En guise d’introduction Philippe Loudenot explique que c’est au moment du sinistre que l’on se rappelle de ce qu’il fallait faire en cas d’attaque et bien sûr c’est trop tard. Il realte la maxime de son beau-père ancien salarié d’une compagnie d’assurance : « les assureurs sont des gens très sympathiques qui prête un parapluie quand il fait beau et le reprenne quand vient l’orage ! ». Aujourd’hui, toutes les entreprises sont sous la cyber-menace et la grande question est de savoir comment se protéger des attaques. Pour Gabriel Leperlier, « effectivement la bonne question est bien de savoir comment s’en protéger en prenant des mesures qui vont faire en sorte qu’en cas d’attaque il n’y ait pas de propagation. Mais aussi que l’on puisse détecter et contrer rapidement les attaques. »

Les assureurs évalue les risques en faisant un état des lieux des SI

Marc-Henri Boydron considère que les compagnies d’assurance essaient d’analyser la maturité d’entreprises en termes de cyber et d’estimer l’impact financier. Ce dernier est le plus souvent estimer en considérant les coûts visible et invisible. Pour ce qui est des coûts visibles il s’agit de : la restauration, la partie juridique avec le RGPD, la remédiation avec un renforcement de la cyber.... ainsi, qu’une problématique de paiement éventuel de rançon lorsque les sauvegardes sont aussi corrompues. Pour la partie du risque invisible on trouve la perte de CA, les frais d’exploitation en cas de mise en place d’une infrastructure provisoire, les pertes de clients, la perte d’image, la perte de propriété intellectuelle... mais aussi des frais de justice en cas de dommage sur un tiers.

Du fait de l’augmentation et des coûts induits, les compagnies d’assurances ont sortie de leur contrat le risque cyber. Ce qui n’est pas étonnant considère Philippe
Loudenot en expliquant que dans les régions on a « la règle des deux » : deux heures pour être piratées, deux mois pour rétablir les services partiellement et deux ans pour revenir au niveau initial.

Les assureurs ne veulent plus assurer les entreprises dont le CA dépasse les 50 M€

Marc-Henri Boydron rappelle que la sinistralité est passé de 87M€ en 2019 à 217 M€ en 2020. Ainsi, le ratio sinistre/prime a augmenté de 167% dans la même période. De ce fait, dans les entreprises dont parle aujourd’hui d’assurer les risques résiduels plutôt que d’essayer de tout assurer. Aujourd’hui les compagnies d’assurances perdent de l’argent en assurant le risque cyber. Ainsi, elles refusent de plus en plus d’assurer des entreprises. Ainsi, elles assurent des organisations jusqu’à 50 millions € de CA mais beaucoup plus rarement au-dessus. Actuellement les assureurs paient des primes énormes aux entreprises de ce fait les entreprises qui n’ont pas déployées de double authentification voient leur contrat d’assurance cyber refusé.

Gabriel Leperlier explique qu’il conseille aux entreprises de mettre en place des systèmes de détection de type EDR XDR, des sauvegardes et de recruter de véritables RSSI. Elles doivent aussi faire des exercices de crise dont les impacts restent très proche de crise réelle avec même par exemple des simulations d’appels téléphoniques de pseudo pirates informatique... En effet, il rapporte que parfois les pirates ont même la main sur la téléphonie et connaissent exactement les échanges entre les équipes et ont des informations sur l’argent disponible. Au-delà de 50 millions d’€ de CA, les entreprises doivent monter un dossier avec toutes les informations disponibles d’autant que les assureurs utilisent des outils de scoring pour pouvoir évaluer si elle peuvent ou non assurer une entreprise. Parmi les prérequis elle s’attache à avoir un volet sensibilisation avec des simulations de phishing, de connaitre le niveau de patching qui doit être de moins de 15 jours selon les recommandations de l’ANSSI. Elles vont aussi regarder l’obsolescence des machines et dans certains cas si des mesures d’isolement ont été prises. Elles regardent aussi le déploiement de solution EDR et XDR, la gestion de l’Activ Directory en particulier au niveau de leur durcissement... le dernier point analysé est la politique de sauvegardes déconnecter.

Philippe Loudenot pose la question de la couverture à laquelle une entreprise peut s’attendre de la part de l’assurance ? Et si il y a des directives européennes en la matière ?

En France, rappelle Marc-Henri Boydron, il faut une harmonisation entre les assureurs, si un assureur a décidé de couvrir une entreprise elle a accepté le risque.

Dans le cas des banques elles commencent aussi à évaluer les risque cyber de leur client et se retournent vers des entreprises comme Almond pour vérifier la niveau de cybersecurité de leur client.

Dans le cas des PME ETI tous les contrats d’assurance couvrent l’assistance en cas d’attaque. Un volet prévention est aussi amener car elles font de la veille sur les nouvelles solutions conclut Marc-Henri Boydron.