L’assurance existe pour protéger l’assuré contre la catastrophe, mais l’assureur a besoin d’une protection pour que ses polices ne soient pas abusives – et c’est là que les petits caractères entrent en jeu. Cependant, dans le cas de l’assurance contre les ransomwares, les petits caractères deviennent controversés et sapent sans doute l’utilité de l’assurance ransomware.
Dans cet article, nous expliquerons pourquoi, en particulier compte tenu du climat actuel, les clauses d’exclusion de guerre rendent de plus en plus l’assurance contre les ransomwares de valeur réduite – et pourquoi votre organisation devrait plutôt se concentrer sur sa propre protection.
Qu’est-ce qu’une assurance contre les rançongiciels
Ces dernières années, l’assurance contre les ransomwares s’est développée en tant que domaine de produits parce que les organisations essaient d’acheter une protection contre les effets catastrophiques d’une attaque réussie de ransomware. Pourquoi essayer de souscrire une assurance ? Eh bien, une seule attaque réussie peut à peu près anéantir une grande organisation ou entraîner des coûts écrasants – NotPetya à lui seul a entraîné un total de 10 milliards de dollars de dommages et intérêts.
Les attaques de ransomwares sont notoirement difficiles à protéger complètement. Comme tout autre événement potentiellement catastrophique, les assureurs sont intervenus pour proposer un produit d’assurance. En échange d’une prime, les assureurs s’engagent à couvrir une grande partie des dommages résultant d’une attaque par ransomware.
Selon la politique, une politique de ransomware peut couvrir la perte de revenus si l’attaque perturbe les opérations, ou la perte de données précieuses, si les données sont effacées en raison de l’événement de ransomware. Une police peut également vous couvrir en cas d’extorsion – dans d’autres cas, elle remboursera la rançon exigée par le criminel.
Le paiement exact et les conditions seront bien sûr définis dans le document de politique, également appelé les « petits caractères ». Surtout, les petits caractères contiennent également exclusions, en d’autres termes les circonstances dans lesquelles la politique ne paiera pas. Et c’est là que réside le problème.
Quel est le problème avec les petits caractères ?
Il est compréhensible que les assureurs aient besoin de protéger leurs pools de primes contre les abus. Après tout, il est facile pour un acteur de souscrire à une assurance non pas parce qu’il cherche une protection, mais parce qu’il a déjà une réclamation en tête.
Les petits caractères ne sont pas nécessairement une mauvaise chose, c’est un moyen pour les deux parties de définir les termes de l’accord afin que chacun sache ce qui est attendu et ce à quoi il a droit. Dans le cadre de l’assurance ransomware, les petits caractères feraient des demandes raisonnables.
Par exemple, votre politique vous demandera de faire un minimum d’efforts pour protéger votre charge de travail contre les ransomwares. Après tout, il est raisonnable de s’attendre à ce que vous preniez des précautions en cas d’attaque. De même, vous trouverez probablement une clause de notification dans votre contrat vous obligeant à informer votre assureur de l’attaque dans un délai minimum.
Une autre exclusion courante est liée à la guerre, où les assureurs conservent le droit de refuser d’indemniser une réclamation si le dommage est le résultat d’une guerre ou d’actes de guerre. Ce sont ces petits caractères qui inquiètent actuellement, pour trois raisons.
La complexité des exclusions de guerre
Lorsqu’un État-nation s’en prend à un autre, la cyberguerre peut être utilisée pour infliger des dommages en dehors du domaine habituel de la guerre. La cyberguerre peut être incroyablement aveugle, les parties concernées ne sont pas nécessairement des organisations gouvernementales – il pourrait s’agir d’une entreprise prise entre deux feux.
Les assureurs ont des raisons valables d’essayer d’exclure ce niveau massif d’exposition. Cependant, il y a quelques problèmes. Définir une guerre est la première question – quand un acte d’agression est-il considéré comme une activité liée à la guerre ? Une autre difficulté est l’attribution car les cyber-attaquants font généralement de leur mieux pour se déguiser – il est rare qu’un attaquant déclare ouvertement son implication dans une attaque.
Lorsqu’une organisation subit une attaque de ransomware, comment l’assureur – ou le demandeur – prouve-t-il qu’une organisation spécifique était derrière une attaque, et par conséquent, quelle était la motivation de l’attaque – par exemple la guerre ? Comment le savoir ? Trouver des preuves matérielles ou même toute preuve derrière l’attribution est très difficile.
Repensez simplement au nombre de fois où des attaques de rançongiciels sont censées être perpétrées par des « groupes « . Cela ne signifie pas (ne devrait pas ?) Signifier que des acteurs parrainés par l’État sont à l’origine de l’attaque, mais il est souvent si difficile de déterminer l’origine de l’attaque que tout acteur est à blâmer et il est généralement très difficile, voire impossible, de prouver le contraire.
Et voici le truc. Les réclamations au titre de l’assurance contre les rançongiciels ne seront pas minimes – les demandes de rançon se chiffrent généralement en millions, tandis que les dommages pourraient atteindre un milliard de dollars. Par intérêt personnel compréhensible, les compagnies d’assurance essaieront de trouver tous les motifs possibles pour refuser de payer une réclamation.
Il n’est donc pas étonnant que ces revendications soient souvent contestées – devant les tribunaux.
Il se peut que ça finisse au tribunal
Lorsqu’il y a un désaccord au sujet d’une réclamation d’assurance, le demandeur se tourne généralement vers les tribunaux. L’issue de ces affaires est incertaine et la résolution peut prendre beaucoup de temps. Un exemple est le cas de Merck contre Ace American Insurance. L’affaire faisait référence à l’attaque NotPetya où, en juin 2017, Merck a subi une intrusion majeure dont il lui a fallu des mois pour se remettre, et dont l’entreprise a estimé qu’elle lui avait coûté 1,4 milliard de dollars.
Cependant, lorsque la société a tenté de réclamer sa police d’assurance « tous risques » de 1,75 milliard de dollars, Ace American a initialement refusé de payer la réclamation, arguant qu’elle était soumise à une clause d’exclusion « actes de guerre ». Il a fondé cette affirmation sur le fait que NotPetya a été déployé par le gouvernement russe dans un acte de guerre contre l’Ukraine.
La réclamation s’est retrouvée devant le tribunal peu de temps après, mais il a fallu plus de trois ans au tribunal pour prendre une décision – statuant en faveur de Merck à cette occasion, déclarant qu’Ace American, comme de nombreux autres assureurs, n’a pas suffisamment modifié le libellé. dans ses exclusions de police pour s’assurer que l’assuré – Merck – comprenne parfaitement qu’une cyberattaque lancée dans le contexte d’un acte de guerre signifierait que la couverture de la police n’est pas valide.
Vous protéger est votre première priorité
L’industrie de l’assurance sait, bien sûr, qu’il y a un manque de clarté. Lors d’une récente étape majeure, la Lloyd’s Market Association, un réseau de membres de l’influent marché Lloyds of London, a publié un ensemble de clauses que ses membres pourraient inclure dans les conditions générales des produits de cyberassurance.
Ces clauses seraient censées faire un meilleur effort pour exclure les violations de la cybersécurité liées à la guerre. Mais, encore une fois, il peut y avoir des points de discorde – l’attribution étant la plus grande préoccupation.
Cela dit, il est de plus en plus probable que toute assurance contre les rançongiciels à laquelle vous souscrivez ne soit pas remboursée lorsque vous en avez le plus besoin, en particulier si l’on tient compte de l’environnement de sécurité mondial renforcé d’aujourd’hui.
Cela ne signifie pas que l’assurance cybersécurité n’a aucun rôle à jouer, selon les primes et le niveau de couverture, cela peut bien être une option. Mais c’est une option de dernier recours : vos propres efforts internes pour protéger vos actifs informatiques contre les attaques restent votre première ligne de défense – et votre meilleur pari.
La meilleure assurance : une posture ferme de cybersécurité
Comme mentionné précédemment, toute police d’assurance contre les rançongiciels aura des exigences minimales en matière de cybersécurité en place – des conditions que vous devez remplir pour vous assurer que votre police est payée. Cela peut inclure des éléments tels que des sauvegardes régulières et fiables ainsi que la surveillance des menaces.
Nous aimerions vous suggérer d’aller plus loin et de vraiment maximiser la protection que vous mettez en place dans votre parc technologique. Mettez en place des couches de protection supplémentaires, en particulier un live, patch sans redémarrage des mécanismes comme Entreprise KernelCare de TuxCareou Prise en charge du cycle de vie étendu pour les systèmes plus anciens qui ne sont plus officiellement pris en charge. Cela aide à résoudre le problème.
Aucune solution ne peut vous fournir une sécurité hermétique, mais elle peut vous aider à atteindre un objectif de réduction des fenêtres de risque au minimum absolu, aussi proche que possible. Prendre les mesures maximales en termes de protection de vos systèmes vous aidera à éviter une situation où vous aurez une mauvaise surprise : comme découvrir que votre assurance ne couvre pas la perte de vos données.
Alors oui, par tous les moyens, souscrivez une assurance pour vous couvrir en dernier recours. Mais assurez-vous de faire tout votre possible pour protéger votre système en utilisant tous les outils disponibles.