La cyberassurance n’est plus quelque chose que les entreprises peuvent acheter et oublier. À mesure que les ransomwares, le phishing, la compromission de la messagerie professionnelle et les attaques assistées par l’IA deviennent plus courants, les assureurs changent de rôle. Ils ne se contentent pas de payer les sinistres après un incident. Ils doivent maintenant décider si une organisation est suffisamment sécurisée pour pouvoir assurer en premier lieu.
La leçon est claire dans la ville de Hamilton, en Ontario. En février 2024, la ville a subi une attaque de ransomware qui a perturbé les services dans toute la municipalité. Hamilton a refusé de payer la rançon de 18,5 millions de dollars et a rétabli les services essentiels dans les 48 heures, mais certains systèmes sont restés affectés pendant des semaines. Un an plus tard, son fournisseur de cyberassurance a rejeté la demande de la ville après que les enquêteurs ont découvert que plusieurs départements n’avaient pas mis en œuvre une authentification multifacteur pour les travailleurs accédant aux systèmes internes.
Ce détail comptait. La politique aurait indiqué que la couverture pourrait être annulée si la violation était liée à l’absence de contrôles de sécurité de base, y compris la MFA. En d’autres termes, l’assurance ne remplace pas la sécurité. L’expérience de la Ville a démontré que la couverture dépend de la capacité d’un organisme à prouver qu’il respecte les normes minimales exigées par l’assureur.
Cela devient le nouveau modèle de cyberassurance. Les assureurs passent d’une souscription passive à une évaluation de sécurité active. Ils veulent savoir si une entreprise dispose de MFA, de détection et de réponse des points finaux, de journalisation, de délais d’application des correctifs, de sauvegardes testées, de segmentation, de formation des employés et de procédures de réponse aux incidents. Une entreprise qui ne peut pas prouver l’existence de ces contrôles peut se voir confrontée à des primes plus élevées, à une couverture plus étroite ou à un rejet pur et simple.
Le moment n’est pas accidentel. Les cyberattaques sont de plus en plus faciles à lancer et plus difficiles à contenir. L’IA générative a abaissé la barrière des compétences des attaquants, rendant les e-mails de phishing plus convaincants et permettant des attaques à plus grande échelle. La compromission de la messagerie professionnelle reste l’une des sources de réclamations les plus courantes, car elle cible les personnes et non seulement les systèmes. Même les organisations dotées d’outils de périmètre puissants peuvent toujours être exposées si les employés sont trompés, si les identités sont trop fiables ou si les contrôles sont appliqués de manière incohérente.
C’est pourquoi les audits menés par les assureurs sont désormais importants. Ils obligent les entreprises à considérer la cybersécurité comme une exigence commerciale mesurable. Les équipes de sécurité doivent documenter les contrôles, prouver que les systèmes sont surveillés, exécuter des exercices, conserver les preuves des renouvellements et montrer que les risques sont réduits. Cela peut être frustrant, mais cela crée aussi de la discipline. Pour de nombreuses organisations, en particulier les petites et moyennes entreprises, les exigences en matière d’assurance peuvent être l’impulsion qui permettra enfin de financer et de mettre en œuvre des contrôles de base.
Les pare-feu restent importants, mais ils ne suffisent pas. Un pare-feu peut surveiller le trafic, bloquer les accès suspects et réduire l’exposition à la périphérie du réseau. Mais cela ne peut pas éliminer le risque. Misconfigurations, stolen credentials, zero-day vulnerabilities, supply-chain attacks, insider threats, and human error can still lead to breaches. Même des défenses techniques solides ne peuvent pas automatiquement couvrir les dommages juridiques, financiers, opérationnels et de réputation qui suivent une attaque réussie.
C’est là que la cyberassurance a encore de la valeur. Lorsqu’une politique répond, elle peut financer des enquêtes médico-légales, des conseils juridiques, un soutien aux relations publiques, des négociations de rançons, des services de recouvrement et des pertes liées à l’interruption d’activité. Les assureurs peuvent également donner accès à des partenaires de réponse aux incidents agréés que de nombreuses entreprises auraient du mal à trouver rapidement en cas de crise. En cas de violation grave, cette coordination peut réduire les temps d’arrêt et limiter les dégâts totaux.
Mais les entreprises ne doivent pas présumer que chaque sinistre sera payé. Les refus de réclamation se produisent souvent en raison de fausses déclarations, d’exclusions, de risques non divulgués ou du non-respect des conditions de la police. Si une organisation déclare disposer d’une MFA partout mais ne l’a pas, ou prétend avoir testé des sauvegardes qui n’ont jamais été validées, l’assureur peut contester cette affirmation. La politique n’est plus seulement un document financier. Il s’agit d’un contrat de sécurité.
Le résultat plus large est que les compagnies d’assurance deviennent des régulateurs informels de la cybersécurité. Ils établissent des normes minimales en matière de souscription et de renouvellement, en particulier pour les organisations qui ne disposent pas de programmes de sécurité matures. Cette situation va probablement se poursuivre à mesure que les menaces basées sur l’IA se multiplient et que les assureurs tentent de contrôler leur propre exposition.
La cyberassurance est toujours importante. Mais cela doit être traité comme un élément d’une stratégie de gestion des risques et non comme un substitut à la sécurité. Les organisations les mieux placées pour bénéficier d’une assurance seront celles qui pourront prouver qu’elles ont appliqué les bases : protéger les identités, surveiller les systèmes, appliquer rapidement les correctifs, former les employés, sauvegarder les données critiques et tester leurs plans de réponse avant les attaquants.
