Mondelez International, fabricant d'Oreos et de Ritz Crackers, a réglé un procès contre son cyber-assureur après que le fournisseur a refusé de couvrir une facture de nettoyage de plusieurs millions de dollars résultant de l'attaque tentaculaire du rançongiciel NotPetya en 2017.
Le géant du snack à l'origine apporté le costume contre Zurich American Insurance en 2018, après que NotPetya eut achevé son cyber-pillage mondial de grandes sociétés multinationales, et l'affaire a depuis été attaché au tribunal. Les termes de l’accord n’ont pas été divulgués, mais un « règlement » indiquerait une résolution de compromis – illustrant à quel point la question des clauses d’exclusion de cyber-assurance peut être épineuse.
NotPetya : Acte de guerre ?
Le procès reposait sur les conditions contractuelles de la police d'assurance cybernétique - en particulier, une exclusion pour les dommages causés par des actes de guerre.
NotPetya, que le gouvernement américain a qualifiée en 2018 de « cyberattaque la plus destructrice et la plus coûteuse de l’histoire », a commencé par compromettre des cibles ukrainiennes avant de se propager à l’échelle mondiale, touchant finalement des entreprises dans 65 pays et coûtant des milliards de dégâts. Elle s'est répandue rapidement grâce à l'utilisation du Exploit de vermifuge EternalBlue dans la chaîne d'attaque, qui est une arme NSA divulguée qui permet aux logiciels malveillants de se propager d'un système à l'autre à l'aide de partages de fichiers Microsoft SMB. Parmi les victimes notables de l'attaque figuraient FedEx, le géant de l'expédition Maersk et le géant pharmaceutique Merck, entre autres.
Dans le cas de Mondelez, le logiciel malveillant a verrouillé 1,700 24,000 de ses serveurs et 100 XNUMX ordinateurs portables, laissant la société inapte et sous le choc de plus de XNUMX millions de dollars en dommages, temps d'arrêt, manque à gagner et coûts de remédiation.
Comme si cela n'était pas assez difficile à avaler, le food kahuna s'est vite retrouvé étouffé par la réponse de Zurich American lorsqu'elle a déposé une réclamation en matière de cyberassurance : le souscripteur n'avait pas l'intention de couvrir les coûts, citant la clause d'exclusion susmentionnée qui incluait le langage « action hostile ou guerrière en temps de paix ou de guerre » par un « gouvernement ou une puissance souveraine ».
Grâce à l'attribution de NotPetya par les gouvernements du monde à l'État russe et à la mission initiale de l'attaque de frapper un adversaire cinétique connu de Moscou, Zurich American avait un cas - malgré le fait que l'attaque de Mondelez était certainement un dommage collatéral involontaire.
Cependant, Mondelez a fait valoir que le contrat de Zurich American laissait pour ainsi dire quelques miettes controversées sur la table, étant donné le manque de clarté sur ce qui pouvait et ne pouvait pas être couvert par une attaque. Plus précisément, la police d'assurance indiquait clairement qu'elle couvrirait « tous les risques de perte ou de dommage physique » — en mettant l'accent sur « tous » — « aux données, programmes ou logiciels électroniques, y compris la perte ou le dommage causé par l'introduction malveillante d'un code machine. ou des instructions. C'est une situation que NotPetya incarne parfaitement.
Caroline Thompson, responsable de la souscription chez Cowbell Cyber, un fournisseur de cyber-assurance pour les petites et moyennes entreprises (PME), note que le manque de formulation claire de la police de cyber-assurance a laissé la porte ouverte à l'appel de Mondelez – et devrait servir de message d'avertissement. à d’autres négociant une couverture.
« L'étendue de la couverture et l'application des exclusions de guerre restent l'un des domaines les plus difficiles pour les assureurs alors que les cybermenaces continuent d'évoluer, que les entreprises augmentent leur dépendance aux opérations numériques et que les tensions géopolitiques continuent d'avoir un impact généralisé », a-t-elle déclaré à Dark. En lisant. "Il est primordial que les assureurs se familiarisent avec les termes de leur police et demandent des éclaircissements si nécessaire, mais optent également pour des cyber-politiques modernes qui peuvent évoluer et s'adapter au rythme de leurs risques et de leurs expositions."
Exclusions de guerre
Il y a un problème flagrant à faire en sorte que les exclusions liées à la guerre soient appliquées à la cyberassurance : la difficulté de prouver que les attaques sont effectivement des « actes de guerre » – un fardeau qui nécessite généralement de déterminer au nom de qui elles sont menées.
Dans le meilleur des cas, l'attribution est plus un art qu'une science, avec un ensemble changeant de critères qui sous-tendent tout pointage du doigt confiant. Les justifications de l'attribution des menaces persistantes avancées (APT) reposent souvent sur bien plus que des artefacts technologiques quantifiables, ou sur des chevauchements d'infrastructure et d'outils avec des menaces connues.
Les critères Squishier peuvent inclure des aspects tels que victimologie (c'est-à-dire, les objectifs sont-ils compatibles avec les intérêts de l'État et les objectifs politiques ? ; l'objet de leurres d'ingénierie sociale; langage de codage ; niveau de sophistication (l'attaquant doit-il disposer de ressources suffisantes ? A-t-il utilisé un Zero Day coûteux ? ); et le motif (l'attaque est-elle axée sur espionnage, destruction, ou gain financier ?). Il y a aussi la question de opérations sous faux drapeau, où un adversaire manipule ces leviers pour encadrer un rival ou un adversaire.
« Ce qui me choque, c’est l’idée de vérifier que ces attaques peuvent être raisonnablement attribuées à un État – comment ? déclare Philippe Humeau, PDG et co-fondateur de CrowdSec. « Il est bien connu qu'il est difficile de suivre la base d'opérations d'un cybercriminel suffisamment qualifié, car la surveillance de ses opérations est la première ligne de son plan. Deuxièmement, les gouvernements ne sont pas disposés à admettre qu’ils couvrent les cybercriminels dans leur pays. Troisièmement, les cybercriminels dans de nombreuses régions du monde sont généralement un mélange de corsaires et de mercenaires, fidèles à l’entité ou à l’État-nation qui les finance, mais totalement extensibles et niables si jamais il y a des questions sur leur affiliation.
C'est pourquoi, à moins qu'un gouvernement n'assume la responsabilité d'une attaque à la manière des groupes terroristes, la plupart des sociétés de renseignement sur les menaces mettront en garde contre l'attribution parrainée par l'État avec des phrases telles que « nous déterminons avec une confiance faible/modérée/élevée que XYZ est derrière l'attaque » et , de plus, différentes entreprises peuvent déterminer différentes sources pour une attaque donnée. S'il est si difficile pour les chasseurs de cybermenaces professionnels d'identifier les coupables, imaginez à quel point il est difficile pour les experts en cyber-assurance d'opérer avec une fraction des compétences.
Si la norme de preuve d'un acte de guerre est un large consensus gouvernemental, cela pose également des problèmes, dit Humeau.
« Attribuer avec précision les attaques aux États-nations nécessiterait une coopération juridique entre les pays, qui s'est historiquement révélée à la fois difficile et lente », explique Humeau. "Donc, l'idée d'attribuer ces attaques à des États-nations qui ne l'avoueront jamais laisse trop de place au doute, d'un point de vue juridique."
Une menace existentielle pour la cyberassurance ?
Pour reprendre le point de vue de Thompson, l’une des réalités de l’environnement actuel est le volume considérable de cyberactivités en circulation parrainées par l’État. Bryan Cunningham, avocat et membre du conseil consultatif de la société de sécurité des données Theon Technology, note que si de plus en plus d'assureurs refusent simplement toutes les réclamations découlant de telles activités, il pourrait en effet y avoir très peu de paiements. Et, en fin de compte, les entreprises pourraient ne plus considérer que les primes de cyber-assurance en valent la peine.
« Si un nombre important de juges commencent effectivement à autoriser les compagnies d’assurance à exclure la couverture contre les cyberattaques simplement en affirmant qu’un État-nation est impliqué, cela sera aussi dévastateur pour l’écosystème de la cyber-assurance que le 9 septembre l’a été (temporairement) pour l’immobilier commercial. ," il dit. "En conséquence, je ne pense pas que beaucoup de juges l'accepteront et, de toute façon, la preuve sera presque toujours difficile."
Dans un autre ordre d'idées, Ilia Kolochenko, architecte en chef et PDG d'ImmuniWeb, note que les cybercriminels trouveront un moyen d'utiliser les exclusions à leur avantage, ce qui réduira encore plus la valeur d'avoir une politique.
"Le problème vient d'une possible usurpation d'identité d'acteurs de cybermenace bien connus", dit-il. « Par exemple, si des cybercriminels – sans lien avec aucun État – souhaitent amplifier les dommages causés à leurs victimes en excluant une éventuelle couverture d’assurance, ils peuvent simplement essayer de se faire passer pour un célèbre groupe de piratage soutenu par l’État lors de leur intrusion. Cela sapera la confiance dans le marché de la cyber-assurance, car toute assurance peut devenir inutile dans les cas les plus graves qui nécessitent réellement une couverture et justifient les primes payées.
La question des exclusions reste en suspens
Même si le règlement américain Mondelez-Zurich semblerait indiquer que l'assureur a réussi au moins partiellement à faire valoir son point de vue (ou peut-être qu'aucune des parties n'a eu le courage d'engager des frais de justice supplémentaires), il existe un précédent juridique contradictoire.
Une autre affaire NotPetya entre Merck et ACE American Insurance sur le même problème a été mis au lit en janvier, lorsque la Cour supérieure du New Jersey a statué que les exclusions d'actes de guerre ne s'étendaient qu'à la guerre physique dans le monde réel, ce qui a obligé le souscripteur à payer une somme considérable de 1.4 milliard de dollars en règlement des réclamations.
Malgré le caractère instable de la zone, certains cyber-assureurs sont aller de l'avant avec des exclusions de guerre, notamment Lloyd's of London. En août, le pilier du marché a déclaré à ses syndicats qu'ils seraient tenus d'exclure la couverture des cyberattaques soutenues par l'État à partir d'avril 2023. L'idée, note le mémo, est de protéger les compagnies d'assurance et leurs souscripteurs contre les pertes catastrophiques.
Même ainsi, le succès de telles politiques reste à voir.
"Lloyd's et d'autres opérateurs s'efforcent de rendre ces exclusions plus fortes et absolues, mais je pense que cela finira également par échouer car le secteur de la cyber-assurance ne pourra probablement pas survivre longtemps à de tels changements", déclare Cunningham de Theon.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
