L’évolution des tarifs de la cyberassurance face aux ransomwares
Au fil des années, l’augmentation des tarifs d’assurance liée aux ransomwares semble se stabiliser. Les réglementations européennes incitent davantage les entreprises à envisager une couverture adaptée.
Une stabilisation des tarifs après une forte hausse
Après une période d’explosion des tarifs de cyberassurance, y a-t-il un retour à la normalité ? En effet, les indemnisations versées par les assureurs ont dépassé 70 % des primes, créant ainsi un environnement commercial difficile. Pour y faire face, les assureurs ont réagi en augmentant les primes. Malgré cela, les coûts des contrats ont continué de grimper bien au-delà des niveaux d’inflation. De plus, les compagnies ont mis en place des conditions de souscription plus strictes, limitant parfois la couverture. Selon Fitch Ratings, les polices d’assurance ont enregistré une hausse de 50 % en 2022. Toutefois, il convient de noter que ces dernières augmentations de tarifs semblent avoir ralenti récemment.
« Nous observons aujourd’hui une diminution des incidents et des paiements liés aux ransomwares, ce qui contribue à stabiliser les coûts », explique Michael Robert, spécialiste de la cybersécurité chez GTA Bloom. Il ajoute que les exigences strictes des assureurs en matière de souscription et leur insistance pour que les clients adoptent de meilleures pratiques de cybersécurité ont également joué un rôle crucial. Emma Fekkas, vice-présidente régionale de la souscription chez Cowbell Insurance, souligne que « la posture de cybersécurité s’est améliorée dans la plupart des secteurs, ce qui nous permet de compenser l’augmentation des taux ».
Les coûts des incidents liés à la cybersécurité en hausse
La cyberassurance est conçue pour protéger les entreprises contre les pertes financières et les responsabilités découlant des ransomwares ou d’autres cyberattaques. Ces polices couvrent généralement les pertes d’exploitation liées à de tels événements, le coût de la récupération des systèmes, les frais juridiques, ainsi que les coûts de notification aux clients. Un rapport d’IBM indique que le coût moyen d’une violation de données a augmenté de 10 % l’année dernière, atteignant 4,88 millions de dollars. Les ransomwares sont identifiés comme la principale cause des pertes liées à la cyberassurance, selon Munich Re, avec l’industrie manufacturière enregistrant le plus grand nombre de demandes d’indemnisation.
De plus, une étude réalisée par Chainalysis révèle que les paiements de rançons en crypto-monnaies ont presque doublé en 2023, atteignant 1,1 milliard de dollars. Les entreprises doivent généralement démontrer de solides pratiques de cybersécurité pour obtenir une couverture d’assurance, ces critères ayant été renforcés en réponse à la fréquence croissante des incidents.
Des différences marquées entre les États-Unis et l’Europe
Globalement, le marché mondial de la cyberassurance a atteint 14 milliards de dollars en 2023 et pourrait doubler pour atteindre 29 milliards de dollars d’ici 2027. Néanmoins, des disparités régionales subsistent concernant la prévalence de la couverture. D’après des données présentées lors de la conférence Zywave à Londres, environ 20 % des entreprises américaines sont assurées contre le risque de cybersécurité, contre seulement 12 % en Allemagne et 10 % au Royaume-Uni. Claude Bilbao, vice-président régional britannique chez Cowbell Insurance, évoque des facteurs clés tels que les différences en matière de litiges et de sensibilisation à la cybercriminalité.
Rick Betterley, président de Betterley Risk Consultants, note que les courtiers américains agissent souvent de manière plus proactive en vendant des polices de cyberassurance, en raison des risques plus élevés encourus par les entreprises américaines. « Le marché américain de la cyberassurance est plus vaste et mature, tandis que le marché européen se développe plus lentement en raison de la perception réduite des risques », ajoute-t-il.
Réglementations favorisant l’adoption de la cyberassurance en Europe
L’expansion du cadre NIS2 joue un rôle essentiel dans l’adoption de la cyberassurance en Europe. Cette directive, qui entrera en vigueur en octobre 2024, impose des exigences strictes en matière de sécurité dans divers secteurs critiques. De nombreuses entreprises, notamment de petites et moyennes tailles, devront se conformer à cette réglementation, ce qui les incitera à se tourner vers des solutions de cyberassurance pour gérer les risques financiers associés.
Les assureurs proposent souvent des services de gestion des risques pour aider les entreprises à atteindre un niveau de sécurité satisfaisant. Tony Anscombe, évangéliste en chef de la sécurité chez Eset, explique que les entreprises suivant un cadre de cybersécurité comme NIS2 peuvent mieux se préparer à des incidents potentiels et ainsi être plus facilement assurable.
Responsabilité des RSSI en jeu
La législation fédérale américaine et son application par la SEC mettent les Responsable de la Sécurité des Systèmes d’Information (RSSI) sous pression. Keith Povey souligne que de nombreux RSSI envisagent désormais de souscrire une assurance responsabilité civile personnelle afin d’être couverts contre les poursuites potentielles. Alors que la question de la protection des RSSI par leur employeur reste floue, cet aspect prouve que le domaine de la cyberassurance évolue pour répondre aux défis contemporains.
Dans ce contexte en pleine mutation, il est crucial pour les entreprises de s’adapter aux nouvelles attentes en matière de cybersécurité et de protéger leurs actifs grâce à des solutions de cyberassurance adaptées.