Toujours en tête au hit-parade des plus fortes menaces, les cyberattaques poussent les entreprises à mieux se protéger si elles veulent rester assurées. La cyberassurance continue de jouer un rôle d’amortisseur financier en cas d’incident. Mais elle pousse les entreprises à adopter des pratiques préventives.
Les assureurs imposent leur loi en matière de cybersécurité
Structurellement déficitaire, le secteur de la cyberassurance ne peut devenir rentable uniquement par des hausses de primes d’assurance. Face à la multiplication des cyberattaques, les entreprises doivent renforcer leur cybersécurité.
En 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) souligne toujours l’importance des menaces d’extorsion de rançons. Elles visent les PME/TPE/ETI (37%), les collectivités territoriales (17%), les établissements d’enseignement supérieur (12%) et les entreprises stratégiques (12%).
Et, puisque payer les rançons ne permet généralement pas de récupérer ses données, il faut donc agir en amont et les protéger.
C’est pourquoi, avant de signer une police d’assurance, les entreprises doivent démontrer avoir pris un minimum de précautions, pouvant se résumer à :
Mise en place d’un antivirus ;
Sauvegardes régulières des données et stockage sur un support déconnecté du réseau ;
Authentification multifactorielle pour l’accès aux données ;
...
Ce strict minimum n’empêche pas les assureurs d’ajuster leurs prérequis pour suivre l’évolution des cybermenaces. D’où une tendance grandissante dans les entreprises à chercher en permanence à renforcer leur cybersécurité.
Lire à ce sujet notre article « La cybersécurité, un nouveau réflexe dans les entreprises ».
Les entreprises doivent désormais intégrer des diagnostics de risque réguliers et à mener des audits de sécurité aléatoires. C’est le rôle central de la prévention et de la résilience opérationnelle.
D’autant que les clients revendiquent aussi leur droit à la protection de leurs données personnelles. C’est également une exigence dont les assurances sont bien obligées de tenir compte avec les contrats de responsabilité civile.
Mais, compte tenu de l’arrivée de l’IA, l’évaluation du risque cybercriminel devient particulièrement complexe. Cette réalité déstabilise les assureurs dont le travail est justement d’anticiper le risque, et les force donc à imposer des mesures préventives à leurs clients.
Les prérequis informatiques demandés par les assureurs
Aujourd’hui, un contrat de cyberassurance se mérite. L’organisation doit prouver sa volonté de se protéger et ses actions concrètes en matière de cybersécurité. Cela peut concerner :
L’audit régulier du système d’information de l’entreprise ;
L’identification des points de vulnérabilité de ses outils informatiques et de son réseau ;
La mise à jour des failles de sécurité en accompagnement de toute évolution du réseau d’information ;
La politique de cybersécurité de l’entreprise doit être claire et connue de tous les employés ;
La sécurisation des données passe par une politique de sauvegarde des données rigoureuse. Les données sensibles doivent être stockées dans des lieux sécurisés, si possible de manière chiffrée. Les sauvegardes doivent rester déconnectées du réseau et testées régulièrement par du personnel agréé ;
Pare-feu, logiciels antivirus, outil de chiffrement, solution de double authentification, protection des connexions aux accès distants, protocoles de sécurité IoT pour les objets connectés, etc.
L’entreprise ne doit pas oublier que chaque renouvellement du contrat d’assurance devra s’accompagner d’une mise à jour de l’état des lieux de la cyber prévention.
Vers plus de cyber résilience
Soyons clairs : la déferlante de l’intelligence artificielle joue un rôle dévastateur en matière de cybersécurité. Ses capacités d’innovation et d’adaptation submergent toute volonté de protéger ses données et le fonctionnement de nos systèmes d’information.
Dans l’impossibilité de se protéger à 100 %, chaque entreprise doit accepter son exposition permanente aux cyberattaques, mais ne surtout pas baisser les bras. Elle doit devenir cyber résiliente.
La cyber résilience désigne la capacité d’une organisation à anticiper, résister, récupérer et s’adapter. C’est une nouvelle étape après la cybersécurité, concept qui a montré ses limites.
Désormais, il faut accepter le risque, y préparer son personnel et renforcer en permanence sa propre capacité à rebondir et à faire évoluer son organisation. Rien n’étant jamais acquis, il faut adopter une démarche proactive permanente.
Et puisqu’il faut accepter sa vulnérabilité face au cyberespace, il est nécessaire de former le comportement humain de toute l’organisation. Les collaborateurs sont en effet souvent le maillon faible en matière de sécurité.
La surveillance permanente de la circulation des données doit devenir un réflexe à tous les échelons d’une entreprise. Chacun à son niveau peut détecter une faille de sécurité et proposer de la corriger. Cet audit permanent facilitera l’élaboration d’un Plan de Reprise d’Activité (PRA) pour retrouver sa productivité rapidement en cas de problème.
Entre application du RGPD pour éviter toute poursuite et promotion de l’agilité et de l’amélioration permanente, les entreprises pourront compter sur leur assureur pour les soutenir.
Analyse des rapports d’audit de sécurité et soutien à la réduction des risques structurent la démarche préventive facilitant la signature d’un contrat d’assurance cyber. Le Groupe Gesco Assurances, courtier en assurances, est à votre disposition pour compléter et renforcer votre plan de cyber résilience.