La sécurité avant tout: les compagnies d’assurance ralentiront-elles ou accéléreront-elles les progrès en matière de cybersécurité?

  • FrançaisFrançais



  • Chaque fois qu’un conducteur se boucle ou qu’un airbag est déployé, nous constatons la puissante influence des compagnies d’assurance qui ont insisté pour que ces mesures deviennent obligatoires. Désormais, ces assureurs sont prêts à stimuler les investissements dans la cybersécurité en insistant pour que les organisations répondent à certains critères pour se qualifier pour une couverture.

    On ne sait toujours pas si cela servira bien la communauté de la cybersécurité ou déformera les stratégies de protection des données et des réseaux.

    «Je pense que c’est le prochain changement tectonique», a déclaré Bryan Hurd, vice-président d’Aon Cyber ​​Solutions. Il a évoqué le rôle d’un assureur dans la conception de soupapes de surpression pour les moteurs à vapeur alimentant Philadelphie dans les années 1800: «Ils ont dit que si vous vouliez avoir une assurance, vous devez avoir cette pièce d’architecture sur votre système. Ce faisant, «ils ont conduit à la sécurité ou à des solutions pour éviter de gros sinistres».

    Il serait donc logique qu’ils tournent leur attention vers le domaine en pleine croissance de la cybersécurité. «Maintenant, nous savons que nos cyber-moteurs se heurtent à des problèmes et font exploser et blessent les gens», a déclaré Hurd, qui est également membre de Cybersecurity Collaborative de CyberRisk Alliance, un forum de RSSI, et a travaillé pendant un certain temps. dans le secteur de l’assurance après des rôles avec le Centre national de lutte contre le terrorisme du gouvernement fédéral et Microsoft, entre autres.

    Mais en ce qui concerne la couverture de cybersécurité, la relation entre les entreprises et les assureurs a été difficile et incertaine. L’atténuation de certaines violations coûtant bien dans les six chiffres – les cyber-pertes ont dépassé 1,8 milliard de dollars en 2019, selon Hiscox – les entreprises ont besoin d’une couverture. Et les assureurs sont également désireux de répondre à ce besoin et d’ouvrir une autre source de revenus lucrative.

    Pourtant, il s’est avéré difficile de définir les conditions de couverture ainsi que les prix. Et dans quelques cas très médiatisés, les compagnies d’assurance ont renfloué. Dans un exemple notable, les assureurs ont refusé de payer la réclamation de Mondelez International après que l’attaque de NotPetya ait été qualifiée d’acte du gouvernement russe, affirmant que l’attaque relevait de l’exemption de la politique «action hostile ou guerrière en temps de paix ou de guerre».

    «La cybersécurité n’est toujours pas, pour de nombreuses personnes dans le monde, un concept clair et tangible», a déclaré Patryk Brozek, PDG et co-fondateur de Fudo Security.

    Un modèle mûr

    La relation entre les entreprises et les assureurs, comme le marché de la cyber-assurance lui-même, évolue.

    «L’assurance cybersécurité n’en est qu’à ses débuts et, grâce à la maturité de son modèle opérationnel, elle aura un impact positif énorme sur les personnes assurées et / ou sur les organisations», a déclaré Niamh Muldoon, responsable mondial de la protection des données chez OneLogin. «Un partenariat avec l’expertise du secteur de la cybersécurité stimulera cette maturité au sein du secteur.»

    Au cours des dernières années, a déclaré Brozek, «la prise de conscience s’est accrue, car de plus en plus de personnes, et pas seulement les entreprises, ressentent les effets et les conséquences» des données médicales volées et des détails de carte de crédit – et pire.

    Propulsés par la flambée des cyberincidents et des attaques de ransomwares, les entreprises et les fournisseurs d’assurance repensent et redéfinissent la manière dont ils s’engagent les uns les autres, a déclaré Trent Cooksley, directeur des opérations chez Cowbell Cyber. «Afin de maintenir un ratio de sinistres rentable, les assureurs pourraient devoir demander des contrôles spécifiques sur les entreprises avant d’offrir une couverture», a-t-il déclaré.

    En fin de compte, il estime que «c’est bon pour les entreprises car, grâce au processus d’assurance, elles gagneront une meilleure visibilité sur leurs cyber-risques et les mesures qu’elles peuvent déployer pour maintenir les opérations numériques sécurisées et conformes aux réglementations sur la confidentialité des données.»

    Selon le Harvard Business Review, cependant, les entreprises avec au moins 200 millions de dollars de cyberassurance représentent un peu plus de 20% de ce que l’on estime être 5 milliards de dollars de prime mondiale de cyberassurance, soit environ 1,1 milliard de dollars de prime.

    C’est une véritable incitation pour les assureurs à s’affirmer sur ce marché. Citant l’assurance cybersécurité comme un «composant important dans lequel les entreprises investissent comme couche de protection», Muldoon a déclaré qu’aucune entreprise ne devrait fonctionner sans elle.

    «Il aide les chefs d’entreprise à prendre des décisions éclairées fondées sur les risques pour aider leurs entreprises à progresser tout en réduisant les risques à un niveau acceptable», a-t-il ajouté.

    Les assureurs «font pression pour des domaines d’amélioration et de concentration», a déclaré Brandon Hoffman, responsable de la sécurité de l’information chez Netenrich, mais «il est difficile de dire si celles-ci correspondent réellement aux meilleures pratiques ou si elles s’intègrent d’une manière ou d’une autre dans leur science actuarielle.»

    Dans un monde idéal, a-t-il déclaré, «les assureurs feraient pression pour que les processus de sécurité de base soient les plus importants et se concentrent moins sur la technologie ou les processus avancés, car ils sont plus difficiles à appliquer efficacement pour les organisations avec moins de ressources.

    Qu’est-ce que cela pourrait inclure? Les entreprises devraient s’attendre à ce que les assureurs exigent une preuve plus systématique que les meilleures pratiques en matière de sécurité sont en place avant de pouvoir être assurées, a déclaré Cooksley. «Cela peut aller de la validation de la configuration des services cloud pour la sécurité à la mise en place d’un programme de gestion des risques tiers ou au déploiement d’une formation sur la cyber-sensibilisation à tous les employés. C’est là que les ressources et les normes de l’industrie, telles que les contrôles CIS, aideront à assurer l’uniformité des contrôles de sécurité requis. »

    Mais Brozek prévient qu ‘«une approche universelle ne fonctionnera pas» et que de nombreuses questions doivent être résolues, comme qui décide de la valeur des données, comment elles seront quantifiées et quel type de risque est évalué.

    «Oui, les compagnies d’assurance peuvent, avec certaines politiques qu’elles proposent, exiger un strict minimum d’outils et de solutions d’atténuation de la cybersécurité / infosec», a-t-il déclaré. «Cela pourrait très bien inciter les entreprises et certains secteurs comme la finance ou la santé à adopter une norme commune.»

    Mais beaucoup dépendra de la réglementation. «Si quoi que ce soit, je peux voir un plus grand impact sur la sensibilisation à la cyber», a déclaré Brozek. «Pas seulement pour le c-suite mais aussi pour le travailleur ordinaire.

    Étant donné que les pirates informatiques passent souvent par des liens plus faibles dans la chaîne d’approvisionnement pour atteindre de plus gros poissons (pensez au fournisseur de CVC qui a servi de moyen pour les pirates informatiques cibles), il se peut que les assureurs obligent les entreprises à montrer qu’ils ont fait preuve de diligence raisonnable évaluer les postures de sécurité de leurs partenaires ou en supporter les conséquences en cas de violation.

    Cyberaméliorations ou cyber-dégradation?

    Pourtant, malgré toute leur puissance potentielle dans la conduite de la cybersécurité, les fruits de cette influence ne seront pas reconnus du jour au lendemain. Dans le cas des ceintures de sécurité, des sacs gonflables et d’autres mesures de sécurité destinées à sauver des vies et à atténuer les blessures, «ce fut un long processus jusqu’à ce que les règles générales et la pratique courante», a déclaré Brozek. Considérez que c’est en 1968 que les ceintures de sécurité sont devenues obligatoires dans toutes les voitures vendues aux États-Unis; Cependant, ce n’est que dans les années 1980 que la ceinture de sécurité est devenue nécessaire.

    D’autres facteurs augmenteront également la pression sur le renforcement de la cybersécurité, de même que des événements inattendus comme, par exemple, une pandémie mondiale.

    «Il n’y a pas qu’une seule force à la tête de ce changement, et bien que la cyberassurance continue d’être plus courante, il y a d’autres acteurs dans cette histoire», a déclaré Eddy Bobritsky, PDG de Minerva Labs. «Les gouvernements, l’industrie, les particuliers et l’interaction entre eux détermineront la façon dont nous considérons tous la cybersécurité et la nécessité de se protéger contre les menaces.»

    De multiples parties prenantes et forces «changent notre perception et l’opinion du public sur la cybersécurité et les menaces», a déclaré Brozek. «Ce que la pandémie mondiale de COVID-19 nous a montré, c’est que notre dépendance aux outils et appareils numériques a révélé non seulement la facilité d’interaction dans un monde connecté, mais aussi nos vulnérabilités. Chaque secteur a subi des brèches et aucune nation ne peut prétendre avoir été épargnée. »

    Et Bobritsky soutient que le fait de compter sur les assureurs pour montrer la voie peut en fait dégrader la cybersécurité. «Jusqu’à présent, le secteur de la cyber-assurance a eu une influence négative sur le niveau de cyberdéfense que les organisations construisent», a-t-il déclaré.

    Environ 80% des organisations n’ont pas les moyens d’acheter ou de maintenir des solutions de cybersécurité, a soutenu Bobritsky. «La sécurité des organisations dépend de la taille, des compétences et des outils de l’équipe de sécurité et c’est un énorme problème. Ces organisations ont trouvé un raccourci, la cyber-assurance. Mais les dernières années, en particulier 2020, ont montré que cela ne fonctionnera pas.

    Brozek met en garde contre un faux sentiment de sécurité, selon lequel «les compagnies d’assurance montreront la voie», ce qui peut amener certains à minimiser l’impact d’autres facteurs. Il a souligné les États-nations, qui «jouent un rôle à la fois politique et économique dans la politique de cybersécurité», et les gouvernements nationaux qui exigent le respect de réglementations telles que le règlement général sur la protection des données de l’Union européenne, le California Consumer Privacy Act et le Brésil Lei Geral de Proteção de Dados.

    «Il reste encore beaucoup à faire et la géopolitique du monde ne peut être sous-estimée en cherchant à comprendre l’avenir de la cybersécurité et son impact sur les entreprises et le public», a-t-il déclaré.

    En effet, il est important de ne pas oublier qui dirige réellement les efforts des entreprises pour renforcer la cybersécurité. “Restons réalistes: des acteurs malveillants, des attaquants et des cybercriminels sont aux commandes”, a déclaré Muldoon. «Les compagnies d’assurance ne sont qu’une autre garantie sur la route pour réduire les menaces pour les autres véhicules, à la fois les conducteurs et leurs passagers. La route est longue et pleine de dangers, les compagnies d’assurances y sont donc les bienvenues. »

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *