Certains fournisseurs offrent des garanties en plus des polices d’assurance cyber
La cyberassurance est une tendance croissante et, dans de nombreux cas, une exigence opérationnelle. Cependant, certains organismes de santé n’ont pas les ressources nécessaires pour s’auto-assurer. Pour les petites organisations, il existe encore des moyens de réduire le coût des primes de cyberassurance. Tony Roberts, ingénieur principal en solutions chez CDW, note que certains fournisseurs de sécurité tiers, tels que Rubrik, offrent des garanties que les compagnies d’assurance reconnaissent comme une assurance supplémentaire de la stratégie de protection des données d’une organisation.
En avril, Rubrik a fait deux annonces révolutionnaires concernant ses garanties contre les ransomwares. Dans un communiqué de presse, Rubrik a noté : « Avec la croissance rapide des cyberattaques, les organisations partagent la même préoccupation : ‘Si nous sommes touchés par un ransomware, pouvons-nous récupérer ?' »
La réponse de l’entreprise a été d’augmenter la valeur de la garantie qu’elle offre dans le cadre de ses polices d’assurance cyber. « Rubrik a confiance en notre solution de sécurité des données et s’engage à partager la responsabilité entre les clients et les éditeurs de logiciels », précisent les notes de publication. « En tant que tel, nous mettons plus de peau dans le jeu en doublant notre garantie à 10 millions de dollars. »
De plus, Rubrik a publié un communiqué de presse séparé pour annoncer son partenariat avec Zscaler pour offrir une solution de rançongiciel à double extorsion. « L’intégration de Rubrik avec Zscaler Data Loss Prevention identifie de manière proactive les données commerciales sensibles dans les environnements d’entreprise, cloud et SaaS afin que des protections de données spécifiques puissent être facilement mises en œuvre pour prévenir la perte de données », indique le communiqué.
« Comment augmenter votre capacité de récupération de ransomware. »
Certaines grandes organisations peuvent s’auto-assurer contre les ransomwares
Bien que la cyber-assurance puisse aider à couvrir les coûts d’une attaque par ransomware, elle peut également être un phare pour les cybercriminels, indiquant une volonté de payer la rançon que les criminels ont l’intention d’exiger. Dans certains cas, les organisations peuvent envisager de s’auto-assurer pour se protéger en cas d’attaque par ransomware.
« L’auto-assurance devient essentiellement un poste budgétaire », explique Jason Cray, stratège en protection des données chez CDW. « Ils établissent un budget et disent : « Nous payons déjà un montant X sur les primes à une compagnie d’assurance pour avoir une assurance ». Au lieu de faire cela, nous allons prendre cet argent, le budgétiser et le mettre essentiellement dans un compte d’épargne qui est supervisé par un tiers.
Certaines compagnies d’assurance cyber resserrent leurs politiques de paiement
Selon Heidi Shey, analyste principale chez Forrester, « la cyberassurance n’est qu’un élément d’un programme de gestion des risques de cybersécurité d’entreprise plus vaste. Cependant, le marché de la cyberassurance est sur des montagnes russes, avec des primes qui montent en flèche, des changements de couverture et une demande de polices qui dépasse l’offre disponible. Après des années de polices abordables et facilement disponibles, dit-elle, « l’omniprésence de la cyber-assurance combinée à l’augmentation des cyberattaques a changé la dynamique du pouvoir en faveur des assureurs ».
Cray dit qu’il a remarqué des changements similaires sur le marché de la cyberassurance. Lui et Roberts ont tous deux remarqué de nouvelles limitations sur les polices d’assurance cyber lors de leur travail avec les clients de CDW.
« Les primes d’assurance explosent, si vous pouvez même les obtenir », déclare Roberts. De plus, « les compagnies d’assurance définissent désormais dans leurs contrats qu’elles ne couvriront pas une attaque si elle provient d’un État-nation spécifique ».
Cray est d’accord, citant l’utilisation par les compagnies d’assurance de documents trop compliqués. Les demandes d’assurance posaient autrefois de 20 à 30 questions, dit Cray, mais ces formulaires comprennent désormais systématiquement plus de 400 questions formulées de manière contradictoire ou confuse, ce qui les rend presque impossibles à répondre pour les candidats.
En ce qui concerne les questions sur le stockage immuable d’une organisation, explique Cray, les candidats peuvent se demander : « Est-ce que je réponds oui ? Ma réponse est oui. » Et puis l’assureur arrive et dit: » Eh bien, non, vous ne l’aviez pas dans tout votre environnement, donc nous n’allons pas payer. « » Bien sûr, si les candidats répondent non à la question, leurs tarifs augmenteront certainement — si la compagnie d’assurance ne refuse pas complètement de les assurer. « C’est la réalité à laquelle les clients sont confrontés aujourd’hui », déclare Cray.
« Il devient super difficile de l’obtenir, de le maintenir, puis de s’y conformer », déclare Roberts à propos de la cyberassurance. Même lorsqu’elles essaient assidûment de se conformer aux conditions d’une police, les organisations courent le risque qu’une compagnie d’assurance décortique une police et finisse par dire : « Eh bien, vous ne faisiez pas cette chose, alors nous n’allons pas payer dehors.' »
« Je pense que les organisations doivent examiner cela du point de vue des risques », déclare Roberts.
