Un procès annulé d’une compagnie d’assurance cyber prétendant que son client l’a induit en erreur sur sa proposition d’assurance pourrait potentiellement ouvrir la voie à un changement dans la façon dont les souscripteurs évaluent les demandes d’auto-attestation sur les demandes d’assurance.
L'affaire — Travelers Property Casualty Company of America c. International Control Services Inc. (ICS) — reposait sur le fait qu'ICS affirmait avoir mis en place une authentification multifactorielle (MFA) lorsque le fabricant d'électronique demandé une police. En mai, l’entreprise a été victime d’une attaque de ransomware. Les enquêteurs médico-légaux ont déterminé qu'il n'y avait pas d'AMF en place, donc Travelers a affirmé qu'elle ne devrait pas être responsable de la réclamation.
L'affaire (n° 22-cv-2145) a été déposée devant le tribunal de district américain du district central de l'Illinois le 6 juillet. Fin août, les plaideurs ont convenu d'annuler le contrat, mettant ainsi fin aux efforts d'ICS pour obtenir une couverture de son assureur. ses pertes.
Cette affaire était inhabituelle dans la mesure où les Voyageurs ont soutenu que la fausse déclaration « affectait sensiblement l'acceptation du risque et/ou du danger assumé par les Voyageurs » dans le dossier judiciaire.
Traduire un client en justice constitue une différence par rapport à d'autres cas similaires dans lesquels une compagnie d'assurance a simplement rejeté la réclamation, mais ce n'est pas unique, a déclaré Scott Godes, associé chez Barnes & Thornburg LLP, un cabinet d'avocats basé à Washington, DC.
« J’ai vu ce problème se poser ces dernières années. De mon point de vue, les compagnies d’assurance ont fait de ce marché un marché difficile… augmenter les primes et abaisser les limites – et cela les a encouragés à choisir l’option nucléaire en annulant la couverture », dit Godes.
La sécurité doit être proactive, en stoppant les violations possibles avant qu'elles ne se produisent plutôt que de simplement répondre à chaque attaque réussie, note Sean O'Brien, chercheur invité au projet de société de l'information de la Yale Law School et fondateur du Privacy Lab de la Yale Law School.
"Le secteur de l'assurance deviendra probablement de plus en plus pointilleux à mesure que les réclamations en matière de cybersécurité augmentent, défendant ses résultats financiers et évitant le remboursement autant que possible", déclare O'Brien. « Cela a toujours été le rôle des experts en sinistres, bien entendu, et leurs activités sont, à bien des égards, contraires aux intérêts de votre organisation une fois la poussière retombée suite à une cyberattaque. »
Cela dit, les organisations ne devraient pas s'attendre à un paiement pour de mauvaises politiques et pratiques de cybersécurité, note-t-il.
Alors que l'affaire Travelers concernait spécifiquement le contrôle de sécurité unique de l'AMF, les compagnies d'assurance pourraient modifier le recours de leurs souscripteurs à l'auto-attestation sans un certain type de vérification par un tiers sur d'autres contrôles de sécurité, note Jess Burn, analyste senior chez Forrester Research. .
« Les poursuites judiciaires et l'annulation de la couverture, les interpellations des assurés et des assurés sur les petites mensonges qu'ils ont racontées, ou l'omission de détails sur la façon dont ils sont protégés dans leurs pratiques sécurisées » semblent être une tendance émergente, dit Burn.
Une option pour éliminer toute question quant à savoir si une entreprise est mettre en œuvre des contrôles de sécurité est de fournir un soutien vérifié, ajoute-t-elle. Même si la transparence n'est pas requise, fournir une vérification par un tiers que des contrôles sont en place pour l'AMF, la gestion des risques par des tiers, la détection des points finaux ou l'un des nombreux contrôles de sécurité devrait éliminer tout malentendu ou préoccupation avant que la politique ne soit mise en œuvre. émis.
Cyberassurance en évolution
Alors que les mises en œuvre de la technologie et de la sécurité évoluent au fil du temps, les compagnies d’assurance cyber réévaluent chaque année leurs contrôles de souscription, note Marc Schein, coprésident national du Cyber Center for Excellence de l’agence Marsh McLennan, le plus grand courtier d’assurance au monde. Contrairement aux polices d’assurance dommages courantes, qui ont un historique statistique très étendu pour les souscripteurs, la cyber-assurance est encore considérée comme un domaine naissant et les souscripteurs perfectionnent encore leurs algorithmes et leurs analyses pour optimiser le risque.
Un domaine dans lequel les souscripteurs s'appuient fortement sur l'auto-attestation des entreprises concernant leur profil de risque est celui des contrôles : quels contrôles ils ont mis en place, dans quelle mesure ils ont été configurés et leur efficacité. Parfois, poursuit Schein, un souscripteur peut exiger qu'un prospect d'assurance se soumette à des évaluations telles qu'un test d'intrusion. Si le test aboutissait à un résultat sensiblement différent de celui prévu – par exemple, si 100 ports sont ouverts alors que le prospect a déclaré qu'ils étaient fermés – la compagnie d'assurance aurait probablement une discussion sur ces ports ouverts, ainsi que d'autres attestations, pour déterminer si l'entreprise essayait délibérément de cacher un problème ou s'il y avait eu une erreur accidentelle.
Les RSSI sont réticents à répondre aux questions sur les demandes qui pourraient amener le souscripteur à exiger des investissements importants pour atténuer le problème avant que l'assurance ne soit approuvée, explique Schein. Si une entreprise indique qu'elle envisage d'investir dans des efforts d'atténuation, mais que le projet ne devrait pas être achevé avant la date d'entrée en vigueur de l'assurance, l'assureur pourrait faire un compromis en liant la proposition mais en limitant la couverture réelle à un pourcentage des limites de la police. — peut-être 10 % de la limite de couverture d'un million de dollars d'une police — jusqu'à ce que les efforts de remédiation soient terminés.
« Il est remarquable que les compagnies d’assurance refusent de tester, d’inspecter ou de contrôler les pertes lors de la souscription », note l’avocat Godes. "Peut-être croient-ils qu'ils peuvent simplement couper l'herbe sous le pied des assurés inconscients, en s'appuyant sur la résiliation pour éviter de couvrir des risques que les assureurs auraient pu inspecter eux-mêmes."
Godes n’est pas convaincu par l’idée que les cyber-assureurs réajustent simplement leurs procédures de souscription. « L'industrie rend de plus en plus difficile la réponse à ses candidatures », note-t-il, « et il y a toujours des aléas dans les candidatures ».
« D'après mon expérience, dit-il, la seule enquête [menée par les cyber-assureurs] consiste à déterminer comment l'assureur peut annuler la couverture, ou menacer de le faire, plutôt que de déterminer si la réclamation est couverte et comment elle devrait le faire. établi-toi."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
