Une approche cyber pour concilier assurance et sécurité.

En 2024, le marché français de l’assurance cyber prolonge certaines tendances amorcées en 2022 avec une poursuite de la réduction des sinistres, en termes de montant et de fréquence. Un constat qui met en évidence l’accroissement des efforts de prévention menés par les entreprises et de l’évolution de leurs capacités à faire face aux cyberattaques.

Apparemment, aucune grande organisation n’a subi de crise majeure, ni de sinistre supérieur à 10 millions d’euros en 2023. C’est en tout cas ce que relève l’étude « LuCy » (Lumières sur la Cyber-assurance), réalisé par l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise). Elle permet d’établir des liens de corrélation et de considérer qu’une entreprise assurée est une entreprise qui gère bien son risque cyber. En France, le volume des primes n’a évolué qu’à la marge depuis 2022, pour un montant qui, dans un contexte géopolitique tendu, pourrait être absorbé par deux ou trois sinistres majeurs. Autant dire que le marché français reste inscrit dans un schéma fragile et volatil.

Au niveau international, l'étude d’un éditeur de cybersécurité américain, menée auprès de professionnels de l’IT et de la sécurité au niveau mondial, relève que les assureurs exigent davantage de solutions de gestion des accès à privilèges (PAM) et de gestion des identités et des accès (IAM) qu’il y a un an. Pour répondre aux exigences des assureurs, 48 % des organisations qui ont souscrit une cyber assurance ont dû améliorer leur sécurité :

• 30 % ont appliqué des changements simplement pour être éligibles au contrat
• 18 % ont implémenté des mesures de sécurité supplémentaires pour réduire le coût de leur contrat.

Comme évoqué en introduction, souscrire un contrat de cyber-assurance suppose donc d’avoir une cybersécurité à la hauteur et les assureurs n’acceptent une souscription d’une entreprise que si, à la base, elle s’est équipée d’un certain nombre de solutions et de mesures.

Parmi les mesures les plus souvent exigées par les assureurs en 2024, on retrouve (en pourcentage) :

1. 75% : L’authentification multifactorielle (65 % en 2023)
2. 55% : La gestion des correctifs
3. 49% : La formation régulière des salariés aux questions de cybersécurité
4. 45 % : L’IAM pour gestion des accès et identités (38 % en 2023)
5. 42 % : Le PAM pour gestion des accès privilégiés (36 % en 2023).

Comme je l'ai mentionné, pour le risque cyber, les assureurs demandent de plus en plus aux organisations de mettre en place des solutions de gestion des identités et des accès (IAM) et de gestion des accès à privilèges (PAM). Il en existe plusieurs sur le marché, mais l'éditeur Systancia est le seul à avoir développé la première plateforme européenne SaaS Zero Trust « cyberelements » qui combine, au sein d'un même environnement, gestion des identités, des accès et des accès à privilèges.

Elle permet la sécurisation des accès des collaborateurs à leurs systèmes informatiques (IT) ou industriels (OT) et aux environnements critiques de l’organisation en quelques minutes, tout en appliquant le paradigme du Zero Trust. Son expérience unifiée apporte un accès, et aux télétravailleurs (ZTNA) et aux utilisateurs à privilèges (PAM), qu’ils appartiennent à l’organisation ou à un prestataire de son écosystème.