Toujours plus haut Toujours plus haut Toujours plus haut

​Pour la plupart d'entre nous, les deux dernières années comptent parmi les plus perturbatrices jamais vécues. En effet, la pandémie mondiale a contraint des milliers de personnes à télétravailler, à mettre en pratique de nouvelles politiques et de nouveaux modèles d'affaires, et à participer à des rassemblements sociaux virtuels qui, dans certains cas, n'ont fait qu'accroître le stress collectif.

Pour certains d'entre nous, cependant, il ne s'agissait là que d'un avant-goût de ce qui allait suivre. En effet, une autre pandémie touchant des entreprises de toutes sortes, soit une pandémie de cybermenaces et de rançongiciels en particulier, a bousculé le peu de normalité qu'il restait. Dans le secteur qui nous intéresse, soit l'assurance, la cybersécurité est maintenant considérée comme la catégorie étant la plus perturbée. Cela fait écho aux dires d'administrateurs et de dirigeants (en anglais) partout dans le monde, qui qualifient le cyberrisque de l'une des plus grandes menaces pour les entreprises. Pour vous donner une idée, selon le magazine Canadian Underwriter (en anglais), les réclamations nettes en matière d'assurance contre les cyberrisques engagées au Canada au cours du deuxième semestre de 2021 atteignaient 106,26 millions de dollars, soit un rapport sinistres-primes de 113 %.

Cela a entraîné une hausse des primes : d'après nos observations, des entreprises font face à une hausse jusqu'à cinq fois leurs primes de l'année précédente, et souvent elles peuvent s'estimer chanceuses. En effet, de nombreuses autres entreprises ne sont plus assurables, ou doivent accepter une réduction du plafond de la protection, de nouvelles restrictions en matière de protection, comme la coassurance pour les pertes découlant de rançongiciels, et l'acceptation accrue du risque transféré antérieurement.

Devant ces faits, il est tout à fait raisonnable de se demander ce qui se passe.

Un courant inverse
La réponse est assez simple : depuis des années, le marché de la cyberassurance est dominé par une course au bas prix. De nouveaux acteurs dont l'approche de souscription est axée sur la gouvernance des risques plutôt que sur les contrôles techniques de sécurité sont apparus sur le marché, et cela a entraîné une baisse des primes et une hausse des protections. Techniquement, le marché est encore nouveau, et en était encore à développer sa compréhension du secteur lorsque la pandémie de rançongiciels a frappé. Ce qui arrive en ce moment avec les primes est une correction qui devait se produire, à la fois pour stabiliser le marché et le « mettre à l'épreuve du temps ».

Tout cela signifie que la hausse des primes n'est pas temporaire. De fait, nous devrions voir cela comme un nouveau départ plutôt que comme une augmentation par rapport aux années précédentes. Pourquoi? Parce que vous aurez beau tenter d'atténuer les augmentations les plus importantes tout en conservant votre protection, les primes dépendront toujours en grande partie de la façon dont votre entreprise résiste aux nouvelles exigences techniques que réclament les assureurs. Parmi ces exigences, on compte :

1. Des modèles de gouvernance centralisés, avec application uniforme des contrôles en matière de cybersécurité, pour toutes les unités administratives et les personnes à charge devant être assurées en vertu d'une même police.
2. Une authentification multifactorielle pour tous les accès à distance de l'organisation, y compris tout fournisseur ayant un accès privilégié pour la maintenance, les services, etc.
3. Des solutions de détection aux points terminaux (EDR) et une plateforme de protection des terminaux (EPP) installées sur des serveurs et des terminaux dotés de fonctions anti-maliciels avancées.
4. Un système de pointe pour le filtrage des courriels, avec bac à sable (pour y faire détoner le contenu malveillant) et fonctionnalité de quarantaine.
5. Une gestion dynamique des correctifs et des vulnérabilités, avec analyse et suivi réguliers des vulnérabilités jusqu'à leur correction.
6. Des sauvegardes à l'épreuve des rançongiciels, y compris des copies quotidiennes hors ligne avec des comptes de service dédiés, des mots de passe uniques et des authentifications multifactorielles.
7. Des solutions de gestion des accès/identités à privilèges.
8. Des contrôles au niveau du système et de l'organisation : gestion des informations et des événements relatifs à la sécurité, avec surveillance en tout temps.
9. De la formation et de la sensibilisation quant aux programmes d'hameçonnage.
10. Des évaluations internes annuelles pour vérifier la mise en œuvre et l'efficience des politiques.
11. Une segmentation du réseau (technologies de l'information et technologie d'exploitation, actifs essentiels, zones démilitarisées (DMZ) pour les actifs clients et externes, etc.).

Votre courtier et votre directeur des finances vous remercieront d'avoir mis en place ce qui précède. Cela démontrera aux souscripteurs que vous ne ménagez pas les efforts pour détecter les pertes potentielles les plus graves provoquées par un cyberincident et pour vous défendre contre celles-ci.

Se préparer, au carré
Les souscripteurs utilisent maintenant des outils d'analyse pour rechercher les principales vulnérabilités potentielles exposées à l'internet. Des outils comme Bitsight produisent des rapports sur les clients éventuels et actuels, avec un processus de jugement tranchant. Par exemple, si votre entreprise affiche un trop grand nombre d'éléments menaçants (un port de protocole Remote Desktop Protocol ouvert, ou encore un système ancien ou non corrigé qui communique avec l'internet), son dossier sera probablement refusé. L'analyse régulière de votre environnement est évidemment une pratique exemplaire recommandée, mais assurez-vous d'effectuer celle-ci et de corriger toute vulnérabilité potentielle avant de soumettre votre demande au marché de la cyberassurance. À tout le moins, préparez un plan que vous pourrez présenter aux souscripteurs.

Que devriez-vous surveiller lors de votre entrée sur le marché de l'assurance ou de votre prochain renouvellement?

• Les primes élevées, avec des augmentations variant de 50 à 200 %. Comme chaque cas est différent, soyez prêt et amorcez rapidement le processus.
• La réduction des limites de protection. Selon le secteur d'activité et les profils de risque, une limite de 10 M$ peut descendre à 5 M$, et ainsi de suite.
• La diminution de la protection :
  • la coassurance contre les rançongiciels, où vous devez payer 50 % de toute perte connexe;
  • les conditions préalables à la protection, avec exclusions en place pour les systèmes non corrigés, l'absence d'authentification multifactorielle, ou la perte de soutien technique.

En fin de compte, il n'existe aucun substitut à un investissement judicieux dans votre cybersécurité. Vous devez planifier l'installation de contrôles qui répondront aux exigences techniques du marché. Et n'ayez pas peur de remettre en question les conditions de protection et de marché proposées par votre courtier d'assurance, car tout enrobage sucré devrait représenter un signal d'alerte.

Faire équipe avec son assureur
Tout ceci, cependant, doit être accompagné d'une mise en garde. Comme nous l'avons dit, le marché de la cyberassurance est en pleine expansion, tout comme les menaces qui le font évoluer. À mesure que de nouvelles cyberattaques seront découvertes, d'autres exigences seront imposées aux assurés. Ces exigences devraient être les bienvenues, car le marché de l'assurance contribue à l'amélioration de la cybersécurité dans tous les secteurs, chose que seule la réglementation était en mesure de faire auparavant. Respecter les normes et les cadres de référence en matière de pratiques exemplaires vous permettra toujours de devancer le marché… et les menaces qui le guettent.