Par Jennifer Mulvihill : Business Development Head, Cyber Insurance & Legal, BlueVoyant
L’augmentation des ransomwares au cours des deux dernières années a fait l’objet de nombreux reportages et a paralysé des organisations du monde entier. La recrudescence des ransomwares a conduit les organisations victimes à chercher la solution la moins chère et la plus conforme à la loi en cas d’attaque. C’est pourquoi de nombreuses organisations ont donné la priorité à l’adoption de programmes de cyberassurance. Si la cyberassurance s’est développée en même temps que les cyberrisques, il s’est avéré difficile de garder une longueur d’avance sur ces risques et d’être capable de prévoir les résultats, ce qui constitue un défi unique pour les souscripteurs et les courtiers.
Croissance du marché de l’assurance
En conséquence, le marché de la cyberassurance a été évalué à 3 milliards de dollars et devrait atteindre 25 milliards de dollars d’ici 2026. Le secteur est mesuré par les primes brutes souscrites et, compte tenu de l’augmentation constante de la dépendance à l’égard d’un monde technologique interconnecté, il est facile de comprendre comment la cyberassurance était autrefois considérée comme une activité rentable. Cependant, les ransomwares n’ont cessé de se développer, de même que les paiements qui accompagnent ces attaques, le paiement moyen d’un ransomware atteignant près de 250 000 dollars en 2021.
Le point commun entre toutes ces attaques est que les gangs de ransomwares sont « soudainement partout, apparemment inarrêtables – et très efficaces ». Dans le jargon des assureurs, ces attaques seraient qualifiées de « fréquentes et graves ». C’est une mesure qui met les souscripteurs en état d’alerte, car les bénéfices de l’entreprise peuvent être remis en question si le taux de sinistres commence à grimper.
Les souscripteurs de cyberassurance ne disposent pas des mêmes décennies de données actuarielles sur les sinistres que les autres branches d’activité, telles que l’environnement ou les biens. Il s’agit d’un désavantage important lorsque la gravité des incidents de ransomware a atteint un niveau notable en 2020 et a augmenté depuis. Si et quand il n’y a pas assez de capacité sur le marché, et si les paiements de sinistres épuisent les limites de la police d’assurance, il devient une tâche plus difficile pour les souscripteurs d’ajuster les matrices de tarification, encapsulant l’incertitude du marché.
Cyberassurance sur les technologies et processus de sécurité
La meilleure façon de sécuriser toute organisation et de mettre en place la police d’assurance la plus pertinente possible,est de s’assurer que les meilleures pratiques de cybersécurité soient en place. Si de nombreux processus de base en matière de cybersécurité peuvent contribuer grandement à la protection des organisations, les piratages les plus importants nécessitent des investissements substantiels en matière de cybersécurité. Cependant, des disparités dans cette idéologie apparaissent lorsque les entreprises opèrent sur un marché qui encourage l’achat de polices de cyberassurance plutôt que des dépenses informatiques massives.
Les polices d’assurance cybernétique ne doivent pas signifier qu’une entreprise devient complaisante avec sa cybersécurité. Les hackers ont pris conscience de l’augmentation du nombre de cyberassurances et, dans certains cas, s’en servent contre la victime. DarkSide, une bande de ransomware à succès, a recommandé à Guess9, une organisation récemment ciblée, « d’utiliser leur assurance, qui couvre juste ce cas ». Le groupe a poursuivi en suggérant « qu’ils n’avaient pas besoin de plus que le montant de la cyber assurance ». Un exemple de cela s’est produit encore plus récemment lorsque le groupe de ransomware Hive a exigé 500 000 £ après une attaque contre la Wootton Upper School dans le Bedfordshire, sachant que ce montant était le même que celui couvert par leur prime de cyberassurance. Ces cyberattaquants sont désormais capables d’identifier les entreprises qui céderont et les assureurs qui sont prêts à financer ces paiements, ce qui ajoute une couche de complexité aux méthodes de double extorsion.
L’entreprise n’a plus besoin d’avoir les moyens pour payer, tant que les pirates peuvent accéder à la salle des données, trouver la police d’assurance et demander une rançon qui correspond au plafond de l’assurance ou qui est inférieure. La question qui se pose est la suivante : si vous avez un plafond d’assurance plus élevé, cela augmentera-t-il la probabilité que quelqu’un vous exploite ? Cette question souligne l’absolue nécessité d’appliquer les meilleures pratiques en matière de cybersécurité, même avec une police d’assurance en place.
Conséquences involontaires
La gravité des attaques par ransomware pousse également les assureurs à augmenter les primes et à concevoir des directives de souscription plus strictes. L’augmentation des prix et la restriction de la couverture peuvent n’être qu’une solution à court terme. Toutefois, l’élaboration de directives de souscription plus strictes peut s’avérer extrêmement efficace comme solution à long terme, car elle s’attaque à l’une des causes profondes que l’assurance tente de corriger : une organisation non préparée.
En remplissant simplement une demande de souscription, une organisation peut en apprendre un peu plus sur les meilleures pratiques et les risques. Ces demandes ont évolué pour s’apparenter davantage à des évaluations. Avec des directives de souscription plus strictes, les assureurs, les courtiers et même les sociétés de cybersécurité peuvent jouer le rôle de conseiller ou d’évaluateur. En effet, les assureurs occupent désormais une position unique et peuvent jouer un rôle de premier plan en aidant à désamorcer les demandes de ransomware.
À l’avenir, les nouvelles applications devront répondre à des exigences beaucoup plus strictes pour être couvertes par une police d’assurance. Ces exigences peuvent inclure la mise en place d’une authentification multi-facteurs, d’outils de détection et de réponse gérés et de fonctionnalités SOC 24/7, l’existence de sauvegardes, ou la preuve qu’il existe des experts dédiés tels que des RSSI ou qu’ils entretiennent des relations établies avec des équipes externes de RI. Une formation à la cybersécurité et des tests de pénétration réguliers peuvent également être exigés. Certains assureurs ajouteront des sous-limites, et d’autres pourront même insérer des exclusions pour les dommages ou les coûts découlant de certains événements connus, tels que SolarWinds. Certains peuvent même exiger l’atténuation de certaines vulnérabilités, comme Log4j, avant de souscrire la police.
Normes industrielles en évolution
Récemment, Lloyd’s of London a annoncé la dernière évolution du marché de la cyberassurance, marquant ainsi une autre conséquence involontaire des ransomwares. Comme la Lloyd’s est depuis longtemps un leader sur le marché de l’assurance et qu’elle est connue pour créer des polices d’assurance cybernétique innovantes couvrant des risques complexes, il ne serait pas surprenant de voir d’autres assureurs lui emboîter le pas, ce mandat a donc un impact considérable. L’exclusion du risque de guerre annoncée le 16 août rend obligatoire l’exemption spécifique de la couverture des pertes « résultant d’une guerre », ainsi que des cyberattaques soutenues par un État qui « compromettent de manière significative la capacité d’un État à fonctionner » ou qui ont un impact sur les capacités de sécurité d’un État. L’obligation pour les syndicats de disposer d’un système clair permettant d’attribuer une attaque à un acteur étatique.
La décision de rendre l’exclusion claire et sans ambiguïté est une étape importante pour l’industrie. Cependant, comme il incombe aux transporteurs de défendre l’exclusion, on peut se demander s’ils ont bien réfléchi aux implications de cette défense. Les défis consistent à déterminer avec certitude l’attribution et à réunir les parties les plus appropriées pour y parvenir, ainsi que la position concurrentielle que chaque transporteur pourrait adopter dans l’élaboration du processus.
L’avis du gouvernement peut être intenable pour les entreprises
Les gouvernements du monde entier sont cohérents dans leur conseil aux victimes de ne pas payer de rançon, car cela encourage la cybercriminalité future. Cette position pourrait devenir intenable avec le temps, car les attaques sont de plus en plus fréquentes et les victimes, souvent publiques, sont prises en otage. La plupart des attaques par ransomware sont perpétrées par des équipes d’experts et, malgré la protection que les processus de cybersécurité de base peuvent offrir, c’est finalement un investissement informatique substantiel de la part du conseil d’administration qui préparera les organisations. La fréquence et le coût des demandes de rançon, des primes d’assurance, des enquêtes médico-légales et des actions en justice collectives augmentent. Ces dépenses sont devenues insoutenables, en particulier pour les petites et moyennes entreprises, où les atteintes à la réputation peuvent également être dévastatrices.
La cyber-assurance ne doit pas être une simple politique réactive
Les organisations devraient promouvoir la cyberassurance comme un programme de base plutôt que comme une politique réactive. Les cybermenaces ne font qu’augmenter, et il incombe aux entreprises privées de rechercher des méthodes permettant d’atténuer et de prévenir les attaques. Le renforcement de la posture de sécurité de l’organisation devient un moyen essentiel d’accéder aux primes d’assurance et de maximiser la santé cybernétique de l’entreprise.
