Une prime ciel-hauteur peut ne pas toujours refléter la posture de sécurité de votre entreprise
08 août 2025
•
,
3 min. lire
Lorsqu’un devis d’assurance cyber-risque atterrit sur votre bureau et que la prime est élevée, il est naturel de supposer que l’assureur juge votre environnement à haut risque. Donc, lorsque la prochaine citation atterrit et est plus acceptable, cela signifie-t-il qu’ils ont vu votre risque différemment?
Selon l’une des nombreuses présentations de cyber-assurance chez Black Hat USA 2025, la raison peut ne pas être aussi évidente: il se peut que l’assureur limite son exposition aux risques à un produit ou un service que vous utilisez, plutôt que de trouver un risque dans votre environnement.
Pour être plus précis, un assureur peut souhaiter limiter son exposition à un certain fournisseur dans votre chaîne d’approvisionnement. Par exemple, imaginez qu’ils décident que le risque acceptable ne représente que 60% de leurs assurés pour utiliser le produit X. Si votre entreprise devait les repousser sur cette limite, ils peuvent simplement se prix de votre entreprise avec un devis élevé, plutôt que de vous refuser.
Le risque n’est donc pas dans votre environnement – c’est avec le fournisseur. En fait, il peut même ne pas y avoir de risque spécifique avec eux. Il se pourrait simplement qu’une limite de risque fixée par l’assureur ait été atteinte.
En tant que consommateurs, nous pouvons le voir dans la pratique. Lorsque j’utilise un site de comparaison d’assurance automobile, les montants de prime varient jusqu’à 200%. Pourtant, mon risque est le même pour tous les assureurs, et il est probable que certains assureurs plafonnent leur exposition aux risques à certains constructeurs automobiles en se fixant hors du marché.
À mesure que les industries de la cyber-assurance et de la cybersécurité deviennent encore enlacées, les informations fondées sur les données des réclamations des assureurs peuvent – et devraient – améliorer la posture de cybersécurité pour toutes les personnes impliquées, pas seulement l’assuré. En tant que professionnel de la cybersécurité, je suppose que l’authentification multi-facteurs est par défaut «sur» pour toute entreprise fournissant un accès à distance à leurs employés via un VPN SSL.
Mon hypothèse, cependant, est loin d’être correcte. Une statistique partagée lors d’une présentation a révélé qu’au cours des six premiers mois de 2025, 45% des nouvelles cyber-affirmations étaient le résultat d’un VPN SSL dépourvu de MFA. Cela est choquant pour deux raisons: premièrement, pourquoi les assureurs offrent-ils des politiques aux entreprises qui n’ont pas de MFA étant donné le risque de réclamation, et deuxièmement, pourquoi une entreprise ne sécuriserait-elle pas son VPN SSL avec MFA?
Quelles sont les revendications que les données révèlent
Selon les données présentées par Coalition, 55% de toutes les attaques de ransomwares sont lancées via un dispositif de sécurité de périmètre. Et dans les affirmations où la méthode utilisée est connue, il y a un gagnant clair: le vol d’identification.
Alors que le ransomware domine la discussion, il y avait de bonnes nouvelles présentées. Les efforts de la Coalition pour récupérer les fonds des transferts frauduleux ont un certain succès. En 2024, ils ont réussi à récupérer 31 millions de dollars, en utilisant diverses méthodes qui comprennent l’alerte des contacts du gouvernement, l’obtention d’injonctions pour geler les fonds et engager des experts en réponse en crise spécialisés. Cette griffe coûte en moyenne à 278 000 $ par événement, avec 24% de tous les événements, obtenant un retour à la griffe et 12% des événements récupérant le montant total.
Le secteur de la cyber-assurance poursuit ses efforts pour réduire son exposition aux réclamations, et les présentations de divers assureurs démontrent qu’ils vont de nouvelles longueurs pour y parvenir. Selon leur police, l’assuré peut désormais bénéficier de divers services fournis par l’assureur, y compris des renseignements de cyber-menace personnalisés en fonction de l’environnement spécifique de l’assuré. Ceci est complété par la surveillance et l’alerte de leurs clients lorsqu’une nouvelle vulnérabilité est publiée dans la base de données CVE; Plus précisément, l’assureur alertera l’assuré où il savait que le logiciel ou le matériel est utilisé et fournira des conseils sur la chronologie de correction attendue.
Cette approche proactive pour réduire le risque s’étend même au Web Dark, où les assureurs peuvent acheter des informations d’identification compromises ou, dans certains cas, acquérir des vulnérabilités de jour pour protéger leurs clients assurés et, plus important encore, réduire le risque financier de l’assureur.
Alors que les industries de l’assurance et de la cybersécurité continuent de se chevaucher, la question pour moi est: jusqu’où ira le chevauchement?
