C'est une histoire que nous avons trop souvent entendue. "La société A a été piratée - changez vos mots de passe maintenant!" Normalement, cela a simplement pour conséquence une mauvaise presse et peut-être une perte du nombre d'utilisateurs, mais parfois cela va un peu au-delà de cela. Lorsque cela se produit, les entreprises perdent généralement de l’argent, ce qui est parfois trop risqué.
La réponse? Apparemment, c'est une assurance cybersécurité.
Grâce à des violations telles que la violation monstrueuse de Sony Entertainment, dans laquelle les données commerciales, les informations des employés et les informations des clients ont toutes été compromises, la cybersécurité est de la plus haute importance. Les entreprises cherchent de plus en plus à protéger leurs données en ligne, et les sociétés d’assurance en cybersécurité se précipitent pour sauver la situation.
«L’assurance pour la cybersécurité (également connue sous le nom de« couverture des risques informatiques »et de« responsabilité des médias ») est conçue pour atténuer les pertes résultant de divers incidents informatiques, notamment les violations de données, les dommages aux réseaux et toute interruption des activités de l’entreprise», a déclaré Senthil Rajamanickam. manager chez Infogix, dans un courrier électronique avec PCMech.
En réalité, selon Rajamanickam, les cyber incidents représentent jusqu'à 40% des perturbations dans les activités.
Bien sûr, les entreprises se protègent avec l'assurance depuis longtemps. Qu'il s'agisse d'une assurance responsabilité civile générale, d'une assurance contre les accidents du travail ou d'une autre forme d'assurance, les entreprises ne veulent pas rester coincées dans une situation qui leur coûte trop cher. L’assurance cybersécurité fonctionne de la même manière que les autres formes d’assurance, protégeant les actifs en ligne de la société, qu’ils soient liés à l’infrastructure ou aux données.
L'assurance cyber sécurité n'est pas nouvelle
Vous serez peut-être surpris d'apprendre que l'assurance en matière de cybersécurité a ses racines dans le milieu des années 90. À l'époque, il n'était pas rare qu'une entreprise souscrive une «assurance contre les erreurs et les omissions», qui couvrait avec le temps des logiciels tels que la suppression de logiciels sur un autre réseau, la destruction de données ou même des virus affectant un client. Souvent, un complément était disponible dans le cadre de cette assurance pour la «sécurité du réseau» ou la «responsabilité Internet».
En fin de compte, ces polices d’assurance ont été élargies pour couvrir les atteintes à la vie privée, ce qui a aidé les entreprises à se prémunir contre le vol d’informations client sur Internet. Bien entendu, c’était un bon complément pour les entreprises qui détenaient des données sur les consommateurs mais ne disposaient pas de suffisamment de services basés sur la technologie pour pouvoir souscrire une assurance complète contre les erreurs et les omissions. Ces entreprises avaient besoin d’une police d’assurance autonome couvrant uniquement les violations de données - c’est ainsi que la police d’assurance cybersécurité est née.
La police d'assurance cybersécurité
Descrier | Flickr
Malheureusement, il est de plus en plus probable qu'une entreprise subisse une perte de données à un moment donné. Dans l'éventualité probable d'un incident, qu'il s'agisse d'un piratage ou d'un vol de données, ou d'un autre problème lié aux données, une assurance cybersécurité est là pour minimiser les coûts engendrés pour les entreprises.
Une police type comprendra une couverture pour un certain nombre de choses différentes liées à Internet. Voici un aperçu de ce qu’une police d’assurance cybersécurité pourrait couvrir:
- Erreurs et omissions: E & O couvre essentiellement les revendications pouvant résulter d'éventuelles erreurs dans votre service. En d’autres termes, si vous faites une erreur technologique en tant qu’entreprise, vos bases seront couvertes.
- Responsabilité des médias: la responsabilité des médias couvre les revendications publicitaires, telles que celles liées à la violation du droit d'auteur, voire la calomnie.
- Sécurité réseau: C’est la principale question à laquelle les gens pensent quand ils pensent à la cybersécurité - elle couvre des choses comme les violations de données, les virus et d’autres problèmes liés à la sécurité. Une chose intéressante à propos de la sécurité du réseau est qu’elle couvre à la fois les coûts pour les tiers et les tiers - cela signifie que si une défense juridique est nécessaire, elle contribuera à couvrir les coûts associés à cela.
- Protection de la vie privée: une atteinte à la vie privée n’entraîne pas nécessairement également une atteinte à la sécurité. Par exemple, cela pourrait impliquer quelque chose comme des dossiers médicaux se trouvant physiquement dans une benne à ordures, ou quelque chose de similaire. La protection de la vie privée couvre également normalement les frais de tiers.
Bien entendu, certaines choses ne sont normalement pas couvertes par une assurance cybersécurité. Celles-ci incluent des éléments tels que le préjudice à la réputation, la perte de revenus future, les coûts nécessaires pour améliorer les réseaux et la sécurité des réseaux, ainsi que la perte de valeur de votre propriété intellectuelle au cas où une autre personne enfreindrait vos droits d'auteur.
Cela ressemble à une police d'assurance assez standard pour moi. Quel est le problème?
L'assurance cybersécurité est une excellente solution pour de nombreuses entreprises, mais ce n'est pas sans inconvénients. En fait, bon nombre de ces inconvénients peuvent être quelque peu cachés. Selon Rajamanickam, le risque le plus important en matière d’assurance cybersécurité est la souscription ou la détermination des risques associés à des clients particuliers. Pourquoi est-ce un problème? L’assurance cybersécurité est une forme d’assurance quelque peu non traditionnelle et, en tant que telle, la souscription de responsabilité devient non seulement plus difficile à faire, mais bien plus difficile à faire avec précision.
«Les assurances non traditionnelles telles que la souscription de cyber-responsabilité deviennent difficiles en raison d'un manque de données actuarielles quantitatives, qui sont si facilement identifiées dans les polices d'assurance commerciales», a déclaré Rajamanickam. «Avec des points d’évaluation complexes et difficiles à garantir, les assureurs ont besoin d’une approche approfondie pour estimer la valeur des actifs de données. En fait, comme les données sont intangibles et ne constituent pas un actif typique auquel on peut attribuer une valeur, peu d'assureurs ont une connaissance, une connaissance ou une compréhension directes du cyber-passif de ces actifs numériques. "
Pourquoi est-ce si difficile de souscrire un client d'assurance? Eh bien, le problème est qu’un fournisseur d’assurance doit réfléchir aux informations personnelles et à la nature de ces informations pour chaque client après un piratage - cela inclut les cartes de crédit qui auraient pu être volées de manière piratée et les objets qui pourraient l’avoir été. été acheté avec cette information de carte de crédit volée. En plus de cela, l'assureur pourrait avoir besoin de prendre en compte les coûts associés à la surveillance des cartes de crédit après l'incident. Et, si cela se produit à grande échelle comme autant de violations de données, cela peut se transformer en une situation assez coûteuse.
Bien entendu, la souscription n'est pas le seul problème associé à la cyberassurance. Pour de nombreuses entreprises, les brevets jouent un rôle important dans le fonctionnement de l'entreprise. Les problèmes liés aux brevets qui pourraient survenir en cas de violation, pourraient entraîner de nombreuses poursuites judiciaires et de longues batailles juridiques.
«Si un pirate informatique pénètre dans un système de stockage de fichiers et obtient des informations sur les nouvelles technologies en cours de construction, cela peut compromettre toute une organisation. Ce genre de choses doit être pris en compte lors de la souscription », a poursuivi Rajamanickam.
Un autre problème associé à la cyberassurance est le fait que de nombreuses entreprises ne disposent même pas des outils nécessaires pour détecter une violation. De ce fait, les risques associés à une violation peuvent changer à mesure que la violation disparaît longtemps, ce qui a finalement un impact sur l'assureur.
«Même en cas de violation, il convient de noter que de nombreuses entreprises ne disposent pas des outils nécessaires pour détecter une violation et fournir la visibilité directe en temps réel nécessaire pour calculer les risques liés aux actifs numériques assurés stockés par les fournisseurs de services cloud ou les réseaux d'entreprise», a dit Rajamanickam.
Quelques points à garder à l'esprit
Que vous pensiez ou non que l’assurance cyber sécurité soit la meilleure chose à faire pour votre entreprise, il convient de garder quelques points à l’esprit. Par exemple, les choses vont être un peu différentes aux États-Unis par rapport à l'Europe. Aux États-Unis, le marché de la cybersécurité semble être un peu plus développé que celui de l'Europe, ce qui est probablement dû au fait que les violations de données doivent être divulguées en vertu de la législation américaine. L’assurance contre les tiers, qui, comme on l’a mentionné, couvre des domaines tels que les enquêtes judiciaires et les avocats, est plus courante aux États-Unis, tandis que l’assurance première partie, qui est davantage axée sur les pertes de données et leur impact sur les entreprises, est plus courante. en Europe. Pour les grandes entreprises, cela pourrait signifier que différentes polices d’assurance seront nécessaires dans différentes régions.
Il est également important de vous assurer que vous comprenez bien la police d'assurance que vous souscrivez, et veille à ce que le libellé de la police soit aussi clair que possible. Il est essentiel d’enquêter sur le type de choses couvertes par l’assurance que vous obtenez avant d’ acheter ladite assurance. Sinon, vous pourriez être coincé avec quelque chose qui ne répond pas à vos besoins en tant qu'entreprise, en laissant de côté en cas de violation de données.
Bien sûr, il est également important de garder à l'esprit que la cyber-assurance ne couvrira probablement pas certaines choses, comme le vol de propriété intellectuelle ou les atteintes à la réputation. La cyberassurance ne va pas sauver complètement votre entreprise en cas de violation de données - elle vise plutôt à fournir un allégement financier. Pour cette raison, il est important de ne pas compter sur l’assurance et de s’assurer que la sécurité de votre entreprise est aussi stricte que possible.
Enfin, l’assurance cyber sécurité n’est pas à prendre à la légère. Bien que son histoire remonte assez loin, le marché de la cybersécurité, tel qu’il est aujourd’hui, en est encore à ses balbutiements. Non seulement cela, mais les plans d'assurance fournis ont des pistes d'amélioration. Dans l’idéal, la cyber-assurance devrait encourager votre entreprise à s’améliorer en matière de sécurité. Non seulement cela contribuerait à réduire la prime de l’assurance, mais cela garantirait également que vous n’ayez plus besoin de cette assurance.
Conclusions
De nombreuses entreprises offrent une assurance cybersécurité et, même si leur couverture est souvent limitée, cela ne veut pas dire que ce n'est pas utile. Néanmoins, il convient de garder à l’esprit certaines choses importantes en matière d’assurance cybersécurité. Le concept n'est pas parfait - pas de loin. Il évolue au fil du temps, devenant de plus en plus utile pour les entreprises à mesure qu’elles se développent et que les risques associés à leur sécurité s’intensifient.
Obtenir une assurance cybersécurité peut être un bon choix pour votre entreprise, mais ce n’est probablement pas le bon choix pour toutes les entreprises. Il est important de garder à l'esprit que l'assurance en matière de cybersécurité n'est pas conçue pour protéger votre entreprise en cas de violation majeure des données, mais pour améliorer la situation financière. En cas de violation majeure des données, l'image de votre entreprise en souffrira probablement - et vous devez vous assurer que la sécurité de votre entreprise est aussi stricte que possible pour éviter cela.
Il est probable que l'assurance en matière de cybersécurité continuera d'évoluer au cours des prochaines années et que de plus en plus de violations de données soient commises, et le marché restera un espace intéressant à surveiller.
