Certains assureurs commencent à envisager de réduire les indemnisations lorsque les entreprises ne corrigent pas rapidement des vulnérabilités critiques. Cette approche est plutôt mal accueillie par les entreprises concernées.
Des exclusions liées aux CVE
Des compagnies d’assurance testent de nouvelles stratégies pour responsabiliser leurs assurés, notamment en limitant les paiements si une attaque exploite une faille connue mais non corrigée (CVE, pour Common Vulnerabilities and Exposures).
Parmi les approches envisagées :
- une échelle de responsabilité basée sur l’ancienneté de la faille non corrigée,
- ou un seuil de temps (ex. : X jours) au-delà duquel la non-correction d’une faille critique pourrait entraîner une réduction voire une annulation de l’indemnisation.
Ces pratiques, appelées exclusions CVE, ne sont pas encore largement répandues, et sont principalement observées en dehors des États-Unis.
Un marché en mutation
Si la demande d’assurance cyber continue d’augmenter, créant un marché favorable aux vendeurs, ces exclusions pourraient devenir plus fréquentes.
Depuis les attaques massives comme NotPetya, qui ont mis en difficulté les assureurs, ces derniers cherchent activement des moyens de réduire leur exposition au risque collectif. Cela a déjà conduit à un renforcement des clauses d’exclusion pour « actes de guerre » dans les contrats, et à une utilisation croissante des données de cybersécurité des assurés pour évaluer les risques.
Une exigence difficile à tenir
Mais demander aux entreprises de corriger toutes les failles critiques dans un délai court est peu réaliste. En 2025, on prévoit que plus de 46 000 vulnérabilités seront publiées, contre environ 40 000 en 2024 (source : NVD). Parmi elles, 30 % auront une sévérité élevée ou critique (CVSS ≥ 8.0).
Que faire ?
Nous recommandons aux entreprises de vérifier avec leur courtier si une clause d’exclusion CVE est présente dans leur contrat. Le cas échéant, soit vous devez avoir une politique de patching très efficace, soit vous devriez envisager de changer d’assureur.