De nombreuses organisations nord-américaines n’ont toujours pas de cyber assurance, révèle une nouvelle étude, et celles qui en ont n’ont pas une couverture suffisante.
Seulement 55 % des 450 répondants canadiens et américains à un sondage commandé par BlackBerry et Corvus Insurance de Boston, ont déclaré avoir actuellement une cyber assurance. Un autre 28 pour cent ont l’intention d’acquérir une telle couverture sous peu.
Cependant, parmi ceux qui ont une assurance, plus du tiers (37 %) ont déclaré que leurs organisations ne sont pas couvertes pour les paiements de rançongiciels. Quarante-trois pour cent ont déclaré que leurs entreprises ne sont pas couvertes pour les frais auxiliaires tels que les frais de justice et les temps d’arrêt.
Même ceux qui ont une couverture peuvent avoir une limite d’indemnisation trop basse. Plus de la moitié (56 %) des assurés ne sont couverts qu’à hauteur de 600 000 dollars américains. Ce n’est même pas suffisant pour couvrir la demande médiane des rançongiciels en 2021, selon les auteurs de l’enquête.
« Non seulement il y a plus de menaces de rançongiciels que jamais, mais les criminels sont plus impitoyables. Ils vont répéter les attaques et attendre patiemment pour faire le maximum de dégâts », a déclaré Shishir Singh, vice-président exécutif et directeur technique de la cybersécurité chez BlackBerry.
« Pour les organisations non assurées et sous-assurées, cela les met potentiellement en danger extrême. Le cyber-underground partage de plus en plus ses connaissances et s’associe pour rendre les menaces aussi efficaces que possible. Il est essentiel que les entreprises renforcent leur sécurité contre ces menaces en complétant l’assurance par une approche logicielle axée sur la prévention qui réduit leur risque global.
L’enquête a interrogé 450 gestionnaires qui prennent des décisions commerciales pour les solutions informatiques ou de sécurité dans leurs organisations.
Fait intéressant, 60 % des répondants ont déclaré qu’ils hésiteraient à conclure un nouvel accord commercial avec une organisation dépourvue de cyber assurance.
Le coût est un facteur majeur dans les décisions en matière de cyber assurance, selon l’enquête. Cinquante-sept pour cent des répondants ont dit que le coût actuel des primes est un défi. suivi par le manque de transparence des compagnies d’assurance sur ce qui sera couvert (49 %).
L’une des principales raisons de la sous-assurance des entreprises était le manque de conformité aux exigences des logiciels de cybersécurité des assureurs. Un tiers des répondants ont déclaré que leur organisation s’était déjà vu refuser une couverture d’assurance parce qu’elle ne répondait pas aux exigences spécifiques pour disposer de la technologie de détection et de réponse aux points finaux (EDR).
D’autres experts ont noté que les assureurs peuvent également exiger que les clients disposent d’une authentification multifacteur pour les connexions et d’une sauvegarde des données hors site ou dans le nuage.
« Bien que cela puisse sembler contradictoire, continuer à respecter les exigences logicielles est l’un des meilleurs moyens de lutter contre l’industrie des rançongiciels », a déclaré Vincent Weafer, directeur de la technologie chez Corvus Insurance. « Rien que dans notre portefeuille, nous avons constaté une réduction de 50 % du ratio de demandes de rançon qui finissent par être payées. Une meilleure adoption des logiciels est un élément essentiel pour mieux positionner les organisations afin qu’elles résistent aux attaquants. »
Pour en savoir plus sur l’enquête, consultez ce blog BlackBerry (en anglais).
Adaptation et traduction française par Renaud Larue-Langlois