La cyberassurance : une fausse bonne idée?

Lorsque vous travaillez en informatique, il n’est pas rare lors d’un dîner que quelqu'un vous demande : « Que faites-vous dans la vie? », avant de voir leur visage se décomposer, alors qu’ils pensent en entendant votre réponse : « Oh mon Dieu, pourquoi moi? C'est ma seule soirée libre de la semaine! Pourquoi ai-je posé cette question? » Cependant, récemment, j'ai été invité à un dîner où les places étaient assignées – est-ce excessif ou stratégique, à vous de déterminer! J’étais assis à côté d'un assureur. Peut-être que l’animateur que les gens des mondes de l'informatique et de l'assurance s'entendraient naturellement comme larrons en foire. À moins qu’il ne visait qu’à rassembler les intellos dans un coin de la salle? Difficile à dire.

Quoi qu'il en soit, après qu'il m’eut présenté son rôle et sa société, c'était à mon tour de divulguer dans quel domaine des TI j’évolue. J'ai à peine eu le temps de mentionner le mot cyber et avant que je puisse dire sécurité, il s’exclama que la cyberassurance va « tout couvrir ». Tout? Que voilà une affirmation audacieuse! Soudain, notre bout de la table est devenu le plus animé. J'ai instantanément remis en question sa déclaration quant au niveau de couverture des gens, ce à quoi il a prétendu, en tant que courtier en cyberassurance, qu'ils payaient pour toutes les attaques de rançongiciels - quelle que soit la valeur de la rançon exigée. J'étais très étonné. Pendant tout le temps que j'ai passé à la police, je me suis toujours dit que le crime ne paie pas et qu'en alimentant la cybercriminalité, on finance les projets des groupes criminalisés organisés mondialement, ce qui les motivera à continuer d’agir.

« Nous prenons aujourd’hui pour acquis que les cybercriminels gagnent et que les forces de l'ordre s'efforcent de les contenir. »

J’ai donc décidé de me rendre sur Google, non seulement pour faire des recherches sur cette affirmation, mais aussi pour remettre en question son éthique, puisque cela me semblait à la limite de l’illégalité. Selon mes recherches, il faut faire preuve de diligence raisonnable pour s'assurer que les rançons versées ne soient pas versées à des cyberattaquants « terroristes ». Lorsque j’ai souligné ceci, mon En le soulignant, mon voisin de table est devenu encore plus suffisant, mais je n'ai rien pu faire pour montrer que les assureurs ne sauront jamais l'origine des cyberattaquants. Comment les assureurs peuvent-ils payer une rançon alors qu'elle pourrait être versée à un terroriste? Son angle de défense était l'inverse, suggérant que rien ne prouve que ceux-ci appartiennent à des groupes terroristes?

Sur le plan éthique, c'est contre tout ce que je sais, mais qui a tort ici? Les cyberassureurs ou les règles en vigueur? Je me demande vraiment à quoi les entreprises pensent lorsqu'on leur vend de la cyberassurance? Jugent-elles que si le pire des scénarios se produit, leur courtier paiera la rançon et les sortira ainsi du pétrin? Visiblement, c’est exactement ce qui se passe. Nous prenons aujourd’hui pour acquis que les cybercriminels gagnent et que les forces de l'ordre s'efforcent de les contenir.

« Il semble que très peu de gens croient que la prévention est la meilleure option, parce que l’humain est toujours en quête de la solution la plus facile. »

La cyberassurance est actuellement en plein essor et de nombreux assureurs offrent différents niveaux de protection à des clients qui (à mon humble avis) semblent baigner dans l'ignorance en matière de cybersécurité. Nous savons tous que les tactiques de peur ne constituent pas la meilleure façon de vendre un produit, mais l'augmentation du nombre d'histoires de piratage dans les médias rend certainement les PDG un peu nerveux. À juste titre si c’est ce qu’il faut pour convaincre l’équipe de direction de s’arrêter pour agir proactivement lorsqu'il est question de la sécurité de leur infrastructure. Ceci dit, l'assurance vaut-elle vraiment mieux que la prévention? Ces entreprises – et leur direction – jugent-elles que l'assurance est une forme de de prévention? Même en oubliant un instant l'éthique, payer un criminel pour récupérer vos données pourrait être tout aussi catastrophique en cas de transmission d'un logiciel malveillant en même temps que la sauvegarde – sans oublier l'augmentation de votre prime au cours de l'année suivante avec votre assureur.

Réduire le risque en amont représente un bien meilleur moyen d'éviter que cette menace n'explose au sein d'une entreprise. Ceci est facilement réalisable par la formation, les logiciels anti logiciels malveillants et la définition correcte des droits d'accès.

Donc, pour en revenir à ma discussion avec cette nouvelle connaissance, elle a évolué en grand débat avec l’ensemble de la tablée, alors que des gens de diverses professions autour de la table ont décidé d’émettre leur opinion. Il semble que très peu de gens croient que la prévention est la meilleure option, parce que l’humain est toujours en quête de la solution la plus facile. Si nous n’incitons pas vigoureusement les gens à inclure des méthodes de prévention de la compensation, les gens auront inévitablement recours à des mesures réactives qui, comme nous l'avons vu, ne fonctionnent pas toujours.