Cela peut sembler hérétique pour une industrie aussi dépendante des données que la leur, mais les experts ont ce conseil pour les clients confrontés à leurs responsabilités en matière de cybersécurité : peut-être ne devriez-vous pas collecter certaines informations dès le départ. Évaluez ce que vous collectez, ce que vous en faites et, selon qui vous êtes ou qui sont vos clients, envisagez d’encourager les parties prenantes à se débarrasser de certaines de ces données.
« Comment réduire ce risque ? Éliminer les données, n’est-ce pas ? C’est parfois aussi simple que cela », a déclaré Carolyn Purwin Ryan, associée spécialisée en protection des données et cybersécurité chez Mullen Coughlin LLC, lors d’une récente table ronde organisée par AM Best, réunissant des experts de Munich Re et Mullen Coughlin, intitulée Tendances des sinistres en assurance responsabilité cyber.
Rob Barlow, souscripteur cyber chez Munich Re aux États-Unis, recommande de faire un inventaire des données existantes, de leur durée de conservation et d’examiner si le stockage à froid est une option pour certaines d’entre elles.
« En cas d’attaque, vous réduisez le risque en stockant ces données séparément », confirme Mme Purwin Ryan. « Faites un inventaire de ce que vous avez », poursuit M. Barlow. « Déterminez ce dont vous avez besoin, ce dont vous n’avez pas besoin, et apportez ces modifications dès maintenant, car cela sera bien plus difficile plus tard. »
La table ronde a également longuement abordé la prévalence et la nature changeante des menaces, l’évolution des responsabilités, les mutations du paysage des polices d’assurance et les préoccupations des souscripteurs pour 2024.
« Les entreprises doivent comprendre que cela va continuer. Ces problèmes vont simplement continuer de s’aggraver », avertit Mme Purwin Ryan.
Évolution des menaces
Les attaques par compromission des courriels professionnels et les rançongiciels augmentent en gravité, affirment les panélistes. Fait intéressant, ils notent également que la fraude par virement bancaire — où des acteurs malveillants se faisant passer pour le PDG ou le directeur financier, en utilisant des « deepfakes » et d’autres tactiques, parviennent à convaincre des employés de transférer des millions de dollars — est aujourd’hui très répandue. Des outils d’intelligence artificielle (IA) facilitent ces fraudes en créant facilement des communications convaincantes, notamment des courriels et des appels téléphoniques, qui peuvent être difficiles à détecter.
« Historiquement, nous pouvions facilement repérer les courriels d’hameçonnage », indique Maria Long, vice-présidente, souscription cyber et responsable du portefeuille de gestion des risques chez Munich Re Specialty, marchés mondiaux. « Avec ChatGPT, vous pouvez produire des modèles sophistiqués et étendre la portée de votre campagne d’hameçonnage. »
Les auteurs de rançongiciels aujourd’hui ne prennent même plus la peine de chiffrer les données, préférant les exfiltrer lentement et discrètement jusqu’à ce qu’il soit trop tard. Bien que l’industrie ait constaté une légère baisse des rançongiciels ces dernières années, ceux-ci sont revenus à des niveaux élevés. Les campagnes de harcèlement ont également pris de l’ampleur ces dernières années, ajoutent-ils.
« Les rançongiciels font la une des journaux, mais la fraude par virement bancaire, croyez-le ou non, est l’une des choses les plus répandues que je vois actuellement. Beaucoup d’entreprises se font tromper très rapidement, avec des tactiques variées, y compris les deepfakes », explique Mme Purwin Ryan. « Cela dit, les rançongiciels restent au cœur des préoccupations. »
Enfin, les experts ont également discuté des menaces liées aux technologies développées par des tiers, qui collectent souvent leurs propres données. « En tant qu’entreprise, vous êtes responsable des fournisseurs que vous choisissez », rappelle-t-elle.
Évolution des responsabilités
La collecte abusive de données est une source croissante de préoccupations pour les panélistes. « Cela peut prendre de nombreuses formes », déclare Mme Long. « Faites examiner ces contrats par vos avocats pour comprendre quelles obligations vous incombent », conseille Mme Purwin Ryan, faisant référence à l’utilisation de logiciels tiers, dont beaucoup collectent bien plus de données que les entreprises ne le réalisent.
Comme c’est le cas dans d’autres secteurs d’activité, les panélistes observent également une augmentation des litiges en cybersécurité — une véritable course vers les tribunaux lorsque des avocats spécialisés dans les recours collectifs apprennent l’existence de brèches de sécurité, soit par les médias, soit après leur divulgation aux victimes et aux régulateurs.
« Nous parlons constamment de la destination de vos données. Les avocats des plaignants sont très attentifs. Ils interrogent sur les mesures de sécurité », note Carolyn Purwin Ryan.
Mutation des polices d’assurance
Dans ce contexte, il n’est pas surprenant de voir les assureurs travailler continuellement sur les libellés des polices, les couvertures et les exclusions. Le paysage évolue tellement que les polices peuvent varier sensiblement d’une année à l’autre.
En ce qui concerne les couvertures, par exemple, les rançongiciels et leurs répercussions seraient presque certainement couverts par une police d’assurance, mais les sanctions réglementaires liées à l’incapacité de protéger les informations sont généralement exclues, sauf pour les frais de défense, dans certains cas.
La fraude par virement bancaire, quant à elle, relève d’une catégorie plus large de cybercriminalité, selon M. Barlow. « Ce que nous constatons, c’est qu’étant donné qu’elle est réalisée via un ordinateur, il y a une tendance à vouloir inclure cela dans une police cyber », ajoute-t-il. « De nombreux assureurs limitent la couverture pour cette partie des sinistres. » Il ajoute néanmoins que les entreprises subissent toujours des pertes importantes liées à ces événements.
L’exclusion de guerre demeure également courante. « Je pense être contractuellement obligé de mentionner l’exclusion de guerre », plaisante-t-il. « D’autres exclusions que les acheteurs ou assurés devraient connaître incluent l’exclusion d’infrastructure — les assureurs cherchent généralement à exclure tout sinistre résultant d’une défaillance totale ou partielle des services publics, des systèmes de télécommunications, etc. », explique M. Barlow. Cela inclut les défaillances non malveillantes, comme lors de l’interruption de CrowdStrike.
« Les assureurs avaient ajouté une couverture pour les pannes de système, qui est essentiellement une couverture non malveillante, durant les années favorables du marché en 2016 et 2017 », indique Rob Barlow. « Les assureurs vont devoir se demander s’ils avaient vraiment l’intention de fournir cette couverture étendue pour les pannes de système, ou si cela ne concernait que les actes malveillants. »
Enfin, il mentionne la collecte illégale de données, disant que les assureurs cherchent généralement à l’exclure. « En général, il y a des frais de défense couverts pour cela, mais il est important de comprendre l’étendue de cette exclusion. »
Préoccupations en matière de souscription pour 2024
En ce qui concerne la gestion des fournisseurs, les experts estiment que les organisations doivent s’assurer qu’elles ont des responsables dédiés à la gestion des partenaires commerciaux, à l’accès aux informations de l’entreprise et à la prise en charge des responsabilités connexes.
Maria Long souligne également qu’il est nécessaire de s’assurer que les fournisseurs disposent de leur propre couverture d’assurance adéquate ainsi que de programmes de gestion des risques qui protègent l’organisation cliente.
De plus, les souscripteurs examinent aujourd’hui quatre domaines clés : les contrôles de l’entreprise, la résilience, la gouvernance et les investissements.
Mme Long mentionne que les sauvegardes immuables (qui ne peuvent être modifiées), la remise en question des données collectées et la sophistication des programmes de gestion des risques sont également des critères examinés lors de la souscription.
« Nous essayons de comprendre quels contrôles clés sont en place », déclare-t-elle. Cela inclut les pare-feu les plus basiques, le chiffrement des informations — tant au repos qu’en transit — et, surtout dans le cas d’organisations gérant un grand nombre de données, les souscripteurs examineront également la sécurité des points d’accès. Y a-t-il des contrôles appropriés sur chaque point d’accès avec lequel un utilisateur interagit ? » demande-t-elle.
Les efforts de mise à jour dans toute l’organisation seront également analysés. De plus, elle souligne l’importance de configurer et d’ajuster régulièrement ces contrôles.
« Si vous achetez les meilleurs contrôles disponibles pour prévenir un incident, vous assurez-vous qu’ils sont bien adaptés à l’environnement et configurés correctement ? S’ils ne le sont pas, ils sont complètement inutiles », explique-t-elle.
Toujours sur le sujet des contrôles, elle note que les souscripteurs porteront également attention au facteur humain dans l’organisation. « Nous voulons nous assurer que les entreprises forment fréquemment leurs employés sur des risques pertinents pour l’environnement actuel. À l’heure actuelle, nous devrions former nos employés à reconnaître les deepfakes et à comprendre les clés de l’ingénierie sociale. »
En ce qui concerne la résilience, Mme Long précise que les souscripteurs voudront s’assurer que les sauvegardes sont immuables, testées et chiffrées. « Nous cherchons à vérifier si l’organisation peut se rétablir en cas d’incident », ajoute-t-elle. « Avons-nous les sauvegardes appropriées et quel est l’état de ces sauvegardes ? Les avez-vous séparées de l’environnement ? Sont-elles chiffrées ? Sont-elles immuables, c’est-à-dire qu’elles ne peuvent pas être modifiées ? Et les testez-vous pour savoir combien de temps il vous faut pour récupérer les données ? »
Les considérations en matière de gouvernance incluent la question de savoir si le conseil d’administration et les cadres supérieurs soutiennent les efforts de résilience et de récupération en cybersécurité, même en l’absence de menace immédiate. Quant aux investissements, il s’agit de savoir si l’organisation améliore ses contrôles d’année en année. « Nous voulons nous assurer que l’on n’a pas une approche du type “on met en place et on oublie” », précise Maria Long.
« Il faut vraiment que les bonnes parties prenantes soient impliquées, qu’elles essaient de comprendre ce qui se profile à l’horizon afin que vous puissiez vous y préparer au lieu d’attendre que cela vous arrive », conclut-elle.