Tribune : L'évolution de la cyberassurance : les conséquences imprévues des ransomwares

Par Robert Hannigan, responsable des affaires internationales EMEA, Blue Voyant

Les deux dernières années ont vu une augmentation généralisée des ransomwares et ont paralysé des organisations du monde entier. La résurgence des rançongiciels a conduit les organisations de victimes à rechercher la solution la moins chère et la plus conforme à la loi en cas d’attaque. C’est pourquoi de nombreuses organisations ont fait de l’adoption de programmes de cyberassurance une priorité. Alors que la cyber-assurance s’est développée parallèlement aux cyber-risques, il s’est avéré difficile de garder une longueur d’avance sur ces risques et d’être en mesure de prédire les résultats, ce qui en fait un défi unique pour les souscripteurs et les courtiers.

Croissance du marché de l’assurance

En conséquence, le marché de la cyberassurance a été évalué à 3 milliards de dollars et devrait atteindre 25 milliards de dollars d’ici 2026. L’industrie est mesurée par les primes brutes souscrites et, compte tenu de sa dépendance croissante à un monde technologique interconnecté, il est facile de comprendre comment la cyberassurance était autrefois considérée comme une activité rentable. Cependant, les ransomwares ont continué de croître, tout comme les paiements qui accompagnent ces attaques, le paiement moyen des ransomwares atteignant près de 250 000 $ en 2021.

Ce que toutes ces attaques ont en commun, c’est que les groupes de rançongiciels sont « soudainement partout, apparemment imparables et très efficaces ». Dans le langage des assureurs, ces attaques seraient qualifiées de « fréquentes et graves ». Il s’agit d’une mesure qui met les assureurs en état d’alerte, car les bénéfices de l’entreprise peuvent être mis en doute si le ratio de sinistres commence à augmenter.

Les souscripteurs de cyberassurance ne disposent pas des mêmes décennies de données actuarielles sur les réclamations que d’autres secteurs d’activité, tels que l’environnement ou les biens. Il s’agit d’un inconvénient important lorsque la gravité des incidents de ransomware a culminé en 2020 et a augmenté depuis. Lorsque la capacité du marché est insuffisante et que les indemnisations épuisent les limites des polices d’assurance, il devient plus difficile pour les souscripteurs d’ajuster les matrices de tarification, ce qui introduit une incertitude sur le marché.

Cybersécurité dans les technologies et processus de sécurité

La meilleure façon de sécuriser toute organisation et de mettre en place la police d’assurance la plus importante possible est de s’assurer que les meilleures pratiques de cybersécurité sont en place. Alors que de nombreux processus de cybersécurité de base peuvent grandement contribuer à protéger les organisations, les plus gros piratages nécessitent des investissements importants dans la cybersécurité. Cependant, des différences dans cette idéologie surviennent lorsque l’on opère dans un marché qui encourage les entreprises à souscrire une cyber-assurance plutôt que des dépenses informatiques massives.

Les polices d’assurance cyber ne doivent pas signifier qu’une entreprise est complaisante quant à sa cybersécurité. Les pirates ont remarqué l’augmentation du nombre de cybermenaces et, dans certains cas, ils les utilisent contre la victime. DarkSide, un groupe de rançongiciels prospère, a conseillé à une organisation récemment ciblée par Guess9 d' »utiliser une assurance qui couvre ce cas ». L’équipe a suggéré qu’ils « n’avaient pas besoin de plus que le montant de la cyber-assurance ». Un exemple de cela s’est produit récemment lorsque le groupe de rançongiciels Hive a exigé 500 000 £ après une attaque contre Wootton Upper School dans le Bedfordshire, sachant que c’était le même montant couvert par leur prime d’assurance cyber. Ces cyber-attaquants sont désormais capables d’identifier les entreprises qui se rendront et les assureurs qui sont prêts à financer ces paiements, ajoutant une couche de complexité aux méthodes de double extorsion.

L’entreprise n’a plus besoin d’avoir les moyens de payer, tant que les pirates pénètrent dans la data room, trouvent la police d’assurance et demandent une rançon égale ou inférieure à la limite d’assurance. La question est la suivante : si vous avez une limite d’assurance plus élevée, cela augmentera-t-il les chances que quelqu’un profite de vous ? Cette question souligne la nécessité absolue d’appliquer les meilleures pratiques de cybersécurité, même si une police d’assurance est en place.

La gravité des attaques de rançongiciels incite les assureurs à augmenter les primes et à introduire des directives de souscription plus strictes. Augmenter les prix et limiter la couverture n’est qu’une solution à court terme. Cependant, l’élaboration de lignes directrices plus strictes en matière d’assurance peut être très efficace en tant que solution à long terme, car elle répond à l’une des principales raisons pour lesquelles les assureurs tentent d’y remédier : une organisation non préparée.

À Lire  TÉMOIN. Flexibilité, communication, congés illimités… Confrontées à des problèmes de recrutement, ces entreprises sont

En remplissant une demande d’abonnement, une organisation peut en apprendre un peu plus sur les meilleures pratiques et les risques. Ces demandes ont évolué pour ressembler à des évaluations. Avec des directives d’assurance plus strictes, les assureurs, les courtiers et même les sociétés de cybersécurité peuvent agir en tant que consultants ou évaluateurs. En effet, les assureurs occupent désormais une position unique et peuvent jouer un rôle de premier plan pour aider à dissiper les réclamations liées aux ransomwares.

À l’avenir, les nouvelles applications devront répondre à des exigences beaucoup plus strictes pour être couvertes par une police d’assurance. Ces exigences peuvent inclure une authentification multifacteur, des outils de détection et de réponse gérés et des fonctions SOC 24 heures sur 24, 7 jours sur 7, la mise en place de sauvegardes ou la démonstration qu’ils ont des experts dédiés tels que des CISO ou des relations établies avec des équipes IR externes. Une formation en cybersécurité et des tests de pénétration de routine peuvent également être nécessaires. Certains assureurs ajouteront des sous-limites, tandis que d’autres peuvent également inclure des exclusions pour les dommages ou les coûts résultant de certains événements connus, tels que SolarWinds. Certains peuvent même exiger que certaines vulnérabilités, telles que Log4j, soient atténuées avant que la politique ne soit sécurisée.

Évolution des normes de l’industrie

Lloyd’s of London a récemment annoncé le dernier développement sur le marché de la cyberassurance, marquant une autre conséquence involontaire des ransomwares. Comme Lloyd’s est depuis longtemps un leader sur le marché de l’assurance et est connu pour créer des polices d’assurance cyber innovantes qui couvrent des risques complexes, il ne serait pas surprenant que d’autres assureurs emboîtent le pas. , ce mandat a donc un grand impact. L’exclusion du risque de guerre annoncée le 16 août prévoit une exclusion spécifique de la couverture pour les « pertes résultant de la guerre », ainsi que les cyberattaques parrainées par l’État qui « altèrent considérablement la capacité de l’État à fonctionner » ou affectent les capacités de sécurité de l’État. Exigence pour les syndicats d’avoir un système clair pour attribuer l’agression à un acteur étatique.

La décision d’avoir une exclusion claire et sans ambiguïté est une étape importante pour l’industrie. Cependant, puisqu’il est de la responsabilité des transporteurs de défendre l’exclusion, il est douteux qu’ils aient réfléchi aux conséquences d’une telle défense. Les défis sont de déterminer l’allocation avec certitude et de rassembler les meilleures parties pour y parvenir, ainsi que la position concurrentielle que chaque transporteur peut avoir pour façonner le processus.

Les conseils du gouvernement peuvent être insupportables pour les entreprises

Les gouvernements du monde entier découragent constamment les victimes de payer des rançons, car cela encourage les futurs cybercrimes. Cette attitude peut devenir insupportable avec le temps, à mesure que les attaques deviennent plus fréquentes et que les victimes, souvent des membres du public, sont prises en otage. La plupart des attaques de rançongiciels sont menées par des équipes d’experts et, malgré la protection que peuvent offrir les processus de cybersécurité de base, c’est finalement un investissement informatique important pour le conseil d’administration qui préparera l’organisation. La fréquence et le coût des demandes de rançon, des primes d’assurance, des enquêtes médico-légales et des recours collectifs augmentent. Ces coûts sont devenus insoutenables, en particulier pour les petites et moyennes entreprises, où les atteintes à la réputation peuvent également être dévastatrices.

La cyberassurance ne doit pas être une politique réactive

Les organisations devraient promouvoir la cyberassurance comme un programme de base plutôt qu’une politique réactive. Les cybermenaces sont en augmentation, et il appartient aux entreprises privées de rechercher des méthodes pour atténuer et prévenir les attaques. Le renforcement de la posture de sécurité d’une organisation devient un moyen essentiel d’accéder aux primes d’assurance et de maximiser la cybersanté des entreprises.