Cyber sécurité : nous donnons la parole à un cyber assureur la société Cybassur

La question de la cyber sécurité se pose souvent en termes informatiques mais moins souvent sous l'angle assurantiel ...

Pour cette raison nous avons souhaité donner la parole à un cyber assureur spécialiste du sujet : la société Cybassur en la personne de sa dirigeante Sophie Monestier.

Sophie Monestier pourriez-vous compléter cette présentation très sommaire ?

Je suis agent général d’assurances et courtier depuis plus de 25 ans. Au fil des années, j’ai développé un portefeuille majoritairement composé de PME / PMI et je suis devenue experte dans le développement de solutions assurantielles adaptées à cette catégorie d’entreprises. C‘est dans cet esprit qu’il y a plus de 5 ans déjà, j’ai cherché des solutions pour mes clients qui commençaient à être confrontés à la cyber criminalité. Le temps des pionniers en quelque sorte, il fallait convaincre les compagnies de s’intéresser aux PME / PMI et convaincre celles-ci de l’intérêt d’une assurance cyber

Identifiez-vous une recrudescence du risque chez vos clients ?

Les cybercriminels sont pragmatiques… Ils ont longtemps ciblé prioritairement les grosses entreprises, le marché était plus rentable. Malgré un buzz médiatique sur quelques affaires retentissantes, les dirigeants des PME / PMI considèrent alors qu’ils ont toutes les chances de passer au travers des attaques, ce qui de fait était assez vrai à l’époque. Le contexte évolue depuis un an ou deux, les grosses entreprises ayant investi massivement dans leurs cyberdéfenses, les cybercriminels s’adaptent et se retournent vers des proies plus faciles… plus petites, mais très nombreuses !

Un élément circonstanciel à prendre en compte et pas seulement pour l’anecdote, la guerre en Ukraine détourne une grande partie des cybercriminels de leurs « activités traditionnelles ». Ils prennent une part active au conflit, agissant pour un camp ou pour l’autre et sont moins présents à l’attaque des entreprises. Cette bonne nouvelle à première vue laisse pourtant augurer des lendemains qui déchantent…

La cybercriminalité de « guerre » est moins rentable et il va falloir, tôt ou tard, que les cybercriminels renflouent leur trésorerie et, ils reviendront alors massivement vers les cibles les plus simples, les plus nombreuses et les plus rentables…

Quelles mesures de prévention conseillez-vous à vos clients ? 

Bonne question ! Car en effet, le conseil est au cœur de la manière dont j’exerce mon métier. Chaque client est différent et je m’efforce de concevoir des réponses adaptées aux besoins de chacun. Bien sûr les produits des compagnies d’assurance comportent des exigences,  conditionnant les souscriptions à un certain nombre de critères d’éligibilité. Je travaille en amont avec mes clients pour les préparer à ces critères et surtout pour les associer à la préparation d’un dossier « carré » pour présenter leur demande d’assurance à la compagnie qui offrira la meilleure couverture cyber assurance en fonction du métier et des besoins spécifiques de mon client.

Il faut bien avoir à l’esprit que dans le contexte, nous construisons parfois des réponses au cas par cas. Les attaques évoluent, les défenses s’adaptent et les assurances répondent à un marché dans lequel le risque ne cesse de croître. Depuis un an, je ne vous le cache pas les primes connaissent une très forte hausse… C’est donc maintenant que les mesures de prévention prennent, pour les PME / PMI un nouvel intérêt, c’est-à-dire qu’elles  ne sont plus seulement un préalable à l’assurance mais qu’elles deviennent un « plus » pour obtenir un contrat de qualité, à un juste prix.

Dispositifs de défense / EDR

Vous l’avez compris, mon métier c’est l’assurance et je ne m’aventurerai pas trop sur le sujet de la technologie de la cyberdéfense. Un point toutefois me semble évident avec l’expertise qui est la mienne, c’est la faiblesse d’un système de sécurité limité aux antivirus classiques. Le paradoxe est que nous demandons ce type de système de protection comme critère d’éligibilité des contrats (parmi d’autres) tout en sachant que leur fiabilité est relative… Cela doit vous alerter en tant que dirigeants d’entreprises sur le caractère éminemment évolutif de ce marché et sur la nécessité de vous protéger du risque cyber à la fois par un outil technologique de pointe et par un contrat d’assurance « piloté » et évolutif.

Le risque d’une cyber attaque n’est pas seulement théorique, il n’est pas non plus anecdotique au sens de la vie de l’entreprise : une PME / PMI sur cinq victime d’une cyber attaque voit sa solvabilité menacée (Sources : Rapport Hiscox 2022).

Nous allons tous continuer d’apprendre en marchant et dans un secteur où l’attaquant a souvent été plus inventif que le défenseur, il est temps que nous soyons plus proactifs. Aussi, il est je crois nécessaire d’accepter que la solution est sans doute mixte : un bon outil technologique de défense, de bonnes pratiques internes à l’entreprise et un bon conseiller en assurances cyber !