La cyberassurance protège les entreprises de la plupart des responsabilités liées aux cyberattaques. Mais avant de s’engager dans une politique, les RSSI doivent rechercher les failles cachées suivantes.
Face aux cybermenaces toujours croissantes, les entreprises se tournent de plus en plus vers la cyber-assurance pour faire face aux dommages financiers potentiellement graves qu’une attaque réussie peut infliger. Malheureusement, la cyberassurance présente ses propres risques, en particulier pour les responsables de la cybersécurité qui ont tendance à accorder plus d’attention aux menaces en évolution qu’aux petits caractères de l’assurance.
Sharon Polsky, présidente du Conseil canadien de la protection de la vie privée et de l’accès, une organisation dédiée au développement de l’accès à l’information, à la confidentialité des informations et à la profession de protection des données, note que plusieurs omissions et lacunes courantes en matière de cyberassurance peuvent conduire à un sentiment de complaisance qui peut limiter, voire annuler les avantages perçus d’une politique.
Votre entreprise met-elle en péril ses assises financières avec une police d’assurance cyber qui contient des trappes potentiellement dévastatrices ? Vérifiez votre police – et vos hypothèses à ce sujet – pour ces six pièges courants en matière de cyberassurance.
1. En supposant que la cyberassurance couvre tous les risques
En réalité, de nombreuses polices d’assurance proposent des définitions étroites, des exclusions cachées ou des conditions strictes qui peuvent exposer les organisations après une violation. « Ce n’est pas comme une police d’assurance responsabilité automobile, où chaque police offre la même couverture », explique William J. Lindsay III, fondateur du courtier d’assurance Tri Pack Insurance Services. « En matière de cyberresponsabilité, les modalités diffèrent d’une police d’assurance à l’autre. »
Avant de s’engager auprès d’un assureur spécifique, Lindsay recommande de consulter un avocat expérimenté dans les contrats de cyberassurance. « Une politique est un document juridique aux définitions complexes », note-t-il. « Un avocat peut signaler des conditions ambiguës, des exclusions cachées ou des obligations qui pourraient créer des litiges au moment de la réclamation », explique Lindsay. « Une fois la police souscrite et qu’un sinistre survient, aucun changement ne peut être apporté pour combler le déficit de couverture. »
2. Interprétation erronée des petits caractères concernant la couverture, les interruptions ou les menaces
Il n’est pas surprenant, mais il est important de le rappeler, que le langage contenu dans les polices de cybersécurité favorise généralement l’assureur et non l’assuré.
« Les entreprises interprètent souvent mal le langage de leur point de vue et négligent les risques que le langage même de la politique crée », prévient Polsky. « Par exemple, une couverture contre les interruptions d’activité limitée aux interruptions causées par des « pannes du système » pourrait exclure les cyberincidents, tels que les ransomwares. » Pendant ce temps, la « couverture contre les menaces » peut se référer uniquement aux menaces connues au moment de l’émission de la police, laissant ainsi non assurés les nouveaux types de menaces qui surviennent pendant la durée de la couverture.
« Ce qui est problématique, c’est que la terminologie utilisée dans les polices d’assurance, comme les menaces, n’est souvent pas définie, ce qui laisse l’entreprise assurée anticiper que sa propre interprétation du terme correspond à ce que l’on entend par là », explique Polsky. « Malheureusement, la présence ou l’absence d’une virgule, ou d’une définition, fait l’objet d’un litige. »
3. Ne pas tenir compte des plafonds cachés sur des types de pertes spécifiques
Vous pensez peut-être que votre police couvrira toutes les pertes liées aux cyberattaques, mais un examen des petits caractères peut révéler qu’elle est criblée d’exclusions et de garanties qui ne peuvent pas être respectées de manière réaliste, en particulier dans des domaines tels que l’ingénierie sociale, les ransomwares et l’interruption d’activité.
Une police avec des plafonds cachés crée un faux sentiment de sécurité, explique Max Coupland, PDG d’Insuranceopedia, un service qui permet aux utilisateurs de comparer les devis d’assurance. Vous budgétisez une cyber-couverture complète, puis une réclamation est refusée ou considérablement réduite parce que la perte est tombée dans une sous-limite – une limitation imposée à une police qui réduit le montant de la couverture disponible pour un type spécifique de perte, explique-t-il.
Pour éviter les plafonds cachés, Coupland conseille d’effectuer un exercice de simulation avec votre courtier et votre équipe de sécurité. « Pour chaque scénario, demandez : « Avons-nous une couverture ? A quelle limite ? Y a-t-il des exclusions qui pourraient être déclenchées ? » » Convertissez ensuite le document final en une liste de contrôle de couverture d’une page avant de vous engager dans la police.
4. Ne pas aligner votre stratégie de sécurité sur les petits caractères de la politique
Si votre sécurité n’est pas conforme aux normes de la politique – et cela inclut des éléments tels que l’authentification multifacteur, les sauvegardes régulières et la détection des points finaux – votre réclamation peut être purement et simplement refusée, prévient Matt Mayo, président et PDG du fournisseur de services gérés Diamond IT.
De nombreuses entreprises pensent qu’elles sont entièrement sécurisées, mais lorsqu’elles déposent une réclamation, l’assureur souligne les petits caractères concernant les mesures de sécurité dont vous ignoriez l’utilité, explique Mayo. « Maintenant, vous êtes confronté à des frais de nettoyage, des frais juridiques et d’éventuelles poursuites judiciaires, le tout sans l’aide de votre assureur. »
La meilleure façon d’éviter ce piège est d’aligner précisément votre posture de cybersécurité sur les exigences énoncées dans la politique. «Cela signifie revoir votre couverture avant qu’un incident ne se produise», explique Mayo. Pensez également à faire appel à un consultant compétent qui peut vous aider à mettre en œuvre et à documenter les contrôles requis.
5. Tomber dans le piège de la date rétroactive
La clause de date rétroactive peut constituer le plus gros piège de la cyberassurance, prévient Paul Pioselli, fondateur et PDG de la société de services de cybersécurité Solace. « Cette clause annule la couverture de tout incident survenu avant la date de début de la police, même s’il est découvert des mois plus tard. Étant donné que les pirates peuvent rester indétectables dans un réseau pendant plus de 200 jours en moyenne, cette lacune peut, dans certains cas, rendre une toute nouvelle police sans valeur », dit-il.
Pioselli dit que, dans la mesure du possible, exigez une couverture complète des actes antérieurs. « Cela supprime complètement la date rétroactive », déclare-t-il. « Si l’assureur refuse, négociez pour repousser la date le plus loin possible, idéalement jusqu’à la date de création de votre entreprise. »
Dans la mesure du possible, Pioselli conseille de procéder à une évaluation complète des risques de cybersécurité avant de souscrire une police d’assurance. « Vous devez d’abord comprendre vos vulnérabilités spécifiques et leur impact financier potentiel, puis souscrire une police avec des limites et des couvertures qui correspondent à cette réalité. »
6. Malentendu entre la couverture de première partie et la couverture de tiers
La plus grande erreur qu’un demandeur d’assurance puisse commettre est peut-être de ne pas comprendre la différence entre la couverture de première partie et la couverture de tiers, et donc de ne pas souscrire une police qui inclut les deux, explique Dylan Tate, représentant de la société de marketing d’assurance Smart Financial.
La cyber-assurance de première partie fait référence à la couverture des pertes et dépenses directes de l’entreprise après une cyberattaque, telles que la perte de revenus, le soutien aux relations publiques et les coûts liés à la récupération des données perdues. Parallèlement, la cyber-assurance tierce est une couverture de responsabilité qui peut intervenir pour empêcher un procès ou gérer les coûts associés si une entreprise est poursuivie en justice par des clients touchés par une violation de données. Il peut également couvrir les paiements initiaux aux consommateurs, les règlements ou amendes et les dommages-intérêts ordonnés par un juge.
Si la police d’assurance cyber d’une entreprise n’inclut pas à la fois une couverture de première partie et une couverture de tiers, votre organisation peut être sous-assurée, ce qui pourrait entraîner des frais importants – et inutiles –, en fonction des types de pertes qu’elle subit en cas de cybercriminalité, explique Tate.
De nombreuses polices d’assurance cyber incluent automatiquement une couverture de première partie et une couverture de tiers, mais certaines compagnies d’assurance ne les proposent que séparément, prévient Tate. « Le Hartford, par exemple, vend plusieurs produits de cyberassurance, dont certains regroupent les deux types de couverture et d’autres n’incluent que l’un ou l’autre, ce qui peut prêter à confusion pour les acheteurs d’assurance d’entreprise. »
Poser des questions est le meilleur moyen de garantir qu’une police d’assurance cyber répond à tous vos besoins de couverture avant de l’acheter, conseille Tate. Passer en revue les risques de cybersécurité connus et les scénarios de sinistres potentiels peut aider une entreprise à avoir une idée plus complète de la manière dont une compagnie d’assurance de cybersécurité peut la soutenir en cas de cyberattaque. « Bien que potentiellement fastidieux, il peut être utile d’engager des conversations exhaustives dès le départ pour éviter des dépenses imprévues plus tard en cas de sinistre », dit-il.
