Les ransomwares rendent la cyber-assurance plus difficile à acheter – Tech Monitor

La crise des ransomwares a mis le secteur de la cyberassurance sous une pression extrême, augmentant à la fois la fréquence et la valeur des réclamations de ses clients. En conséquence, les fournisseurs augmentent leurs prix élevés et refusent des prospects sans prendre suffisamment de précautions en matière de cybersécurité. Pendant ce temps, la cyberassurance devient une condition pour faire des affaires dans certains secteurs.

Pour certaines entreprises, cette compression du secteur de la cyberassurance pourrait donner l’impulsion nécessaire pour réaliser des investissements en retard dans la cybersécurité. Pour d’autres, cela pourrait les laisser sans assurance contre les risques catastrophiques.

cyber-assurance contre les rançongiciels
Lloyds of Londons Lloyds Market Authority a récemment mis à jour ses politiques pour limiter l’exposition des souscripteurs au cyber-risque. (Photo de CHUNYIP WONG/iStock)

Pourquoi les rançongiciels mettent les fournisseurs de cyberassurance sous pression

L’assurance contre les incidents de cybersécurité a été une activité lucrative pour le secteur de l’assurance. Primes émises brutes pour la cyberassurance la valeur combinée des primes qu’un assureur s’attend à recevoir au cours d’une police a plus que doublé depuis 2016, selon le groupe d’assurance Howden Group Holdings

Mais la crise actuelle des ransomwares a mis le secteur sous une pression extrême, car un nombre croissant de victimes sont pressées pour des sommes exorbitantes.

Vous avez deux dynamiques très intéressantes qui se produisent, les deux en même temps, explique Lori Bailey, directrice des assurances chez Corvus Insurance. L’un est une augmentation considérable de la fréquence des réclamations, qui est le résultat de l’épidémie de ransomwares au cours des deux dernières années.

La deuxième dynamique est la valeur croissante des sinistres. La rançon moyenne exigée par les cybercriminels au premier semestre 2021 était de 5,3 millions de dollars, en hausse de 518 % par rapport au chiffre de 2020, selon la division de recherche de Palo Alto Networks Unit42. Le paiement moyen a augmenté de 82 %, atteignant un record de 570 000 $.

Ces deux dynamiques compriment la capacité de l’industrie de l’assurance à payer les sinistres de ses clients. « Les transporteurs, et plus particulièrement les réassureurs, ont vraiment du mal avec cette dynamique du marché, explique Bailey.

Ils n’ont pas assez d’argent pour tout le monde. La somme d’argent nécessaire pour couvrir les clients potentiels est trop importante.
Andrea Rebora, PwC

La capacité d’un assureur à couvrir les risques est limitée par les fonds dont il dispose pour couvrir les coûts d’un sinistre. Dans le cas de la cyberassurance, ces coûts sont astronomiques, Andrea Rebora, associée en cybersécurité chez PricewaterhouseCoopers et doctorante au Kings College de Londres. « Ils n’ont pas assez d’argent pour tout le monde, dit-il. La somme d’argent nécessaire pour couvrir les clients potentiels est trop importante. C’est une somme d’argent absurde. »

En conséquence, les assureurs augmentent leurs prix de prime et limitent les circonstances dans lesquelles ils paieront. Le marché britannique de l’assurance, Lloyds of London, a récemment dévoilé de nouvelles règles stipulant que les souscripteurs ne couvriront plus les dommages causés par la guerre ou une cyberopération menée au cours d’une guerre, y compris les cyberopérations de représailles entre des États spécifiés.

Les fournisseurs sont également de plus en plus exigeants quant à qui ils assureront, dit Rebora. « Il existe des preuves évidentes qu’ils augmentent non seulement leurs prix, mais qu’ils peuvent également choisir. » Les assureurs exigent des preuves de défenses efficaces en matière de cybersécurité avant d’accepter un nouveau client. Ils veulent tout voir dans les moindres détails sur ce que fait un client pour protéger ses réseaux ou former ses employés, voir s’il a un plan de réponse aux incidents, etc., explique Rebora. Ils doivent s’assurer que le client est digne de leurs services. »

Cela signifie que la cyberassurance, au sens traditionnel, peut ne pas être disponible pour toutes les entreprises qui le souhaitent. « Certaines organisations ne seront pas assurables via les canaux commerciaux et les couvertures typiques », ont prédit les analystes de Forrester l’année dernière.

Certains explorent donc d’autres moyens. Un assureur captif est un fournisseur d’assurance entièrement détenu et contrôlé par ses assurés. Les avantages incluent la possibilité d’adapter la couverture pour les risques difficiles à assurer ou émergents, selon le cabinet d’expertise comptable PwC.

Bailey s’attend à ce que les grandes entreprises utilisent des assureurs captifs pour atténuer les risques de cybersécurité. De nombreuses entreprises ont formé une compagnie d’assurance captive pour les risques plus difficiles à placer ou pour assumer une partie du risque sur leur propre bilan », dit-elle. Je pense certainement que c’est une tendance qui se poursuivra absolument à l’avenir. pas une option disponible pour tout le monde, cependant.

La cyberassurance : une condition pour faire des affaires ?

Pour les entreprises incapables de souscrire une cyber-assurance, cela peut non seulement être risqué, mais aussi un obstacle à leurs activités, car cela devient une condition pour faire des affaires dans certains domaines. Dans certaines industries et certains segments de revenus, il n’est pas rare de voir une exigence de cyber-assurance avant de s’engager dans un contrat », explique Bailey.

En conséquence, les analystes de Forresters prédisent qu' »une cyberpolitique deviendra un besoin plutôt qu’un avantage ».

Cela signifie que, malgré le stress qu’elle impose à leur entreprise, la crise des ransomwares a placé les assureurs dans une position d’influence considérable. En raison de ces tendances actuelles, les compagnies d’assurance ont un pouvoir assez important, dit Rebora.

Pour certaines entreprises, la pression continue sur le marché de la cyberassurance peut inciter à investir dans des précautions et des protections à jour. Mais pour ceux qui n’ont pas le capital ou la capacité de le faire, cela pourrait entraîner une perte d’opportunité et une exposition à des risques potentiellement insurmontables.

Combien de temps durera la compression ? Les estimations varient : Simon Milner, agent chez Miller Insurance, s’attend à ce qu’il soit résolu au cours des deux prochains trimestres, tandis que Howden Group Holdings suggère qu’il pourrait durer au moins jusqu’en 2025.

Mais ce ne sont pas seulement les entreprises individuelles qui sont à risque. Les contraintes financières du secteur de l’assurance signifient qu’il pourrait ne pas être en mesure de gérer un incident de cybersécurité catastrophique affectant plusieurs parties, prévient Bailey.

« S’il y a une sorte de cyber-événement à grande échelle, le secteur privé et le secteur de l’assurance pourraient-ils y résister ? En fin de compte, je pense qu’il faudrait quelque chose au secteur public pour gérer tout type de catastrophe à grande échelle », dit-elle.

Journaliste

Claudia Glover est journaliste du personnel sur Moniteur technique.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite