Tribune intégrale de Bruno Durand, Vice-président Europe du Sud chez Sophos.
Dans un environnement où les cybermenaces deviennent chaque jour plus complexes, il est indispensable d’adopter une vision intégrée de la gestion des cyberrisques qui équilibre les contrôles de sécurité et les cyberassurances. Mais au moment de souscrire une police, bon nombre d’entreprises fonctionnent encore selon une approche cloisonnée. Par exemple, les équipes IT chargées de créer et de gérer les lignes de cyberdéfense fournissent bien souvent les informations relatives aux contrôles de sécurité nécessaires pour formuler une demande d’assurance ; toutefois, elles exercent une influence minime sur le périmètre et le niveau de couverture de la police.
C’est dommage, car une meilleure coordination des mesures de cyberprotection et des initiatives de cyberassurance peut réduire les dépenses tout en renforçant le niveau de protection. Cependant, une telle démarche nécessite la participation des dirigeants des différentes entités de l’entreprise. Il incombe aux responsables métier et IT de faire en sorte que la collaboration soit plus efficace pour que leurs équipes respectives puissent optimiser les investissements consacrés à une police de cyberassurance.
Conséquences d’une gestion cloisonnée des cyberrisques
Prenons un exemple : après avoir mis en place des mesures de sécurité avancées, une équipe IT procède régulièrement à des évaluations de la vulnérabilité dans le but de garantir la protection des actifs numériques de l’entreprise. De son côté, le service Achats chargé de gérer les polices d’assurance de cette même entreprise n’est pas au fait des initiatives de cybersécurité prises par l’équipe IT. Au moment de négocier les options de couverture de la cyberassurance, il n’est, par conséquent, pas en mesure de saisir la possibilité de réduire les primes et de bénéficier de conditions plus favorables sur la base des protections existantes.
Ce scénario montre qu’une planification cloisonnée peut nuire à la cyberassurance d’une entreprise. L’absence de collaboration aux différentes étapes du processus peut également amener les entreprises à sous-estimer le montant de la couverture dont elles ont besoin ou à privilégier les mauvais aspects d’une police d’assurance.
Par ailleurs, une planification cloisonnée peut entraîner une certaine confusion quant aux différents aspects pris en charge par l’assurance contractée, ce qui est plus fréquent qu’on ne le pense. Parmi les entreprises ayant souscrit une police de cyberassurance, 43 % des responsables de la cybersécurité et de l’informatique sont ainsi convaincus, sans en avoir la certitude, que leur contrat comprend une aide à la notification des brèches. Ces oublis peuvent minimiser la valeur de l’investissement consacré à une cyberassurance, ce qui se traduit souvent par des primes plus élevées, une couverture inadéquate, une assistance insuffisante et une restauration plus difficile en cas de cyberattaque.
Planifier efficacement une cyberassurance
Une approche unifiée et holistique de la planification des cyberrisques permet d’améliorer de manière significative les défenses et la position en matière de cyberassurance. Si une entreprise gère les cyberrisques de la même manière depuis plusieurs années, il est temps de revoir sa copie ! En privilégiant collaboration transversale et planification proactive, elle disposera d’une couverture optimale et d’une meilleure protection des actifs.
- Ne pas perdre de temps
Il est fortement recommandé de ne pas attendre la date de renouvellement de la cyberpolice pour planifier l’avenir. En faisant preuve de proactivité, les entreprises pourront explorer l’offre disponible, négocier de meilleures conditions, dresser un cahier des charges et mettre en œuvre ou améliorer les contrôles. La proactivité permet en outre de planifier des investissements stratégiques.
Supposons que l’équipe IT souhaite adopter un service de détection et de réponse géré (MDR), mais que le service Achats lui oppose une fin de non-recevoir. Après avoir attentivement évalué la situation, les équipes ont découvert que cet investissement améliorerait de façon significative la position de l’entreprise en matière de cyberassurance et permettrait de financer ce service grâce aux économies réalisées sur le montant des primes.
Le fait de consacrer le temps nécessaire à l’analyse et à l’évaluation des compagnies et des polices d’assurance permet aux entreprises de prendre de meilleures décisions et d’éviter un choix précipité qui risque de provoquer des lacunes dans la couverture.
- Veiller à ce que les parties prenantes soient sur la même longueur d’onde
En entamant de façon précoce le processus de cyberassurance, les entreprises donnent aux parties prenantes le temps de s’aligner en interne avant de prendre les décisions nécessaires. Dans un premier temps, elles doivent identifier les personnes concernées — généralement, les responsables des services IT et Cybersécurité, Finances, Achats, Juridique et Conformité.
Une fois les principales parties prenantes désignées, une réunion de lancement est organisée dans l’optique de mettre en place un canal de communications permanent. Au cours de cette phase initiale, il importe de faire le point sur les mesures de cybersécurité existantes et les éventuelles lacunes dans la couverture de la cyberassurance. Il est également crucial de définir clairement le rôle et les responsabilités de chacune des parties prenantes afin de garantir les responsabilités, ainsi que l’alignement de la stratégie de cyberassurance sur les priorités métier.
- Tenir compte des exigences propres à l’entreprise
Une planification proactive permet également de procéder à une évaluation complète du profil de risque de l’entreprise, ainsi que de ses besoins en matière d’assurance. S’agissant de la cybercouverture, les parties prenantes des différentes unités ont des points de vue et des motivations particuliers. Ainsi, il est judicieux de créer un document de référence regroupant les attentes de chacun.
À mesure que ces besoins seront documentés, la prochaine étape consiste à définir l’étendue de la couverture, les limites de la police et les franchises. Il est également important de maintenir une communication cohérente entre les différentes parties prenantes et l’équipe chargée de gérer la demande d’assurance. Les investissements seront uniquement reconnus par les assureurs si la qualité des moyens de défense est suffisante et clairement exprimée dans celle-ci.
Élever le niveau de cyberrésilience grâce à une planification globale
Avant de souscrire une cyberassurance, les entreprises doivent prendre le temps d’évaluer leur position de cybersécurité, leur profil de risque et l’alignement entre les principales parties prenantes. Si ce n’est pas le cas, il n’est pas trop tard pour adopter une approche davantage intégrée et transversale.
Les cyberattaques impactent la majorité des opérations des entreprises, de la stabilité financière jusqu’à la continuité d’activité. C’est pourquoi les responsables des différents services doivent travailler main dans la main pour coordonner leurs moyens de cyberdéfense et la police d’assurance. C’est grâce à cette collaboration qu’une entreprise pourra investir de façon judicieuse dans le domaine de la cybersécurité et des cyberassurances, l’objectif étant de réduire les risques et les coûts tout en renforçant la résilience de celle-ci face aux cybermenaces de nouvelle génération.
