels dans le cas d’une cyberattaque perturbatrice, une menace qui ne cesse de croître dans l’industrie manufacturière dernièrement.

Comme ces politiques sont relativement nouvelles, il est difficile de savoir ce qui est couvert de ce qui ne l’est pas. La couverture n’a été étendue aux petites entreprises qu’au cours des dernières années et on ne dispose pas d’assez de précédents juridiques pour savoir ce qui sera couvert suite à un incident de cybersécurité.

2. Les assurances cybersécurité créent un faux sentiment de sécurité

Par ailleurs, l’assurance cybersécurité crée souvent un faux sentiment de sécurité, ce qui mène les entreprises assurées à croire que la totalité de leurs pertes financières seront couvertes à la suite d’un incident. Cela amène bon nombre d’entre elles à négliger leur sécurité et à réduire leurs budgets pour leur équipe de sécurité informatique, ce qui les expose encore plus au risque d’une cyberattaque.

En réalité, la majorité des assureurs refuseront la réclamation d’une entreprise si leurs mesures de cybersécurité ont été jugées insuffisantes, de la même manière qu’un assureur peut refuser de vous indemniser si un voleur parvenait à entrer par votre porte arrière maintenue ouverte à l’aide d’une brique, par exemple. Cela signifie que vos risques de cybersécurité ne doivent jamais être pris à la légère et ce, même si vous avez une assurance, car il est possible que ce soit la principale raison pour laquelle votre réclamation puisse être refusée.

3. Nécéssite la dilvugation d’informations sur votre cybersécurité

Avant que vous puissiez être assuré, la plupart des fournisseurs auront besoin de renseignements détaillés sur votre gestion de la cybersécurité, tels que vos pratiques de sécurité, vos politiques, les mesures qui ont été prises pour sécuriser votre entreprise, etc. Cela signifie que votre assureur pourrait exiger que vous vous conformiez à ses pratiques de sécurité avant de pouvoir être assuré, vous forçant à créer de nouvelles politiques de cybersécurité, à augmenter votre budget en sécurité TI, à effectuer des audits de sécurité et des tests d’intrusion sur tous vos systèmes et infrastructures sur une base régulière, et bien plus encore. De ce fait, vous pourriez être forcé de dépenser plus de ressources sur les contrôles de sécurité que nécessaire, en plus de votre prime d’assurance, avant même de pouvoir en bénéficier.

Bien que leurs exigences strictes vous aideront souvent à atténuer vos risques, elles vous obligeront à dépenser davantage pour votre cybersécurité que vous ne l’auriez fait en premier lieu afin de prévenir tout incident. Pire encore, ces investissements sont souvent gaspillés, car les entreprises ne valideront ces contrôles de sécurité que pour se conformer aux exigences, les laissant de côté et les négligeant une fois qu’elles auront été assurées avec succès. Dans bien des cas, cette négligence sera invoquée pour justifier le refus de l’assureur de payer des indemnités.

4. Ne couvre pas les menaces à l’interne

De plus, cette assurance ne couvre pas les pertes associées à une attaque ou à une brêche de données effectuée à l’interne par un acteur malveillant, un stagiaire ou un employé temporaire dont l’accès aux systèmes n’a pas été soigneusement sécurisé et validé. Cela signifie également que la négligence d’un employé, comme la perte d’un ordinateur portable de l’entreprise contenant des données client précieuses, ou le fait d’être touché par une attaque par hameçonnage (l’acte d’envoyer un courriel coercitif pour infecter un système ou pour obtenir les données d’authentification d’un utilisateur) ne sera pas couvert par la prime d’assurance. Pour empirer les choses, près de 90 % des cyberattaques en 2017 ont été causées par une erreur humaine, ce qui implique que la majorité des incidents relèvent généralement de la négligence d’un employé et risquent de ne pas être couverts par ce type d’assurance.

5. Ne peut couvrir les pertes intangibles

Une autre lacune de l’assurance cybersécurité est que, bien qu’elle couvre les coûts nécessaires pour se remettre d’une attaque (comme la réponse aux incident, la restauration technique, etc.), elle ne couvre pas les pertes intangibles à long terme qui résulteront inévitablement d’un incident de cybersécurité. Que ce soit en raison de secrets commerciaux volés qui ont pu être vendus à vos concurrents, d’une perte de confiance de la part de vos clients ou d’une baisse des actions de votre entreprise, votre assurance ne couvrira qu’une petite partie du coût global de l’incident et cette somme pourrait même ne pas être suffisante pour vous permettre de récupérer entièrement de ce dernier. C’est pourquoi, vous ne devriez jamais compter sur celle-ci pour couvrir toutes vos pertes financières.

En conclusion

Malgré toutes ces limitations, ce n’est pas nécessairement une mauvaise idée d’obtenir une police d’assurance cybersécurité si vous êtes en mesure d’en trouver une qui est abordable et qui réponds à vos besoins. Cependant, vous devez être pleinement conscient qu’il y a des limites à l’assurance cybersécurité, qu’elle ne peut servir qu’à couvrir certaines pertes et qu’elle ne doit pas être une raison pour négliger vos risques de cybersécurité.

Il est préférable de s’assurer d’avoir un bon plan de sécurité en place pour éviter d’avoir besoin d’une police d’assurance pour limiter les pertes financières. Afin de vous protéger, ainsi que de protéger vos employés et vos clients, il est nécessaire de prendre toutes les mesures nécessaires, même si vous êtes assurés. Contactez un spécialiste d’expérience pour en savoir plus sur la façon d’atténuer vos risques de cybersécurité afin de prévenir les incidents potentiellement coûteux.

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
test d'intrusion vs bug bounty

Test d’Intrusion vs Bug Bounty

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'Intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

Vous Voulez Prévenir Les Incidents de Cybersécurité?

ou appelez nous directement au: