Comment les assureurs tarifient le risque cyber, et pourquoi budgéter pareil

Les souscripteurs ne tarifient pas votre pire jour. Ils tarifient votre année moyenne.

Cette distinction, c'est tout le jeu, et c'est aussi l'idée la plus utile qu'un dirigeant puisse emprunter au secteur de l'assurance. Quand vous demandez « combien nous coûterait une cyberattaque », votre cerveau attrape la catastrophe : l'événement ransomware qui tue l'entreprise, la fuite à la une. Les assureurs ne pensent pas comme ça, parce qu'ils ne peuvent pas se le permettre. Ils pensent en perte annuelle attendue, et une fois que vous le faites aussi, beaucoup de décisions de sécurité qui ressemblaient à des paris deviennent de l'arithmétique.

La formule sous chaque devis

Enlevez le jargon et le modèle est presque gênant de simplicité :

Perte annuelle attendue = Σ Probabilité(incident) × Coût(incident)

sommée sur les scénarios qui causent réellement une perte. Pour une PME, ça fait environ cinq : ransomware, violation de données, interruption d'activité, fraude au virement (BEC) et exposition réglementaire. Pour chacun, vous posez deux questions. Combien ça coûte si ça arrive ? Quelle probabilité dans l'année ?

Une fuite à 2 millions d'euros qui a 10 % de chances cette année contribue 200 000 € de perte attendue. Une fraude au virement de 50 000 € à 30 % de probabilité contribue 15 000 €. Vous faites ça pour chaque scénario et vous additionnez. Ce total, c'est la prime pure, le prix actuariellement juste du risque avant que quiconque ajoute une marge. L'assureur la majore ensuite de ses propres frais, de l'incertitude de son estimation, et de son profit, et c'est votre devis.

Ce n'est pas une métaphore de ce que font les assureurs. C'est ce qu'ils font. Les probabilités viennent de l'expérience de sinistres (c'est pourquoi les jeux de données d'assureurs comme NetDiligence valent plus que les sondages de prestataires), les sévérités du même endroit, et les chargements de leur degré de confiance dans les chiffres.

Pourquoi les contrôles changent désormais le prix

Pendant des années, l'assurance cyber a été tarifée paresseusement, presque à l'effectif. Ça s'est arrêté quand les ratios de sinistralité ransomware ont explosé autour de 2020 et 2021 et que les assureurs sont devenus sérieux sur les contrôles. Le formulaire demande maintenant si vous avez la MFA, l'EDR, des sauvegardes hors ligne testées, un plan de réponse à incident. Pas pour cocher des cases, mais parce que chacun de ces éléments change un terme de la formule ci-dessus.

La MFA ne réduit pas ce qu'une fuite coûte. Elle réduit la fréquence à laquelle vous êtes touché au départ, le terme de probabilité, en bloquant les attaques sur les identifiants qui amorcent la plupart des incidents. Les sauvegardes hors ligne testées touchent à peine la fréquence mais écrasent la sévérité du ransomware, parce que vous restaurez au lieu de payer et au lieu d'être à l'arrêt deux semaines. Le chiffrement rend une fuite moins déclarable et moins dommageable. Un plan de réponse à incident est, dans les données d'IBM, l'un des plus gros réducteurs de coût, parce qu'une réponse compétente fait la différence entre un événement contenu et un événement qui s'étale.

Empilez quelques-uns de ces contrôles et la perte attendue peut chuter de l'ordre d'un tiers à la moitié, pour une fraction du coût d'un seul incident. C'est le vrai argument pour la dépense de sécurité, et c'est un argument que vous pouvez chiffrer au lieu de l'invoquer au feeling.

Comment s'en servir concrètement

C'est là que ça devient pratique, et là où la plupart des entreprises laissent de l'argent sur la table.

Une fois que vous avez une perte annuelle attendue, chaque contrôle proposé a un gain mesurable : de combien il baisse la perte attendue, et ce qu'il coûte par an. Ce rapport est votre ordre de priorité. Le contrôle qui fait baisser la perte attendue de 40 000 € par an et coûte 5 000 € l'emporte sur l'outil brillant qui la baisse de 8 000 € et coûte 30 000 €, peu importe lequel le prestataire crie le plus fort.

Ça vous dit aussi, honnêtement, quand arrêter. Il y a un point où le contrôle suivant coûte plus cher que le risque qu'il retire, et un budget rationnel s'arrête là et transfère le risque résiduel à un assureur. C'est à ça que sert l'assurance cyber : la queue de distribution que vous ne pouvez pas économiquement supprimer par l'ingénierie. La perte attendue vous dit où est cette limite, au lieu de laisser la peur fixer le budget, ce qui est la façon dont les entreprises finissent par sur-acheter des outils et sous-acheter les contrôles ennuyeux qui font vraiment bouger le chiffre.

Une réserve honnête. La perte annuelle attendue est une moyenne, et les moyennes cachent les queues. Une petite entreprise peut être anéantie par un seul événement que les maths d'espérance disent improbable, et « improbable » est une maigre consolation si c'est vous. Donc servez-vous de la perte attendue pour dimensionner le budget et prioriser les contrôles, et servez-vous du pire cas pour décider combien d'assurance porter par-dessus. Elles répondent à des questions différentes. L'erreur, c'est d'utiliser l'une ou l'autre seule.

Voyez votre propre chiffre

Le calculateur fait exactement cette décomposition pour votre secteur, taille, chiffre d'affaires, région et contrôles actuels, et vous montre la répartition sur les cinq scénarios ainsi que ce que chaque contrôle fait au total. Chaque probabilité et chaque coût est sourcé et détaillé dans la méthodologie, pour que vous puissiez contester les hypothèses, ce que vous devriez faire.

Arrêtez de demander combien une cyberattaque coûterait votre pire jour. Demandez ce qu'elle coûte sur une année moyenne, puis dépensez jusqu'à ce que le contrôle suivant ne vaille plus la peine. C'est la discipline sur laquelle tourne déjà le secteur de l'assurance, et il n'y a aucune raison que votre budget ne le fasse pas.