Ce n’est pas un scoop : le marché de la cyber assurance explose partout dans le monde. Pas de sinistres sans assurances, qu’ils soient environnementaux, financiers, commerciaux ou encore cyber.
Le CAGR du marché de la cyber assurance dans le monde est attendu à 35,92% de 2022 à 2027. Rien que ça !
Négocier une police d’assurance cyber est devenu complexe
Et l’incertitude qui ne bénéfice ni à l’assuré, ni à l’assureur.
- L’assuré se trouve confronté à une explosion des primes d’assurances. Cette explosion augmente le risque de devoir faire face à un contentieux en cas de sinistre. Il n’y a pas de pire situation, pour un dirigeant, que de reporter à demain la couverture d’un sinistre arrivé aujourd’hui et dont les conséquences affectent sa trésorerie immédiate. Perte d’exploitation, pénalités, reconstruction des capacités de production : les conséquences d’une cyberattaque sont brutales et demandent des moyens immédiats.
- Pour l’assureur, la situation n’est pas non plus idéale. Ce dernier conserve toujours une marge d’incertitude assez forte sur l’effectivité réelle des moyens de cybersécurité et de résilience de l’assuré. Cela est d’autant plus vrai pour les entreprises de taille moyenne. En effet, le coût du contrôle de l’effectivité des capacités de cyber assurance est rapidement prohibitif par rapport aux primes d’assurances escomptées.
L’adversité croissante de l’environnement cyber avec des attaques aléatoires ou alors particulièrement ciblées, n’aide en rien à clarifier la situation. Les solutions habituelles de contrôle des moyens de protection permettent difficilement aux compagnies d’assurance d’obtenir une vue complète :
- Les solutions de contrôle déclaratives reposent par définition sur du déclaratif. Elles ne permettent pas de vérifier l’effectivité des mesures annoncées.
- Les solutions d’audit fonctionnel ou technique (pentest, audits de code, bug bounty, etc.) ne ciblent que des périmètres spécifiques et ont un coût de mise en œuvre élevé.
- Les scanners de vulnérabilité donnent une vue très tronquée de la sécurité et de l’effectivité des capacités de SecOps.
Les solutions de nouvelle génération de simulation d’attaques peuvent sensiblement changer la donne.
Avec le scoring-cyber de capacités défensives, comme BlackNoise, il est possible :
- De vérifier en continu la capacité à identifier et traiter au plus tôt les attaques
- De valider que l’ensemble des solutions techniques mobilisées sont efficaces et correctement implémentées et paramétrées
- De s’assurer de l’absence de régression ou d’angles morts dans le temps
Il ne s’agit pas de décommissionner les solutions habituelles d’audit et de contrôle de la conformité des politiques de sécurité. Ni même de tourner le dos aux modèles de gestion des risques et aux SMSI. Mais pour un marché de la cyber assurance plus sain pour l’ensemble des parties-prenantes, il nous semble essentiel de passer à un scoring continu de l’effectivité des défenses cyber.