Par Allison Pan ,
Vice-président principale, Risques émergents, Marsh
04/11/2024 · Lecture de 7 minutes
Le monde dépendant du numérique d’aujourd’hui doit composer avec des cybermenaces incessantes. Et les conditions macroéconomiques actuelles peuvent faire en sorte que les hauts dirigeants soient soumis à une pression énorme pour réduire les risques tout en gérant des budgets restreints. Ce contexte peut amener la haute direction à envisager d’investir dans des contrôles de cybersécurité ou d’acheter une garantie contre les cyberrisques.
Au lieu de choisir l’une ou l’autre de ces options, les entreprises devraient trouver un équilibre en adoptant une approche à deux volets pour assurer une cyberrésilience prudente sur le plan financier. Cela consiste à investir dans les contrôles de cybersécurité tout en souscrivant une assurance qui convient à la tolérance au risque pour couvrir les pertes à la suite d’un cyberincident potentiel.
Le coût moyen d’une atteinte à la protection des données à l’échelle mondiale était de 4,45 millions de dollars américains en 2023, en hausse de 15 % sur une période de trois ans. Le coût moyen d’une atteinte à la protection des données aux États-Unis représente plus du double, soit 9,48 millions de dollars américains.
Source : Rapport de 2023 d’IBM sur le sinistre coût d’une atteinte à la protection des données.
Les cyberrisques sont considérés parmi les plus importants défis décrits dans le rapport sur les risques mondiaux de cette année. Il est donc essentiel que les organisations prennent des mesures qui peuvent les aider à atténuer et à gérer leurs cyberrisques et à améliorer leur capacité à récupérer efficacement dans le cas où elles seraient touchées par un cyberévénement.
Mais quelles mesures les organisations peuvent-elles prendre? Les actions nécessaires sont réparties en trois grandes catégories, qui constituent la base de la gestion des risques. Veuillez cliquer ci-dessous pour en savoir plus sur chaque principe.
Les programmes de cybersécurité aident les organisations en réduisant leur surface d’attaque, en les défendant contre les menaces, en sécurisant et en chiffrant les données, en segmentant ou en isolant les systèmes critiques et en limitant l’accès privilégié, entre autres choses. Des programmes de cybersécurité robustes et une bonne gouvernance de ces programmes sont essentiels : pour les entreprises publiques, ils ne sont plus facultatifs. Cependant, les budgets de cybersécurité sont souvent insuffisants pour couvrir les coûts considérables non technologiques nécessaires pour répondre à un cyberincident et assurer la reprise par la suite. De plus, la mise en place de nouveaux contrôles informatiques ou de contrôles informatiques améliorés peut prendre des années, ce qui signifie que les investissements en cybersécurité peuvent ne pas donner des avantages immédiats en matière de réduction des risques, et laisser un écart que l’assurance pourrait aider à couvrir.
L’assurance de la responsabilité civile professionnelle en matière de cybersécurité et de technologie peut offrir une protection financière après incident, en transférant une myriade de coûts associés aux défaillances de système ou aux atteintes à la sécurité dans le bilan d’une organisation. De façon très importante, ces programmes d’assurance peuvent couvrir les coûts non technologiques, y compris la responsabilité civile potentielle des tiers, les coûts réglementaires, les pertes de revenus, les coûts de marketing accrus pour limiter l’attrition des clients et les coûts pour se conformer aux lois sur les avis de non-conformité. Le transfert de ces pertes aide à protéger le bilan d’une organisation et à préserver sa santé financière.
Enfin, les organisations devraient évaluer, idéalement de façon quantitative, leurs risques matériels liés à la cybersécurité ou à la technologie. Cette analyse doit évaluer comment les contrôles existants ou étendus peuvent réduire ce risque implicite, quels programmes de transfert sont optimaux en matière de couverture et d’efficacité, et enfin quantifier le risque résiduel qu’ils peuvent assumer sur leur bilan.
Une approche équilibrée est particulièrement importante puisque nous reconnaissons de plus en plus que même les contrôles de sécurité les plus avancés peuvent ne pas empêcher tous les acteurs de menace ou atténuer toutes les erreurs humaines. En bref, les meilleurs contrôles peuvent ne pas être suffisants. De solides programmes de cybersécurité peuvent réduire la probabilité ou les répercussions d’un cyberévénement, mais ne sont jamais à l’épreuve des événements. En cas de pertes, un programme adéquat de cyberassurance offre un autre niveau de résilience pour aider les entreprises à réagir et à se rétablir.
Près des trois quarts des atteintes à la protection des données comprennent un facteur humain. Les humains font des erreurs et un certain degré de cyberrisques est inévitable, le risque ne peut donc jamais être complètement nul.
Source : Verizon’s 2023 Data Breach Investigations Report (DBIR)
Une organisation de soins de santé a investi 7 millions de dollars américains pour améliorer ses contrôles et ses pratiques de cybersécurité, ce qui a permis d’augmenter avec succès son niveau de maturité, conformément aux normes du National Institute of standards and Technology (NIST). Selon le calcul de la réduction des risques réalisée, l’organisation a économisé environ 25 millions de dollars américains. Cette prévention était nécessaire pour répondre aux exigences des assureurs, qui semblent être de plus en plus en plus en train d’évaluer les mesures de cybersécurité des organisations avant de fournir une proposition de prix.
Les dirigeants de l’organisation ont reconnu qu’il n’était pas possible d’éliminer toutes les cybermenaces et que les risques résiduels resteraient, malgré les investissements dans la cybersécurité. Ils ont décidé de bonifier les efforts de sécurité en investissant 1,3 million de dollars américains en cyberassurance, qui était également nécessaire du point de vue de la conformité.
La décision d’acheter une limite relativement importante a permis à l’organisation de soustraire 56 millions de dollars américains en cyberrisques potentiels de son bilan – une réduction des coûts qui n’aurait pas pu être atteinte en investissant le même montant dans des contrôles informatiques seulement. Conscient des avantages potentiels de la cyberassurance, le chef de la sécurité de l’information a préconisé une augmentation de limite de 10 millions de dollars américains, ce qui a fourni des fonds d’urgence pouvant être utilisés en cas de cyberincident.
Un programme de cyberassurance a permis à l’organisation de poursuivre sa stratégie d’investissement pluriannuelle afin d’améliorer ses processus de cybersécurité déjà complets.
En tenant compte de ce qui est en jeu, comment les organisations peuvent-elles prendre des décisions éclairées et prudentes en matière de gestion des cyberrisques, surtout lorsque les experts en sécurité et les professionnels de la gestion des risques ne sont pas d’accord sur la façon de répartir un budget limité entre les solutions de sécurité et les produits de transfert de risques? Pour aider à prendre des décisions objectives et éclairées, la haute direction doit se poser les questions suivantes.
Un cyberévénement est souvent une dépense qui n’est pas prise en compte dans le budget des organisations, avec des ramifications financières qui s’étendent au travail nécessaire à repérer et à arrêter la menace ainsi qu’à remettre l’organisation sur pied après l’événement. Tenez compte non seulement des coûts technologiques, mais aussi des autres frais de remédiation, y compris les coûts juridiques potentiels et la responsabilité civile des tiers. L’organisation serait-elle en mesure de financer ces coûts sans que cela ait une incidence importante sur ses résultats financiers ou sur la nécessité d’obtenir un financement supplémentaire?
Collaborez avec votre conseiller en gestion de risques pour clarifier toute idée erronée concernant la cyberassurance et pour comprendre clairement ce qui est généralement couvert. Votre conseiller devrait être en mesure de clarifier les services que la cyberassurance paie habituellement en cas d’intrusion, comme les frais engagés pour aviser les clients ou les organismes de réglementation, et ceux qui doivent être absorbés par votre organisation en l’absence de couverture. Il est important de noter que la plupart des assureurs continuent de fournir une couverture robuste qui devrait bien répondre aux cyberattaques.
Des idées fausses sont souvent associées au coût des limites de cyberassurance suffisantes. Bien que l’assurance puisse sembler coûteuse, l’achat d’un programme avec des limites adéquates pour couvrir les dépenses à la suite d’une intrusion représente souvent une fraction des coûts associés à une reprise. Notez également que les économies de coûts découlant de l’obtention d’une couverture inférieure peuvent ne pas être suffisantes pour permettre à une organisation d’apporter des améliorations importantes et rapides à sa posture en matière de cybersécurité.
Bien que les demandes de cyberassurance puissent prendre beaucoup de temps à remplir, les renseignements détaillés habituellement requis sont souvent déjà disponibles. Les demandes en cyberassurance sont généralement proportionnelles aux autres demandes de données des clients, des prêteurs ou d’autres personnes. De plus, bien qu’il soit parfois laborieux de recueillir les données la première fois, cela devient généralement plus facile lors des renouvellements subséquents. Votre conseiller en assurance peut vous aider à répondre aux questions et à fournir aux assureurs tous les renseignements pertinents pour faciliter le processus de demande.