Support technique
Documentation
Connexion
Nous contacter
L'utilité de l'assurance cybersécurité à nouveau remise en question
Joao Correia
11 janvier 2023 - Évangéliste technique
Les polices d'assurance cybersécurité sont considérées par beaucoup comme un filet de sécurité de dernier recours qui, lorsque les choses tournent mal de façon terrible, permet d'espérer au moins une certaine forme de compensation.
Cependant, comme nous, et d'autresont discuté dans le passé, les scénarios du monde réel montrent un aspect différent de la protection attendue de ces polices d'assurance.
Au-delà de la clause difficilement contestable des " actes de guerre " incluse dans ces polices, un autre clou a été enfoncé dans le cercueil proverbial de l'assurance cybersécurité pendant la période des fêtes de fin d'année. le cercueil proverbial de l'assurance cybersécurité, grâce à la Cour suprême de l'Ohio. - avec le potentiel de transformer toutes les polices d'assurance cybersécurité existantes en rien de plus que des feuilles de papier sans valeur.
Rembobiner l'histoire
En 2019, une entreprise de l'Ohio a malheureusement été frappée par une attaque de ransomware. Rien d'extraordinaire, car les ransomwares étaient - et sont toujours - un commerce très lucratif, et les victimes potentielles sont nombreuses dans le monde entier. La rançon demandée était de 3 bitcoins, d'une valeur d'environ 35 000 dollars à l'époque. Pour des raisons sans rapport avec cette histoire, l'entreprise a pris la décision (peu judicieuse) de payer la rançon afin de récupérer l'accès à ses propres fichiers. Jusqu'à présent, cette histoire n'a rien d'exceptionnel et ressemble à des centaines d'histoires dans le monde entier.
Le lendemain, l'entreprise ayant souscrit une assurance cybersécurité, elle a introduit une demande auprès de sa compagnie d'assurance pour récupérer le montant dépensé pour payer la rançon ainsi que les dommages accessoires (perte de revenus commerciaux).
C'est là que ça devient intéressant. Le jour même où la demande d'indemnisation a été soumise, la compagnie d'assurance a répondu et a refusé d'obtempérer, déclarant que le ransomware n'avait causé aucun "dommage physique direct" et que, par conséquent, elle ne verserait aucun dédommagement.
Manifestement mécontente de cette réponse, la société de l'Ohio a poursuivi la compagnie d'assurance en justice et - à la grande surprise de tous - a perdu le procès, la décision initiale ayant confirmé l'affirmation de la compagnie d'assurance selon laquelle il n'y avait "aucun dommage physique" .... dans le cadre d'une demande d'indemnisation au titre de la cybersécurité.
De nouveau mécontent du résultat, un appel, un procès et des contre-procès ont suivi jusqu'à ce que la décision parvienne à la Cour suprême de l'Ohio, qui a rendu son jugement à la fin du mois de décembre 2022. Et, dans ce qui semble être une décision à courte vue, la Cour suprême de l'Ohio a confirmé la décision initiale, ajoutant que (librement cité) "il ne peut y avoir de dommage physique, car le logiciel est un ensemble d'instructions informatiques" (...) "un ensemble de uns et de zéros". Encore une fois, gardez à l'esprit qu'il s'agit d'une affaire de cybersécurité d'une police d'assurance de cybersécurité.
Comment cette décision change les règles du jeu
À vrai dire, les infections par ransomware ont déjà causé des dommages physiques par le passé. Même On pense même que des décès sont directement liés aux infections par ransomware. mais mais cela a été démenti par la suite. Il faut un type d'environnement très particulier pour que des dommages physiques soient causés par une infection par ransomware - par exemple, le dysfonctionnement d'un équipement de soins de santé ou le détraquement d'un équipement d'usine automatisé - mais il faudrait qu'il y ait des dysfonctionnements extrêmes. Mais il s'agirait de dysfonctionnements extrêmes. Même dans ce cas, il s'agit d'une minorité absolue, d'un incident ponctuel parmi les milliers d'incidents de ce type.
Comme l'affirme à juste titre la Cour suprême, les infections par ransomware affectent les logiciels - et les données, qui n'ont pas été spécifiquement mentionnées - et ceux-ci constituent effectivement un ensemble de uns et de zéros. Il s'agit simplement d'un ensemble de uns et de zéros très précieux et terriblement important. Tellement précieux, en fait, que les entreprises souscrivent une assurance pour cela dans le cadre de leur posture de cybersécurité.
On peut donc se demander de quoi les compagnies d'assurance protègent-elles exactement les assureurs ? A disquette qui s'éjecte trop vite et qui blesse quelqu'un ? Quelqu'un qui se brûle le doigt en touchant un serveur en surchauffe qui crypte ses propres fichiers ?
Cette décision, prise par une Cour suprême, crée un précédent. À l'avenir, toutes les polices d'assurance de ce type pourront être, en pratique, annulées car les compagnies d'assurance pourront toujours invoquer cette décision et éviter de payer toute compensation (c'est ce qu'on appelle le "Stare Decisis"). Stare Decisis dans jargon juridique).
La cybersécurité sans filet de sécurité
Si vous travaillez dans une entreprise qui dispose d'une telle police d'assurance, ou si vous êtes responsable de l'acquisition d'une telle police, il est fortement conseillé de demander à votre assureur des éclaircissements sur les situations effectivement couvertes - de préférence par écrit - afin de pouvoir adapter vos attentes en cas de problème. Comme les sauvegardes, il semble que l'état de ce type d'assurance ne soit connu que lorsqu'il est testé et - toujours comme les sauvegardes - il semble toujours être en panne au moment où vous en avez le plus besoin.
Envisagez de modifier les priorités en matière de dépenses de cybersécurité. Investir dans de meilleures solutions de sécurité et pratiques opérationnelles améliorées est probablement un meilleur investissement, car les trous dans le filet de sécurité sont de plus en plus gros au fil du temps. Considérer une telle méthode comme une mesure de sécurité utile est de plus en plus difficile à accepter.
En guise de remarque finale, il sera également intéressant de suivre cette décision dans un domaine connexe, mais où le même argument est susceptible de tenir, avec le même raisonnement malheureux - les droits d'auteur. Ce ne sont toujours que des uns et des zéros, non ? C'est à se demander combien de temps il faudra avant qu'un avocat diligent ne présente le même argument dans un tel cas.
Mais c'est une histoire pour un autre jour.
Bonne année.
