Peu de preuves que le boom de la cyberassurance conduit à une meilleure sécurité
Français
La communauté de la sécurité des dernières années a souligné le grand potentiel de la cyberassurance pour faire progresser les meilleures pratiques en matière de cybersécurité : forcer les entreprises à améliorer leur jeu en imposant certaines normes de couverture.
Mais des recherches récentes montrent que ce n’est pas le cas.
Selon un nouveau rapport publié lundi par le groupe de réflexion britannique sur la sécurité Royal United Services Institute (RUSI), la montée en puissance de la cyberassurance n’a pas réussi à promouvoir de meilleures pratiques de cybersécurité dans les secteurs qu’elle couvre. Cela est particulièrement vrai pour le fléau des ransomwares, où l’augmentation des paiements et les incitations commerciales à payer peuvent constituer une menace existentielle pour les fournisseurs d’assurance en Grande-Bretagne – et au-delà.
Bien que les ransomwares soient «un problème de société», les auteurs notent que les cyber-assureurs sont confrontés à une certaine chaleur pour le rôle qu’ils jouent dans le soutien financier de l’industrie cybercriminelle.
« Ceux-ci alimentent le feu en incitant les cybercriminels à s’engager dans des opérations de ransomware et en permettant aux opérateurs existants d’investir et d’étendre leurs capacités, écrivent les auteurs Jamie MacColl, Jason RC Nurse et James Sullivan. « Les pertes croissantes dues aux attaques de ransomwares ont… souligné que la réalité actuelle n’est pas non plus durable pour les assureurs.
Lorsqu’une entreprise est touchée par un ransomware, elle est souvent confrontée à trois choix : payer, s’appuyer sur des sauvegardes ou reconstruire l’intégralité du réseau informatique. Étant donné que les assureurs choisissent généralement de couvrir l’option la moins chère, le paiement d’une rançon initiale revient presque toujours à coûter moins cher que de repartir de zéro ou à entraîner des semaines d’arrêt pendant que les systèmes sont restaurés à partir de sauvegardes.
Bien que ce modèle et cette approche semblent avoir un sens commercial pour les assureurs, ils finissent par mettre une somme d’argent absurde dans les poches de groupes criminels. Ces groupes disposent alors de plus de ressources pour développer davantage leurs logiciels malveillants et leur infrastructure, offrent une meilleure rémunération pour inciter les pirates informatiques talentueux à rejoindre leur réseau et acheter des exploits zero-day ou un accès initial aux entreprises victimes.
En février, un rapport de Chainalysis, qui suit les paiements de crypto-monnaie dans les enquêtes des forces de l’ordre, a estimé que ces groupes ont remporté au moins 350 millions de dollars en paiements de rançon en 2020, et les experts disent que de nombreux incidents ne sont pas signalés publiquement, car la victime a décidé de payer discrètement avant que leurs informations ne soient publiées en ligne et ne pas s’engager avec les forces de l’ordre.
Plusieurs incidents très médiatisés au cours des derniers mois et ont souligné les défis rencontrés dans ce domaine. Le gouvernement américain n’a initialement pas été en mesure d’obtenir des informations sur le paiement de la rançon de la part des dirigeants de Colonial Pipeline, et certains ont été indignés lorsque le PDG Joseph Blount, dans une interview aux médias, a semblé payer la rançon de 4,3 millions de dollars (ce que Blount a déclaré plus tard que la société avait soumis une réclamation d’assurance pour ) comme « la bonne chose à faire » et un devoir patriotique de faire fonctionner les infrastructures américaines vitales. Une attaque de ransomware contre le géant de l’assurance CNA en mars a également entraîné un paiement de 40 millions de dollars qui serait le plus gros paiement de rançon jamais enregistré, selon Bloomberg.
Le rapport RUSI, qui fait partie d’un projet d’un an avec l’Université du Kent étudiant les moyens d’encourager une meilleure cybersécurité grâce à l’assurance, trouve peu de preuves tangibles indiquant que ce modèle oblige les entreprises à réévaluer leurs propres pratiques et investissements en matière de cybersécurité. Il avertit également que le modèle actuel consistant à effectuer régulièrement des paiements de rançon importants ne profitera pas financièrement aux assureurs à long terme.
Alors que certains des transporteurs interrogés pour le rapport ont vanté leurs services avant et après l’incident – comme l’analyse médico-légale, la réponse aux incidents, les services juridiques et les relations publiques – comme des services précieux qui aident à élever une organisation victime vers un plan de cybersécurité plus élevé et plus sûr qui empêche de futures attaques, il n’y a que des preuves rares et éparses que cela se produit réellement à certains endroits.
En fait, de nombreuses entreprises qui achètent une cyberassurance ont tendance à la considérer comme un outil de résilience contre les cyberattaques plutôt qu’un outil d’atténuation des risques. Une étude menée par la société de renseignement sur les menaces Cybereason en juin a affirmé que 80 % des entreprises qui ont payé la rançon ont de nouveau été infectées par un ransomware dans les mois suivants, souvent par le même groupe.
Un exemple d’impact favorable cité par les auteurs : les affirmations de l’assureur américain Corvus selon lesquelles leur analyse des ports et des vulnérabilités couramment exploitées par les groupes de ransomware a entraîné une baisse de 65 % des réclamations liées aux ransomwares d’avril à septembre 2020.
Ces assureurs peuvent faire davantage pour affiner le type de données qu’ils collectent, pousser l’industrie à adopter les normes de sécurité définies par des organisations gouvernementales comme le National Institute for Standards and Technology des États-Unis et évaluer différents produits de cybersécurité pour leur valeur et leur impact sur les coûts des primes.
“Il existe un solide corpus d’arguments théoriques selon lesquels la cyberassurance pourrait jouer un rôle significatif dans l’amélioration de la cybersécurité des entreprises, comme indiqué dans un précédent article de RUSI Emerging Insights”, indique le rapport. “Cependant, dans la pratique, il reste encore à voir si la cyberassurance peut tenir cette promesse.”
Bien que le document soit axé sur le marché britannique de l’assurance, les défis et les solutions potentielles décrits partagent de nombreux parallèles avec ceux du marché américain, où une épidémie de ransomware a contraint les décideurs politiques à élever le problème et à envisager un certain nombre de solutions auparavant extrêmes, comme l’interdiction des rançons. paiements, réglementant fortement les crypto-monnaies utilisées pour payer et ordonnant aux forces de l’ordre et aux agences de renseignement de cibler de plus en plus l’infrastructure informatique sur laquelle ces groupes s’appuient pour mener à bien leurs projets.
Les résultats font écho à des affirmations similaires formulées dans un rapport du Government Accountability Office américain sur la cyberassurance en mai, qui a révélé que le secteur dans son ensemble manquait du type de données historiques sur les violations de données et leurs atténuations efficaces pour tarifer correctement leur couverture, bien que certains fournisseurs de la cyberassurance interrogée par SC Media a contesté les conclusions à l’époque.
« Si jamais vous allez au restaurant et que vous avez envie d’un bon dîner de homard, vous avez probablement vu le menu dire « prix du marché », car qui sait combien de homards ils ont pêchés ce jour-là, à cette époque du mois ou de l’année ? Le prix est vraiment variable dans ce que coûtent les homards au jour le jour, il peut fluctuer énormément », a déclaré John Pescatore, directeur des tendances émergentes en matière de sécurité au SANS Institute, en mai. « C’est en quelque sorte le cas [today] pour la cyberassurance, c’est essentiellement le prix du marché.
