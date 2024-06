Selon une étude publiée par Sophos, 76 % des entreprises ont amélioré leur cybersécurité dans le but de souscrire à une police de cyberassurance

juin 2024 par Sophos

Sophos publie les conclusions d’une enquête intitulée Cyber Insurance and Cyber Defenses 2024 : Lessons from IT and Cybersecurity Leaders. Selon cette étude, 97 % des entreprises ayant souscrit une cyberassurance ont investi dans le but d’améliorer leur protection et d’être plus facilement indemnisées ; 76 % d’entre elles ont déclaré que cette amélioration leur a permis d’être éligibles à la souscription d’un contrat ; 67 % d’obtenir de meilleurs tarifs ; et 30 % d’obtenir de meilleures conditions d’assurance.

L’étude révèle également que le coût de récupération en cas de cyberattaque est supérieur au montant de la couverture de l’assurance. Ainsi, seulement 1 % des entreprises ayant effectué une demande d’indemnisation ont déclaré que leur compagnie avait couvert à 100 % les coûts encourus tout en remédiant à l’incident. Dans la majorité des cas en effet, l’assureur n’a pas pris en charge l’intégralité des coûts parce que le montant total de la facture était supérieur au plafond de la police. Selon l’étude publiée par Sophos sous le titre L’état des ransomwares 2024, le coût de récupération en cas d’attaque de ransomware a augmenté de 50 % au cours de l’année dernière pour atteindre en moyenne 2,73 millions de dollars.

« Le rapport Sophos Active Adversary montre régulièrement que nombre de cyberincidents sont le résultat de l’incapacité des entreprises à mettre en œuvre des pratiques de cybersécurité aussi élémentaires que l’application de correctifs de sécurité en temps et en heure. Notre dernier rapport indique par exemple que les identifiants compromis sont la cause première des attaques, alors que dans 43 % des investigations, l’authentification multifacteur (MFA) n’avait pas été configurée », souligne Chester Wisniewski, directeur, Global Field CTO de Sophos.

« Le fait que 76 % des entreprises aient investi dans des moyens de cyberdéfense pour être éligibles à une police montre que l’assurance oblige les dirigeants à appliquer certaines de ces mesures de sécurité essentielles. Cette approche fait toute la différence et exerce un impact à la fois plus large et positif sur l’ensemble de l’entreprise. Toutefois, si elles ont un effet bénéfique pour les entreprises, les cyberassurances ne constituent que l’un des éléments d’une stratégie efficace d’atténuation des risques et les entreprises doivent continuer de renforcer leurs moyens de défense. Une cyberattaque peut avoir de profondes répercussions sur l’activité d’une entreprise, que ce soit du point de vue opérationnel ou de sa réputation, et le fait de souscrire à une cyberassurance n’y change rien. »

Selon l’étude, 99 % des 5 000 responsables IT et cybersécurité qui ont déclaré avoir amélioré leurs capacités de cyberdéfense pour souscrire une police de cyberassurance ont également enregistré des avantages plus larges sur le plan de la sécurité, au-delà de la couverture prévue ; ces investissements leur ont notamment permis de bénéficier d’une meilleure protection, de libérer des ressources informatiques et de générer moins d’alertes.

« Les investissements consacrés aux moyens de cyberdéfense semblent générer des avantages supplémentaires, les entreprises pouvant affecter les économies réalisées grâce aux assurances à d’autres moyens de défense dans le but d’améliorer leur posture de sécurité au sens large. Il reste à espérer que la sécurité des entreprises continuera de s’améliorer à mesure que l’adoption de polices d’assurances cyber se poursuivra. Certes, cette mesure ne fera pas disparaître les attaques de ransomware, mais elle fait partie de la solution », a ajouté Chester Wisniewski.

Les données exploitées pour rédiger l’étude Cyber Insurance and Cyber Defenses 2024 : Lessons from IT and Cybersecurity Leaders sont issues d’une enquête menée en janvier et février 2024 auprès de 5 000 responsables IT et cybersécurité — sans distinction de fournisseur — localisés dans 14 pays des régions Amériques, EMEA et Asie-Pacifique. Les entreprises consultées comptent entre 100 et 5 000 employés pour un chiffre d’affaires compris entre moins de 10 millions et plus de 5 milliards de dollars.