Les assureurs ne sont pas préparés aux défis de la souscription d’un rançongiciel

La contribution du secteur de l’assurance à l’amélioration des pratiques exemplaires en matière de cybersécurité à ce jour a été plus limitée que ne le souhaitent les décideurs et les entreprises, et une remise à zéro à l’échelle de l’industrie pourrait être nécessaire pour aider les cyberassureurs à faire face aux défis auxquels ils sont confrontés, en particulier une « menace existentielle » provenant des rançongiciels.

C’est ce qu’indique un article récemment publié et produit par des analystes du groupe de réflexion Royal United Services Institute (Rusi), qui met en lumière les défis auxquels sont confrontés les cyberassureurs; outre ransomware ceux-ci incluent des problèmes avec la collecte et l’analyse des données de risque.

Dans le document, La cyberassurance et le défi de la cybersécurité, qui est disponible pour le téléchargement du public ici, l’analyste en cybersécurité de Rusi Jamie MacColl, le boursier associé Jason Nurse (également professeur agrégé en cybersécurité à l’Université de Kent) et le directeur de la recherche en cybersécurité James Sullivan soutiennent qu’à mesure que le secteur mûrit, la cyberassurance a le potentiel de remplir un rôle joué par les assureurs dans d’autres secteurs, comme récompenser une bonne gestion des risques ou offrir des avantages financiers – ou même des connaissances et une assistance spécialisées – aux organisations qui ont mis en œuvre de meilleurs contrôles et normes de sécurité.

Cependant, les auteurs de l’article affirment que si les leviers par lesquels la cyberassurance peut encourager une meilleure hygiène de sécurité existent, tous ont des « limites significatives », et le secteur naissant de la cyberassurance « a du mal à passer de la théorie à la pratique ».

Ils concluent que si l’on veut que la cyberassurance ait l’impact souhaité, le secteur doit s’améliorer non seulement pour comprendre et identifier les cyberrisques, mais aussi pour recueillir et partager des données fiables sur les cyberrisques afin d’éclairer la souscription et la modélisation des risques.

Sans ces données, dit Rusi, les assureurs et les réassureurs sont essentiellement incapables d’évaluer avec précision le risque ou les pratiques de sécurité d’un client et ne peuvent donc pas fixer le prix de leurs primes de manière appropriée. De plus, a-t-il dit, le marché n’a pas encore adopté l’utilisation appropriée des incitatifs financiers ou des obligations imposées pour améliorer les pratiques cybernétiques chez les clients.

Le document poursuit en soulignant comment, en raison de ces chaînons manquants, le secteur pourrait en fait aller dans la mauvaise direction, notant que les cyberassureurs ont été critiqués – à un niveau élevé dans certains cas – pour avoir facilité les paiements de ransomware aux cybercriminels. Ce faisant, font valoir les critiques, ils encouragent d’autres activités cybercriminales et permettent aux gangs criminels existants d’investir dans leurs capacités et de les étendre. Il note comment les pertes découlant de la souscription d’incidents de ransomware sans critique ont également contribué à ce que certains assureurs – tels qu’AXA – quittent certains marchés.

Rusi a formulé un certain nombre de recommandations pour que les cyberassureurs retournent la situation. Il s’agit notamment de la convention collective sur les exigences minimales de sécurité pendant le processus d’évaluation des risques pour les PME; et plus de collaboration avec les fournisseurs de services de sécurité gérés, les fournisseurs de services cloud et les spécialistes de la renseignement sur les menaces pour exploiter les données des clients.

Il exhorte également le Bureau du Conseil des ministres et le Crown Commercial Service à élaborer une politique et un cadre juridique qui rendent la couverture d’assurance cybernétique obligatoire pour les fournisseurs et les vendeurs du gouvernement.

Il suggère au Centre national de la cybersécurité (NCSC), à la National Crime Agency (NCA) et aux acteurs du secteur de l’assurance de se tourner vers les modèles de partenariat public-privé existants pour lutter contre les cyberincidents et la criminalité financière, et d’établir des liens de partage d’informations pour échanger des renseignements sur les menaces et des données sur le paiement des rançons – tous anonymisés; que les assureurs devraient préciser que, si elles sont offertes, les polices d’assurance contre les rançongiciels doivent exiger que les titulaires de police avisent le NCSC et le NCA en cas d’attaque et avant le paiement; et que le secteur de l’assurance devrait travailler avec le NCSC et les cyber-partenaires pour créer un ensemble de contrôles minimaux des rançongiciels fondés sur les renseignements sur les menaces et les données sur les réclamations.

Rusi a également appelé le Secrétariat à la sécurité nationale à mener un examen de la politique sur la faisabilité et la pertinence d’interdire complètement les paiements par ransomware.

Il semble y avoir un soutien croissant pour l’adoption d’une sorte d’interdiction des paiements par ransomware; un rapport publié plus tôt en juin 2021 pour marquer le lancement d’une campagne anti-ransomware, #Ransomaware, a affirmé que près de 80% des professionnels de la cybersécurité, et à peu près la même proportion de consommateurs, soutiendraient une interdiction.