« Le coût des cyber-assurances a augmenté de 32 % l'an passé et ne montre aucun signe de ralentissement », constate The Register. De plus, « les réclamations sont en hausse, la capacité est en baisse et la rentabilité de la souscription est, au mieux, sous pression », selon les courtiers d'assurance internationaux Howden.
Les polices d'assurance seraient ainsi de plus en plus exigeantes quant aux mesures de prévention en termes de cybersécurité requises par leurs clients.
La pression est telle que la semaine dernière, un rapport du Royal United Services Institute (RUSI) – Cyber Insurance and the Cyber Security Challenge – a averti que le pic d'attaques par ransomware avait même conduit certains assureurs à se demander s'ils devaient se retirer du marché.
Certains craignent également que les entreprises comptent trop sur leurs assureurs pour payer en cas d'attaque afin de récupérer leurs données – une approche qui rend les assureurs nerveux, ajoutant à la compression actuelle.
Commentaires (21)
#1
A-t-on des exemples concrets de ce que les polices d’assurance exigent en terme de prévention ?
#2
Utiliser le parefeu OpenOffice
#3
… et aussi ce qu’elles assurent en pratique ?
Elles payent les rançons à notre place ? Elles s’occupent de faire des backup ?
#4
A ma connaissance, il s’agit du paiement de la rançon lorsqu’aucune autre option de récupération des données n’est possible. Par contre, l’éligibilité de la police inclus à minima l’existence et le respect d’une politique de backup. C’est juste que je ne sais pas jusqu’ou vont les exigences notamment depuis qu’Axa a annoncé l’arrêt de cette couverture *
#5
d’après les conditions générales du produit AXA non
Conformément aux articles 6 et 1133 du Code Civil (sanctionnant ce qui contrevient à l’ordre public), et aux articles 421-2-2 du Code Pénal (définissant les actes de terrorisme) la garantie du paiement des rançons est illicite sur le Territoire Français.
https://reassurez-moi.fr/guide/wp-content/uploads/2019/09/conditions-generales-assurance-cyber-risques-axa.pdf
#5.1
#5.2
Source?
#5.3
https://www.lemondeinformatique.fr/actualites/lire-frederic-rousseau-hiscox–face-aux-cybermenaces-notre-message-est-celui-de-la-prevention-83020.html
https://www.lemondeinformatique.fr/actualites/lire-couverture-des-cyber-risques-7-assureurs-au-banc-d-essai-75252.html
https://www.lesnumeriques.com/pro/face-aux-attaques-par-rancongiciel-les-cyber-negociateurs-entrent-en-scene-a163627.html
Désolé après c’est pour abonné payant https://www.cio-online.com/actualites/lire-cyber-assurance-le-marche-s-adapte-a-la-hausse-des-menaces-11598.html
https://www.cio-online.com/actualites/lire-1-entreprise-sur-100-seulement-a-une-assurance-couvrant-les-cyber-risques-11519.html
#5.4
un exemple concret d’assureur qui paie les rançons pour des entreprises françaises ? je n’ai rien vu de précis dans tous les articles cités
#5.5
Attention, je me suis peut-être mal exprimé. Les assurances remboursent les rançons payés. Bon ça revient d’un autre côté à payer la rançon mais faut-il encore que ce soit stipulé dans le contrat. Car si tu as lu les articles que j’ai passé, les assureurs font des contrats moins vague et plus spécifique à tels ou tels cas ou scénario.
#5.6
on tourne en boucle : j’ai trouvé un contrat qui dit qu’il n’est pas autorisé de payer les rançons en France (Axa). Tu m’a fourni des articles qui disent peu clairement que des rançons sont parfois payées mais on ne sait pas quel assureur ni quel produit. Du coup je reste pas convaincu que ça existe vraiment en France tant que je ne vois pas d’exemple précis. Par contre je crois que les produits d’autres pays (par exemple britanniques) permettent de payer les rançons.
#6
D’accord, donc l’assurance ransomware (comme tant d’autres) ne sert à rien ?
D’autant plus que, comme le ToMMYyBoaY au dessus, il faut soi même faire des backup…
#7
Enfin ils augmentent les polices !
J’avais un mal fou à lire les conditions générales.
#7.1
#8
L’assureur dédommage cette surcharge exceptionnelle à hauteur des garanties souscrites : à 100%, 80%, 50%, etc.
#9
De mon point de vue, les cyber-assurances sont là pour combler les pertes en cas d’arrêt de l’activité d’une entreprise.
Concernant le paiement des rançons, c’est de plus en plus “mal vu” voir même cela pourrait devenir illégal il me semble ?
Les cyber-assurances n’apportent rien à la cybersécurité de l’entreprise (mesures de sécurité, backups, etc.). Justement, elles obligent de plus en plus à respecter un minimum les bonnes pratiques de sécurité pour éviter d’assurer des entreprises complètement à poil.
#10
Comme toutes les assurances, ca sert à transférer (=partager) le risque avec un tiers.
Risque = probabilité d’un dommage. Pour les assurances, ce sont les dommages financiers.
#11
Au vu des audits de sécurité que je paye au boulot par rapport a ces sujets, et le montant de la franchise de la Cyber, tout est fait pour qu’elle ne fonctionne jamais
#12
Il y a d’autres dépenses susceptibles d’être couvertes : pertes d’exploitation, de réputation, déclarations obligatoires, pertes de matériels, experts informatiques, etc. C’est assez clair dans les conditions générales
#13
Pour avoir souscrit ce type de police les exigence étaient grosso modo
Rien d’extraordinaire mais ça parait logique.
Là j’ai aussi vu un clients avec ce genre d’assurance faire fasse à une malveillance, hack de boutique en ligne.
L’aide de l’assurance c’est limité à organiser une visio avec des “expert” (missionné d’une SSII) qui on passé 2h à dérouler les platitudes et à chercher la petite bête sans aucune connaissance du métier ni du produit (avec des échanges genre ha mais vous ne faite pas de filtrage IP sur votre espace client… heu vous avez déjà effectué un achat en ligne?) . Sans aucune actions concrète derrière.
Idem pour une connaissance qui a eu serveur crypto locké mais là franchement il était 100% en tord (pas de backup, sécu défaillante) et donc rien en retour.
#14
je pense que l’assurance, soit te restitue tes données (bon courage…), mais plutôt te donne une indemnité sensée couvrir les conséquences.
Un peu comme une star de cinéma qui assure son visage ou ses jambes.