alphaspirit - Fotolia
La cyberassurance a changé la réponse à incident, pour le meilleur ou pour le pire
Les assureurs exercent un contrôle accru sur la manière de réagir aux incidents de cybersécurité. Et cela ne manque ni d’inquiéter, ni de frustrer, certains prestataires de services spécialisés.
L’assurance cyber aide un nombre non négligeable et croissant d’entreprises à surmonter les coûts associés aux brèches de sécurité et aux attaques informatiques. Fleury Michon en a ainsi récemment témoigné ; Norsk Hydro et Altran semblent bien décidés à en profiter. De l’avis général, la demande en matière d’assurance cyber est en forte hausse. Des phénomènes tels que la multiplication des infections par ransomware ne manquent sûrement pas de jouer en faveur de cela. Lors d’un microsommet au cours de l’édition 2019 de la conférence Black Hat, en août dernier, des experts ont décrit un marché en plein essor avec un nombre croissant de compagnies d’assurance concurrentes et des polices incroyablement bon marché pour les entreprises qui ont besoin de protection financière contre les cyberattaques.
Mais les intervenants ont également exhorté la communauté de la sécurité informatique à prendre conscience des obstacles et des inconvénients potentiels, y compris les exclusions et les conditions cachées des polices d’assurance.
La position de prescripteur que peuvent parfois prendre certains assureurs est loin de faire l’unanimité. Mais Jake Kouns, RSSI de Risk Based Security, s’intéresse en particulier à la question de l’intervention en cas d’incident : il n’est pas rare, selon lui, que les assureurs définissent la manière dont l’intervention doit être menée et quels fournisseurs seront appelés pour mener les enquêtes et les efforts de nettoyage. À défaut de quoi, les garanties peuvent être annulées : « je veux que tout le monde soit vraiment, vraiment conscient de ce point. Avec la cyberassurance, il y a beaucoup de processus que vous avez mis en place ».
Et cela ne manque pas de générer une certaine frustration. Sean Mason, directeur de la réponse à incident chez Cisco, estime ainsi que la cyberassurance « jette souvent le discrédit » sur les efforts d’intervention de son entreprise en ajoutant du temps et de la confusion tout en remplaçant le fournisseur comme principal décideur de l’engagement. Et manque de chance, « j’ai l’impression de me battre contre des moulins à vent, ces derniers temps, parce que la cyberassurance ne cesse de surgir ».
Mason n’est pas seul. Plusieurs professionnels de la sécurité informatique ayant une connaissance de première main de missions de réponse à incident décrivent des scénarios similaires avec leurs clients : une organisation subit une cyberattaque ou une atteinte présumée et informe son assureur de l’incident ; l’assureur mandate un expert dédié, qui fait ensuite venir un fournisseur préapprouvé pour les opérations de nettoyage et les enquêtes forensiques. Mais voilà, pour les professionnels interrogés, le processus peut être frustrant, car l’expert mandaté par l’assurance devient le principal décisionnaire et le référent pour les clients, plutôt que leurs équipes internes. Et cela peut rallonger le temps de réaction.
Et encore, lorsqu’on leur permet de travailler sur les engagements. La plupart des grandes compagnies d’assurance ont des listes de fournisseurs préapprouvés et de prestataires de services auxquels les clients doivent faire appel. Du coup, certains fournisseurs en place se retrouvent mis à l’écart et se retrouvent cantonnés à un poste d’observateur.
Le fait que de nombreux assureurs se sont précipités sur le marché de la cyberassurance sans aucune connaissance en matière de cybersécurité ne fait qu’aggraver le problème pour les fournisseurs. Jeffrey Smith, courtier en assurance et associé directeur de Cyber Risk Underwriters, estime ainsi que certains assureurs offrent simplement des polices bon marché avec peu ou pas de contrôle afin de gagner des affaires : « ils inventent au fur et à mesure ».
Et pourtant, les assureurs dictent souvent la manière dont les brèches et les cyberattaques sont traitées pour leurs clients, ce qui inquiète certains fournisseurs.
Des réponses différées
Vétéran de longue date de la sécurité informatique, Jake Kouns a également travaillé dans l’industrie de l’assurance pendant de nombreuses années, notamment comme directeur de la souscription pour les risques technologiques et informatique, chez Markel Corp. Fort de cette double expérience, Jake Kouns n’est pas surpris que la cyberassurance soit une source de friction pour les prestataires de services de réponse à incident : les organisations qui ont une solide équipe de réponse à incident en place peuvent être soumises à un « processus de réclamation inefficace » par un assureur qui n’a pas une longue expérience du sujet.
Alors pour lui, « les réactions des bonnes équipes de réponse à incident au sujet des frictions sont légitimes. Dans bien des cas, l’appel initial de l’expert est frustrant, et je l’ai trouvé moi-même un peu désappointant lorsque j’étais dans la position de vouloir que les choses soient faites, parce que je savais ce qu’il fallait faire, et que je voulais simplement réagir rapidement ».
Et justement, s’il est bien une source majeure de frustration, c’est le temps. Sean Mason se souvient ainsi de « quelques cas où il a fallu une journée entière à l’assureur pour revenir vers son client avant de commencer à dire “vous devez faire ci, ça, cela, ceci, et puis encore ça en premier” ».
Et bien sûr, l’expert mandaté peut ajouter une couche supplémentaire au processus de la réponse à incident susceptible d’induire des délais supplémentaires. Et cela peut aller au-delà. Jeremiah Dewey, directeur senior des services managés et responsable de la réponse à incident chez Rapid7, indique qu’il n’est pas rare que, lorsqu’un client a été victime d’un incident, il doive souvent « prendre un peu de recul et laisser son service [juridique] prendre contact avec nous. Cela ajoute du temps. Mais cela se compte souvent plus en heures qu’en jours ou en semaines ».
Reste que l’attente peut être particulièrement frustrante pour les organisations désireuses de nettoyer et de contenir une atteinte potentielle à la protection des données. Jeremiah Dewey et son équipe essaient donc de combler le temps du mieux qu’ils peuvent en analysant les indices que le client peut leur fournir : « nous ne voulons jamais créer un temps durant lequel le client se demande ce qui se passe ».
Interrogés sur le sujet, plusieurs grands assureurs n’ont pas répondu aux demandes de SearchSecurity, ou ouvertement décliné l’invitation à le faire. Tim Francis, responsable de la cyberassurance chez Travelers Companies, inc., juge qu’une réponse rapide aux demandes d’indemnisation est absolument essentielle pour les entreprises, non seulement pour fournir une assurance aux clients pendant une situation stressante, mais aussi pour faire avancer le processus de réponse à incident le plus rapidement possible. D’où un service dédié joignable 24 h/24 et 7 j/7 et des experts prêts à intervenir « immédiatement » : « franchement, si vous avez une police d’assurance qui couvre beaucoup de choses, mais que les gens ne répondent pas aux demandes en temps opportun, peu importe la qualité de votre contrat d’assurance ou le prix auquel vous l’avez obtenu. Ce temps, en particulier dans le cas d’une demande de rançon lorsqu’il s’agit de décider s’il faut payer ou pas, pourrait faire la différence entre la restauration de vos systèmes ou leur mise hors service ».
Des experts… aux profils variés
Mais les délais ne sont pas la seule préoccupation des professionnels de la sécurité informatique. Ils s’inquiètent également du fait que des juristes, et non pas des experts techniques, se retrouvent parfois à piloter des missions de réponse à incident. Et Jake Kouns le reconnaît volontiers : « j’ai toujours eu du mal à accepter l’idée de parler à un juriste qui ne comprend rien à la technique, qui n’a aucune idée de ce que je suis censé faire pour répondre à l’incident, et qui me demande simplement combien de clients nous avons dans différents États et des choses comme ça ».
Mais ces experts ne sont pas pour autant à bannir. Jake Kouns leur accorde une valeur dans au moins deux domaines : ils offrent un canal de communication privilégié avec l’organisation victime ; et ils peuvent offrir un vecteur de dialogue simplifié avec celle-ci.
Mais tout le monde ne l’entend pas de cette oreille. Certains professionnels déplorent que les experts mandatés tendent à se concentrer plus sur la reprise de l’activité que sur l’identification des causes et sur la détermination de l’étendue réelle de l’incident. Et c’est sans compter avec les différences de points de vue dans la gestion des attaques de rançongiciel : pour l’assureur et son expert, payer la rançon peut être préférable, car moins coûteux qu’une investigation et un nettoyage en profondeur. Fabian Wosar, directeur technique d’Emsisoft, ne manquait d’ailleurs pas de le dénoncer récemment.
De son côté, Sean Mason assure même que ses équipes observent une augmentation du nombre d’assureurs privilégiant cette approche : « franchement, nous avons vu certains clients suivre ce genre de conseils et aggraver la situation ».
Mais le contexte de l’entreprise victime joue aussi. Les moins préparées sont plus susceptibles d’être vulnérables aux mauvais conseils, estime ainsi Sean Mason : « elles prennent leurs recommandations comme un évangile. Et ce n’est pas nécessairement la meilleure façon d’avancer ».
De son côté, Rapid7 encourage, par exemple, ses clients à consulter les forces de l’ordre : « nous avons de bonnes relations avec quelques bureaux du FBI sur le terrain, et nous encourageons [les clients] à les appeler parce qu’ils pourront les guider et leur dire s’il existe déjà des outils de déchiffrement pour ce type de ransomware, ou si les [cyberdélinquants concernés] ont pour habitude de fournir les clés nécessaires, ou pas ».
(Im)préparation des clients
Les experts de la cybersécurité et de la cyberassurance relèvent que les clients ne sont pas non plus irréprochables. Tout d’abord, lorsqu’ils communiquent avec leurs prestataires de services pour obtenir une intervention sur incident, ils ne peuvent pas toujours répondre à cette question simple : sont-ils assurés pour cela ? Et lorsqu’ils pensent l’être, ils ne connaissent pas nécessairement les détails de leur police d’assurance, ni s’ils peuvent choisir eux-mêmes un prestataire : « en général, nos clients ne sont pas nécessairement prêts à répondre à ces questions ni à comprendre ce qui est à leur disposition du point de vue assurantiel », relève ainsi Sean Mason.
Mais l’impréparation peut également toucher la prise de décision pendant l’intervention : il arrive que des clients omettent d’informer leur assureur d’un incident avant d’avoir fait appel à un prestataire… voire d’avoir remédié à la situation. Et c’est sans compter avec ceux qui ont du mal à choisir qui dirigera les efforts de réponse à incident.
Jake Kouns se souvient d’un cas où un client a été autorisé à choisir son propre prestataire de services d’intervention sur incident. Et ce choix était regrettable : « je n’avais jamais entendu parler de cette boutique avant. Le client leur a demandé de faire le travail d’enquête, mais il n’a pas été fait correctement, l’intrusion n’était pas pleinement nettoyée, et le client a dû faire appel à un nouveau prestataire pour que ce soit bien fait ».
Jeffrey Smith a vu un cas où un client voulait faire appel à son cabinet juridique pour se faire accompagner dans la réponse à incident. Mais ce cabinet n’avait pas de « practice » dédiée : « je leur ai dit que ce n’était pas une bonne idée, parce que la dernière chose que l’on veut, ce sont des délais dans la réponse ».
En fait, comme le monde de l’assurance s’est vu tenter par la croissance du marché de la cybersécurité, nombre de prestataires s’y sont engagés : « et tout d’un coup, tout le monde est un expert en cybersécurité », ironise Jeffrey Smith.
Mais justement, pour Jake Kouns, l’assurance cyber a au moins pour effet positif sur les entreprises, et en particulier celles qui sont les bien moins loties, en interne, pour la sécurité informatique, d’inciter à préparer un plan de réponse à incident et de prendre un contrat « retainer » avec un prestataire.
Un point clé, pour John Farley, directeur général de la practice cyber chez Arthur J. Gallagher & Co., courtier en assurances, qui examine régulièrement les plans de réponse à incident, pour en observer les manques : « souvent, vous constatez que le plan de réponse à incident est essentiellement une procédure d’escalade entre les quatre murs du service informatique. Mais lorsque le service IT se rend compte qu’il y a un incident qui engage sa responsabilité juridique, avec des données personnelles identifiables qui imposent des notifications réglementaires, c’est là que les organisations ont tendance à s’effondrer ».
Les limites de la préapprobation
Par le passé, les entreprises pouvaient choisir une police d’assurance cyber permettant aux clients de choisir leur propre prestataire et d’être ensuite remboursés. Mais selon Jake Kouns, c’est de plus en plus rare. Les assureurs sont plus susceptibles de payer directement les prestataires au nom de leurs clients, mais seulement ceux qu’ils ont préapprouvés. Et les listes de tels partenaires ne sont souvent pas bien longues.
Du coup, le nom de l’assureur est l’une des premières questions que posent les équipes de Jeremiah Dewey : « si vous avez une police Beazley ou AIG, nous ne faisons pas partie de leur panel de prestataires approuvés, et ils ne vont pas payer cette demande. Alors, nous disons d’emblée au client : “si vous voulez vous engager avec nous, c’est super, mais sachez que votre assureur est très strict sur les personnes auxquelles vous pourrez faire appel si vous voulez qu’il vous indemnise” ».
Las, la liste de l’assureur peut exclure des prestataires qui seraient familiers de l’environnement client, de ses pratiques ou de ses équipes. De quoi entraîner de nouvelles frictions. Et pour Sean Mason, « les assureurs ne devraient pas prendre ces décisions à votre place, mais encore une fois, vous pourriez les suivre aveuglément si vous n’y avez pas pensé à l’avance ».
Tim Francis assure que Travelers sait faire preuve de flexibilité. Pas question chez lui de prendre des décisions sur la manière de gérer un incident ou de payer, ou pas, une rançon, ni même d’imposer un prestataire : « tant qu’il n’y a pas de conflit d’intérêts et qu’ils sont qualifiés, les clients peuvent recourir aux prestataires de leur choix ».
Mais Jeremiah Dewey déplore aussi les difficultés à communiquer avec les assureurs : « j’ai approché la grande majorité des assureurs individuellement, et chacun d’eux a des processus différents, chacun d’eux vous oriente vers des interlocuteurs différents, dont aucun n’est facile à trouver ».
Mais alors, comment choisir son assureur cyber ? Ce n’est pas trivial, à écouter ces spécialistes. Jake Kouns préfère une compagnie qui a déjà l’expérience du traitement des incidents cyber et, là, pour lui, « il y a moins de risques de frictions avec un assureur de haut niveau qu’avec un assureur de niveau intermédiaire ». Pour autant, selon lui, certains assureurs de premier plan « ne consacrent pas nécessairement autant de temps que l’on pourrait s’y attendre » en raison du volume de demandes qu’ils reçoivent chaque jour. Du coup, de plus petits assureurs peuvent offrir plus d’attention et de souplesse à leurs clients.
Pour Jeffrey Smith, il est important de se rappeler que l’univers de la cyberassurance en est encore à ses débuts et qu’il faudra du temps aux assureurs pour accroître leurs connaissances sur la cybersécurité et accumuler suffisamment de données actuarielles pour améliorer le processus de souscription : « il n’y a pas grand-chose que l’actuariat puisse faire avec 100 000 dossiers [de demandes] sur la courte période de temps dont nous parlons – du moins pas avec un niveau de confiance élevé. La bonne nouvelle, c’est qu’ils se sont rendu compte qu’ils doivent commencer à souscrire [en procédant à des évaluations de sécurité et des tests d’intrusion] ».
Monzy Merza, responsable de la recherche en sécurité chez Splunk, le souligne également : les données actuarielles sont cruciales pour la maturation du marché, mais les assureurs doivent également reconnaître que la cybersécurité est un nouveau terrain. Alors pour lui, « il faut vraiment respecter ce terrain, sinon ça ne marchera pas. Et si la cyberassurance ne fonctionne pas, ceux pour qui cela ne fonctionnera pas sont les consommateurs ».
Mais ceux qui espèrent que le marché de l’assurance cyber gagnera en maturité rapidement ne manquent pas : « la cyberassurance est presque un mal nécessaire en ce moment », estime ainsi Sean Mason. « Je pense qu’en tant qu’industrie, nous allons devoir passer par là, prendre nos responsabilités et apprendre à mieux travailler avec nos assureurs ».
AIG a tenu à apporter des précisions. Dans un e-mail à la rédaction, l'assureur indique que « l’offre Cyber d’AIG propose un volet Assistance – Actions d'urgence qui met à la disposition des assurés un panel de consultants informatique, juridique ou communication de crise pré-agréés par AIG et dont le recours ne fait pas l’objet d’une franchise durant les 72 premières heures suite à la déclaration d’un incident Cyber. Ces consultants ont été sélectionnés par l’assureur en fonction de certains critères et notamment leur disponibilité 24h/24 et 7j/7 pour assister nos assurés dès les premières minutes de l’incident. Les assurés ne sont pas obligés de faire appel aux consultants référencés sur la police AIG et peuvent missionner leurs propres consultants, après validation de l’assureur. Dans ce cas présent, une franchise sera alors appliquée ».