Les assureurs ne sont pas préparés aux défis de la souscription de ransomwares
4 min read
La contribution du secteur des assurances à l’amélioration la cyber-sécurité les meilleures pratiques à ce jour ont été plus limitées que les décideurs politiques et les entreprises pourraient le souhaiter, et une réinitialisation à l’échelle de l’industrie pourrait être nécessaire pour aider les cyber-assureurs à faire face avec les défis auxquels ils sont confrontés, en particulier une « menace existentielle » de ransomware.
C’est selon un article récemment publié par des analystes du Institut royal des services unis (Rusi) think tank, qui a mis en lumière les défis auxquels sont confrontés les cyber-assureurs ; outre les ransomwares, il s’agit notamment de problèmes de collecte et d’analyse des données sur les risques.
Dans le journal, La cyberassurance et le défi de la cybersécurité, lequel est disponible pour le public en téléchargement Ici, le cyberanalyste de Rusi Jamie MacColl, le chercheur associé Jason Nurse (également professeur agrégé en cybersécurité à l’Université du Kent) et le directeur de la recherche cyber James Sullivan soutiennent qu’à mesure que le secteur mûrit, la cyberassurance a le potentiel de jouer un rôle joué par les assureurs dans d’autres secteurs, comme récompenser une bonne gestion des risques ou offrir des avantages financiers – ou même des connaissances et une assistance spécialisées – aux organisations qui ont mis en place de meilleurs contrôles et normes de sécurité.
Cependant, les auteurs de l’article affirment que si les leviers par lesquels la cyber-assurance peut inciter à une meilleure hygiène de sécurité existent, tous ont des « limites importantes », et le secteur naissant de la cyber-assurance « a du mal à passer de la théorie à la pratique ».
Ils concluent que pour que la cyber-assurance ait l’impact souhaité, le secteur doit s’améliorer non seulement pour comprendre et identifier les cyber-risques, mais également pour collecter et partager des données fiables sur les cyber-risques pour éclairer la souscription et la modélisation des risques.
Sans ces données, explique Rusi, les assureurs et les réassureurs sont essentiellement incapables d’évaluer avec précision les risques ou les pratiques de sécurité d’un client et ne peuvent donc pas tarifer leurs primes de manière appropriée. De plus, a-t-il déclaré, le marché n’a pas encore adopté l’utilisation appropriée des incitations financières ou des obligations imposées pour améliorer les cyber-pratiques parmi les clients.
Le document poursuit en soulignant comment, en raison de ces chaînons manquants, le secteur peut en fait aller dans la mauvaise direction, notant que les cyber-assureurs ont été critiqués – à haut niveau dans certains cas – pour faciliter les paiements de ransomware aux cybercriminels. Ce faisant, soutiennent les critiques, ils encouragent de nouvelles activités cybercriminelles et permettent aux gangs criminels existants d’investir et d’étendre leurs capacités. Il note comment les pertes résultant de la souscription d’incidents de ransomware sans critique ont également contribué à certains assureurs – comme AXA – quitter certains marchés.
Rusi a formulé un certain nombre de recommandations aux cyber-assureurs pour renverser la vapeur. Il s’agit notamment de la convention collective sur les exigences minimales de sécurité lors du processus d’évaluation des risques pour les PME ; et plus de collaboration avec les fournisseurs de services de sécurité gérés, les fournisseurs de services cloud et les spécialistes des renseignements sur les menaces pour exploiter les données des clients.
Il exhorte également le Cabinet Office et le Crown Commercial Service à élaborer une politique et un cadre juridique qui rendent la couverture de cyber-assurance obligatoire pour tous les fournisseurs et vendeurs du gouvernement.
Il suggère le Centre national de cybersécurité (NCSC), Agence nationale de lutte contre la criminalité (NCA) et les acteurs de l’assurance à se tourner vers les modèles de partenariat public-privé existants pour lutter contre les cyberincidents et la criminalité financière, et établir des liens de partage d’informations pour échanger des renseignements sur les menaces et des données de paiement de rançons – le tout anonymisé ; que les assureurs doivent spécifier que si elles sont proposées, les polices de couverture contre les ransomwares doivent obliger les assurés à informer le NCSC et la NCA en cas d’attaque et avant le paiement ; et que le secteur de l’assurance devrait travailler avec le NCSC et les cyber-partenaires pour créer un ensemble de contrôles de ransomware minimum basés sur les renseignements sur les menaces et les données sur les réclamations.
Rusi a également appelé à la Secrétariat de la sécurité nationale procéder à un examen de la politique sur la faisabilité et l’opportunité d’interdire complètement les paiements par ransomware.
Il semble y avoir de plus en plus de soutien à l’adoption d’une sorte d’interdiction des paiements par ransomware ; un rapport publié plus tôt en juin 2021 pour marquer le lancement d’une campagne anti-ransomware, #Ransomaware, a affirmé que près de 80 % des professionnels de la cybersécurité, et à peu près la même proportion de consommateurs, seraient favorables à une interdiction.
