Agence web » Actualités du digital » Pouvez-vous compter sur votre cyberassurance? –

Pouvez-vous compter sur votre cyberassurance? –

ParTremplin Numérique Publié le
Shutterstock / M_Agency

Vous avez une cyber-assurance au cas où le pire arriverait. Mais que couvre votre police et que ne paiera-t-elle pas? Votre pire scénario pourrait être pire que vous ne le pensez.

Qu’est-ce que l’assurance responsabilité cybernétique?

L’assurance cybersécurité est une forme spécifique d’assurance qui couvre les pertes financières résultant de cyberincidents. Il s’agit généralement de cyberattaques et de violations de données. Comme pour toutes les polices d’assurance, vous nourrissez deux espoirs. Premièrement, vous n’avez jamais à l’utiliser. La seconde est que si vous devez faire une réclamation, la compagnie d’assurance accepte votre réclamation et la paie.

Vous pouvez faire beaucoup pour rendre votre organisation aussi sûre que possible. Cependant, il existe toujours un risque qu’une nouvelle vulnérabilité soit découverte et exploitée par les acteurs de la menace avant qu’elle ne soit identifiée par le fabricant et qu’un correctif soit publié pour corriger cette vulnérabilité. C’est une forme de vulnérabilité zero-day.

Une autre vulnérabilité du jour zéro est la courte période entre la détection, la caractérisation et la mise à jour d’une nouvelle souche de logiciel malveillant et la création de mises à jour pour un logiciel anti-malware. Au cours de cette courte période intermédiaire, le malware peut se propager de manière incontrôlée.

Une autre vulnérabilité est votre personnel. Ils doivent suivre une formation régulière – au minimum annuelle – sur la cyber-sensibilisation et une formation à la protection des données. Les cybermenaces les plus courantes arrivent par e-mail, et c’est votre personnel qui reçoit ces e-mails. La plupart des violations de données se produisent par le biais d’erreurs ou de raccourcis du personnel. Et, malgré la formation, ils peuvent déraper.

La cybersécurité est un processus constant d’amélioration et de rattrapage. Vous ne pouvez jamais cocher la case indiquant «cybersécurité complète, 100% sécurisée». Vous n’atteindrez jamais le point de zéro risque. Et comme il n’y aura jamais de risque nul, vous devriez fortement envisager une assurance responsabilité civile cybernétique.

Couverture propriétaire et tierce

Les polices d’assurance responsabilité civile cybernétique varient considérablement. Ce que certains fournisseurs incluent, d’autres considèrent comme des extras coûtés ou les omettent complètement. Une politique prête à l’emploi peut ne pas répondre à vos besoins. Si votre organisation est suffisamment grande, votre infrastructure informatique suffisamment compliquée ou s’il existe une forte probabilité que des dommages financiers ou des pénalités soient rédhibitoires, vous devriez négocier une police d’assurance sur mesure.

La plupart des polices offrent une couverture de première partie et de tiers ou, en termes d’assurance, couvertures. Les couvertures de première partie couvrent les dépenses financières directes que votre organisation doit payer à la suite d’un incident de données. Vous êtes la première partie et vous êtes couvert pour les menues dépenses vous avez souffert.

Les couvertures de tiers s’appliquent aux pénalités financières que votre organisation est obligée de payer en raison de réclamations et de poursuites judiciaires des personnes concernées. Par exemple, les personnes concernées par une violation de données peuvent déposer une réclamation contre vous, soit individuellement, soit dans le cadre d’un recours collectif. C’est le tiers et vous êtes couvert pour les coûts des dommages ils ont souffert.

Par exemple, une clinique de psychothérapie privée finlandaise appelée Vastaamo a été victime d’une violation massive de données lorsque toute sa base de données de patients a été volée en 2018. La base de données contenait des informations personnellement identifiables, y compris des transcriptions de séances de psychothérapie.

Vastaamo a refusé de payer la rançon du chantage malgré la pression des acteurs de la menace qui ont publié les dossiers de 100 patients par jour sur le Dark Web. Lorsque cette méthode d’extorsion a échoué, en 2020, les cybercriminels ont approché directement les patients. Ils ont menacé de divulguer leurs dossiers de patients et de séances à moins qu’ils ne reçoivent un paiement.

Si Vastaamo ne s’était pas effondrée en faillite, les patients auraient pu poursuivre Vastaamo pour défaut de protection de leurs données personnelles et pour non-divulgation de la violation de données. Si Vastaamo avait été couvert par une bonne cyberassurance, ils auraient peut-être évité la faillite – couverture de première partie – et été en mesure de résister aux pénalités financières des litiges des personnes concernées – la couverture par des tiers. En l’occurrence, l’entreprise s’est repliée avant que les personnes concernées et l’autorité de protection des données puissent intenter des poursuites contre elle.

Autres types de couverture

Les polices complètes de cybersécurité offrent une gamme de couvertures, dont certaines peuvent être facultatives. Chaque couverture est susceptible d’avoir son propre plafond financier, ce qui limite le degré d’exposition auquel les assureurs sont confrontés en vous assurant. Certaines polices ou couvertures peuvent exiger une franchise. Il s’agit d’un montant d’argent que vous devrez fournir en cas de réclamation et qui sera déduit de tout versement d’assurance. Accepter une franchise réduit la prime de votre police.

Il est important de vérifier si votre assurance couvre les coûts liés à l’assistance d’un expert. Cela peut être nécessaire pour la gestion des incidents ou des crises, les experts techniques et médico-légaux, les négociations avec les acteurs de la menace et la gestion des communications. Certains assureurs fourniront eux-mêmes ces experts plutôt que de payer pour un soutien externe.

Cette liste contient quelques couvertures propriétaires courantes.

Restauration des données

Couvre les frais de restauration des données, de réinstallation des systèmes d’exploitation et des programmes ou de remplacement des logiciels endommagés ou détruits au-delà de la récupération. Il peut y avoir une liste de risques couverts. Si le dommage est le résultat de quelque chose qui ne figure pas sur cette liste, vous n’êtes pas couvert, alors vérifiez attentivement votre police.

Perte de revenus et dépenses supplémentaires

Si vous êtes rendu incapable de négocier, vous subissez une perte de revenu. Cette couverture couvre les frais engagés pour remettre vos systèmes en état opérationnel. Encore une fois, il y aura probablement une liste des risques couverts. Certaines polices offrent même une couverture pour une perte de revenu que vous subissez parce qu’un partenaire commercial, un fournisseur ou un autre partenaire clé tel qu’un distributeur est victime d’un cyberincident.

Cyber ​​extorsion

Il s’agit de la couverture des rançons, des chantages ou des paiements extorqués de la même manière versés aux acteurs de la menace. L’exemple le plus courant est le ransomware, mais il peut également être pour empêcher la fuite de documents sensibles en ligne ou pour empêcher un pirate d’introduire un virus, ou pour arrêter de mener des attaques de déni de service distribué.

Des politiques robustes couvriront les paiements effectués à la suite de tout type d’extorsion tant que le consentement de l’assureur est obtenu, et les meilleures politiques fourniront également un négociateur ou une couverture pour les coûts de location d’un.

Coûts de notification

La plupart des législations modernes sur la protection des données, telles que le règlement général sur la protection des données et la loi californienne sur la protection des consommateurs, exigent qu’une organisation contacte et informe les personnes concernées d’une violation de données.

Si les données compromises sont susceptibles d’entraîner des dommages financiers pour les personnes concernées, on peut s’attendre à ce que vous fournissiez une surveillance du crédit. Si votre violation est suffisamment grave – en raison d’un nombre très élevé de personnes concernées ou si les données violées incluent des données de catégorie spéciale telles que des informations médicales – vous devrez peut-être consacrer du personnel à répondre aux requêtes du public ou à sous-traiter cette fonction. Vérifiez si votre police offre une couverture de ce type.

Gestion de crise

La plupart des cyber-politiques offrent une certaine couverture pour les dépenses de gestion de crise. En fonction de votre police, la couverture peut fournir une assistance spécialisée pour vous aider à faire face à l’incident, à la récupération, à la limitation des dommages et aux communications RP et commerciales. Vérifiez si votre politique donne accès à:

  • Experts techniques et médico-légaux.
  • Centre d’appels et personnel de notification.
  • Services de surveillance de crédit et de vol d’identité.
  • Entreprises de relations publiques.
  • Négociateurs.
  • Conseiller juridique.

Responsabilité en matière de sécurité du réseau et de confidentialité

Si le cyberincident a été rendu possible en raison d’actes de négligence, d’erreurs, de défaillances ou d’omissions concernant votre cybersécurité ou votre notification de violation, vous pouvez faire face à des poursuites judiciaires de la part des personnes concernées. Cette couverture assure contre ces réclamations.

Responsabilité des médias électroniques

Ceci est généralement inclus dans l’assurance de la cyber-responsabilité, bien qu’il ne traite pas directement des questions découlant d’un cyberincident. Il couvre les poursuites intentées contre votre organisation pour des actes de diffamation, de calomnie et de diffamation en raison de quelque chose de publié sur un site Web, un blog ou des médias sociaux. Certains assureurs appellent cela erreurs et omissions couverture.

Procédures réglementaires

Si l’organe de contrôle ou de gouvernance de votre législation sur la protection des données impose des amendes ou d’autres sanctions à votre organisation, soit pour la violation, soit pour votre traitement de la violation, cette couverture vous couvrira pour ces pertes. Il devrait également payer pour une représentation juridique si nécessaire.

Ce qui n’est pas couvert

Comme tous les contrats d’assurance, les polices de cyber-responsabilité excluent certains types de réclamations. Voici quelques exclusions typiques:

  • Tout ce qui est avant le début de la police.
  • Lésions corporelles ou corporelles.
  • Dommages à la propriété.
  • Auto-sabotage: actes malhonnêtes intentionnels commis par un membre de votre organisation.
  • Actes de guerre et terrorisme.
  • Responsabilité contractuelle.
  • Panne de l’utilitaire.
  • Améliorer votre informatique. Votre cyberassurance vous ramènera là où vous étiez, pas là où vous deviez être pour éviter l’incident. Cela ne visera pas à vous laisser dans un état amélioré. C’est appelé amélioration par les assureurs.

Actes de guerre et terrorisme

C’est un gros problème. Si la cyberattaque ou le cyberincident dont vous avez été victime est considéré comme un acte de cyberguerre ou de cyberterrorisme, votre compagnie d’assurance ne paiera pas. L’exclusion standard de toute assurance commerciale contre les actes de guerre et de terrorisme entrera en vigueur.

Les groupes de piratage d’État, connus sous le nom de Advanced Persistent Threats (APT), mènent régulièrement des campagnes qui débordent et créent des dommages collatéraux dans le monde des affaires en général.

Les attaques de ransomware NotPetya de 2017 visaient les utilisateurs d’un type particulier de progiciel de comptabilité d’entreprise largement utilisé en Ukraine. NotPetya s’est rapidement répandu pour attaquer les organisations du monde entier. L’attaque a été attribuée à l’armée russe par l’Australie, la Nouvelle-Zélande, le Canada, le Japon, les États-Unis, le Danemark et le Royaume-Uni. Cette attribution a eu un impact énorme sur un grand nombre d’entreprises.

Le géant de l’alimentation et des boissons Mondelēz a été touché par NotPetya et a subi des pertes de plus de 100 millions de dollars américains. Leur assureur, Zurich Insurance Group, affirme que, parce que l’armée russe était derrière le malware, la cyberattaque était un acte de cyberguerre. Zurich déclare que cela la dégage de toute responsabilité. Sans surprise, Mondelēz International poursuit Zurich Insurance Group pour 100 millions de dollars US

Les clauses sur la guerre et le terrorisme sont formulées de différentes manières d’une politique à l’autre, mais peuvent être paraphrasées comme suit: «… exclut les dommages causés par une action hostile ou guerrière en temps de paix ou de guerre par l’armée, la marine ou l’aviation d’un gouvernement ou d’une puissance souveraine, ou un agent ou autorité de celui-ci. » Donc, il n’est pas nécessaire qu’un État ou un acte de guerre s’applique pour que l’exclusion s’applique. Une action hostile d’une puissance ou d’un gouvernement étranger en temps de paix peut déclencher la clause d’exclusion.

Il sera intéressant de voir quel sera le résultat de Mondelēz International contre Zurich Insurance Group est. Avec le nombre toujours croissant d’activités APT, s’il est peu probable que l’organisation commerciale moyenne soit une cible directe, la probabilité d’être pris dans les tirs croisés augmente en conséquence.

Si vous êtes touché et que l’attribution des points à un APT, peu importe la couverture que vous avez ou n’avez pas dans votre police – votre police pourrait très bien être nulle.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.