Les risques catastrophiques tels que les catastrophes naturelles et les cyberattaques nécessitent une assurance. Les assureurs peuvent se permettre de verser des sommes importantes lorsqu'un assuré est touché - en mutualisant les risques et en puisant dans les primes d'assurance des entreprises assurées qui n'ont pas été touchées. 

Mais pour que l'assurance fonctionne, il faut qu'il y ait un sens de l'équité - les assureurs doivent veiller à ce que les polices d'assurance ne soient pas utilisées de manière abusive. Par exemple, il faut éviter la situation où une entreprise demande une police d'assurance parce qu'elle sait d'avance qu'elle fera rapidement une réclamation sur cette police.

Ces garanties sont inscrites dans les conditions générales d'une police. Cependant, dans le cas de l'assurance cybersécurité, ces conditions générales - également appelées "petits caractères" - deviennent de plus en plus controversées, à tel point que l'on s'interroge aujourd'hui sur la valeur de l'assurance cybersécurité.

Dans cet article, nous aborderons les problèmes liés à ce que l'on appelle les clauses d'exclusion de guerre - et nous expliquerons pourquoi le fait que les assureurs inscrivent ces clauses en petits caractères dans les polices rend la cyberassurance beaucoup moins utile.

Comprendre l'assurance cybersécurité

Une cyberattaque qui réussit peut avoir des effets véritablement catastrophiques - des millions de dollars de perte d'activité, une atteinte majeure à la réputation et, au pire, la fermeture de toute une organisation. Ce type de catastrophe est l'exemple type d'un risque qui exige un régime d'assurance. En échange d'une prime, les entreprises qui souscrivent une assurance cybersécurité devraient en théorie être couvertes pour leurs pertes.

L'augmentation du nombre de cyberattaques réussies et dommageables est à l'origine de la demande de produits d'assurance. Par exemple, une attaque de ransomware de grande ampleur - NotPetya - a entraîné des coûts estimés à 10 milliards de dollars. à 10 milliards de dollars.

La demande d'assurance cybersécurité n'est pas seulement motivée par le fait que les pertes sont potentiellement catastrophiques. La difficulté de protéger les organisations contre des attaques comme les ransomwares est un facteur tout aussi important. En fait, il peut être presque impossible de fournir une protection hermétique contre les attaques - le flux constant de nouvelles vulnérabilités et d'exploits est difficile à suivre. En d'autres termes, une cyberattaque est une catastrophe qui peut frapper n'importe quelle organisation - il est donc judicieux de souscrire une assurance contre ce risque.

En fonction de votre police, vous pouvez être couvert pour la plupart des effets néfastes d'une cyberattaque - de la perte de données précieuses à la perte de revenus résultant de l'interruption d'une attaque. L'extorsion peut également être incluse dans votre couverture, auquel cas vous récupérerez votre argent si vous finissez par payer une rançon.

Le montant assuré et les conditions dans lesquelles la police versera des indemnités sont documentés dans le "document de police", également appelé "petits caractères". Il convient de noter que les petits caractères contiennent également un autre aspect important d'une police - les circonstances dans lesquelles la police ne versera pas d'indemnité, même si vous avez subi un sinistre.

Pourquoi les petits caractères sont source d'inquiétude

Si l'on y réfléchit bien, il est tout à fait raisonnable qu'une compagnie d'assurance fixe des limites aux conditions dans lesquelles elle verse des indemnités. L'assureur doit s'assurer qu'il est protégé contre les demandes frauduleuses - et contre les demandes opportunistes.

Il n'y a donc pas lieu de s'inquiéter des petits caractères. Ils permettent simplement de garantir que les deux parties au contrat sont traitées équitablement. Les petits caractères permettent aux deux parties de savoir ce que l'on attend d'elles, y compris quels sont les droits de l'assuré en vertu du contrat.

Il est courant, par exemple, que les polices de cyberassurance exigent des entreprises qu'elles fassent au moins quelques efforts pour protéger leurs charges de travail. Pourquoi ? Les charges de travail non protégées sont une cible ouverte pour les attaquants, et il n'est pas juste de s'attendre à ce que la couverture d'assurance paie lorsque de simples précautions ne sont pas prises.

Cela nous amène à parler d'un élément de plus en plus courant dans les petits caractères qui est source d'inquiétude. Aujourd'hui, les polices d'assurance cybernétique comprennent une clause qui stipule que la police d'assurance ne paiera pas si l'attaque et les dommages qui en résultent sont le résultat d'une guerre ou d'une action liée à la guerre. Nous allons maintenant voir pourquoi cela est important.

Les exclusions de guerre ajoutent à la complexité

Les cyberattaques font désormais partie intégrante de la guerre internationale. - les acteurs étatiques attaquent leurs ennemis non seulement dans le domaine physique, mais aussi par le biais de la guerre électronique. Dans le passé, les exclusions de guerre étaient souvent incluses dans les petits caractères des polices d'assurance. au motif que la guerre est un événement tellement catastrophique qu'un assureur ne survivrait pas si tous ses assurés réclamaient en même temps des dommages liés à la guerre.

Tout comme la guerre ordinaire, la guerre dans le domaine cybernétique est aveugle - tout et n'importe quoi peut être détruit, bien au-delà des cibles initiales. Les assureurs ont donc des raisons valables d'ajouter une clause d'exclusion, mais, surtout dans le climat géopolitique actuel, les clauses d'exclusion de la guerre entraînent certains problèmes.

Définir exactement ce qu'est la guerre, ce n'est que le premier problème. Mais il y a une question plus difficile. À qui attribuer les dommages causés par une cyberattaque ? Les cybercriminels ne sont pas les plus loquaces : une attaque se produit, et ses auteurs disparaissent dans l'obscurité. Il est difficile de savoir qui sont les véritables acteurs d'une attaque par ransomware.

En d'autres termes, il n'est pas simple de décider si l'attaque était un acte de guerre ou si elle était due à autre chose. S'agissait-il d'un groupe d'État ? C'est possible, mais c'est difficile à déterminer. Bien sûr, s'il s'agit d'un groupe d'État qui a agi pour atteindre des objectifs de guerre, l'assureur ne paiera pas le sinistre en raison de la clause d'exclusion de la guerre.

Compte tenu de l'importance potentielle d'une demande d'indemnisation au titre de la cybersécurité, il n'est pas surprenant que les assureurs tentent de se soustraire au paiement du sinistre en déclarant qu'il y a lieu de penser que le sinistre résulte d'activités de type militaire.

Votre contrat peut être examiné au tribunal

Un assureur peut refuser unilatéralement de payer un sinistre s'il estime qu'il y a des raisons de le faire. S'il y a une "chance" qu'un acteur étatique soit impliqué dans une attaque, il y a maintenant un risque qu'un assureur refuse tout simplement de payer le sinistre - fin de l'histoire. Du moins, selon l'assureur.

En tant qu'assuré, vous pouvez essayer de discuter avec l'assureur, mais si les dommages se chiffrent en millions, il y a de fortes chances que l'assureur reste sur ses positions. Votre recours : les tribunaux. Et c'est exactement ce qui s'est passé pour un certain nombre de plaintes pour ransomware ces derniers temps.

Un exemple qui a récemment fait la une des journaux est celui de Merck contre Ace American. Merck, une grande entreprise pharmaceutique, a été victime des attaques NotPetya qui étaient liées à l'armée russe. L'assureur, Ace America, a refusé une demande d'indemnisation de 1,75 milliard de dollars de Merck en affirmant que la couverture était exclue car les acteurs derrière NotPetya cherchaient à obtenir des gains militaires dans le cadre d'un acte de guerre.

Merck n'a pas accepté l'argument de l'assureur et a poursuivi Ace American en justice. Après plus de trois ans, le tribunal a tranché en faveur de Merck, lui accordant les dommages et intérêts. Dans cette affaire, le tribunal a décidé que les petits caractères d'Ace American n'étaient pas suffisamment clairs quant au lien entre les attaques par ransomware et un acte de guerre. Cela aurait pu aller dans les deux sens.

Une bonne cybersécurité est la meilleure des assurances

Si Merck a gagné son procès, le secteur de l'assurance a également tiré une leçon. Lloyd's Market Association a publié un document qui contenait plusieurs clauses que ses membres pouvaient utiliser pour renforcer les conditions de paiement des sinistres liés à la guerre.

Il se pourrait bien que de futurs cas soient jugés en faveur de l'assureur et que l'entreprise assurée constate qu'elle n'a aucun recours pour les dommages causés par un ransomware. En d'autres termes, il existe un risque réel que l'assurance que vous avez souscrite ne soit pas payée.

Si l'assurance contre les rançongiciels vaut la peine d'être envisagée et si le paiement des primes peut conduire à un versement important, il est important de comprendre qu'une police d'assurance contre les cyberrisques n'a qu'une portée limitée. Protéger votre organisation contre une attaque est de loin la chose la plus importante que vous puissiez faire - l'assurance n'est que le tout dernier recours.

Vous devez aller bien au-delà des exigences minimales des politiques en matière de cybersécurité. Notre solution de correctifs en temps réel - KernelCare Enterprise - est l'un des nombreux outils qui devraient figurer dans votre arsenal. Obtenir une cybersécurité hermétique n'est pas réaliste, mais il faut s'en rapprocher le plus possible, et KernelCare est une étape clé.

En résumé, oui, souscrivez une assurance contre le risque de cybersécurité si les primes sont raisonnables. Mais attention, votre police contiendra des clauses en petits caractères qui pourraient vous prendre par surprise à un stade ultérieur.