Une faille de sécurité est rarement quelque chose que vous êtes heureux de découvrir, voire jamais. Il y a la perte et la destruction potentielle de données. Ensuite, il y a les conséquences :changer les mots de passe, essayer de récupérer des informations et découvrir les profondeurs de l'attaque. Enfin, il y a aussi les implications financières.
Pour les consommateurs ordinaires comme pour les entreprises, la cybercriminalité coûte cher. Et s'il y avait un autre moyen ?
L'assurance contre la cybercriminalité est une industrie en plein essor que de nombreuses entreprises et autres organisations explorent. Cependant, l'assurance contre la cybercriminalité est-elle un investissement rentable pour les utilisateurs à domicile ? Et si c'est le cas, que protège-t-il réellement ? Jetons un coup d'œil.
Ce n'est un secret pour personne que la cybersécurité est un équilibre délicat entre les chercheurs en sécurité et les acteurs malveillants. C'est un jeu de chat et de souris; une nouvelle menace frappe nos systèmes, les chercheurs et les sociétés antivirus corrigent le problème. Une nouvelle technique d'atténuation de la sécurité apparaît et les attaquants se mettent à trouver des vulnérabilités. Une chose est cependant constante :le coût d'une cyberattaque.
La cyber-assurance personnelle aide à atténuer le coût des failles de sécurité telles que les demandes d'extorsion de logiciels de rançon, la récupération de données, la destruction de données, la fraude en ligne et le vol d'identité. Le marché global de la cyberassurance est jeune et donc difficile à cerner avec précision. Les politiques pour les particuliers se concentrent sur la protection contre le fardeau financier de la myriade d'attaques qui se cachent en ligne. Par exemple :
Cela semble exagéré ? Les services professionnels de récupération de données peuvent coûter entre 50 $ et 350 $ de l'heure selon votre emplacement et la gravité du problème. La récupération de données sur smartphone peut coûter 200 $ ou plus selon l'appareil. Et bien que la demande moyenne de paiement de ransomware ait chuté par rapport à son sommet de 2016 de plus de 1 000 $ par infection, le paiement reste un énorme fardeau financier.
Il y a peu de choses à considérer avant de souscrire à une assurance cybersécurité. Comme il convient à la jeunesse relative du marché de la cyber-assurance, il existe un certain scepticisme quant à la souscription d'une police individuelle. Comme pour la plupart des sécurités personnelles, la réponse réside dans le coût de la police. Combien pouvez-vous vous permettre de vous séparer pour garantir une protection financière contre une attaque ?
Comme d'autres formes d'assurance, les coûts de votre police varient en fonction de la couverture que vous désirez. Cependant, contrairement à l'assurance ordinaire, les souscripteurs ont encore du mal à modéliser et à prévoir avec précision la myriade de risques en ligne.
"Généralement, dans l'assurance, nous utilisons le passé pour prédire l'avenir, et dans le cyberespace, c'est très difficile à faire car il n'y a pas deux incidents identiques", a déclaré Lori Bailey, responsable mondiale du cyber-risque pour le Zurich Insurance Group.
Le problème est encore exacerbé par un manque de connaissances de la part des assureurs et de ceux qui recherchent une cyberassurance. "Tous les principaux propriétaires [assureurs] sont impatients de proposer une sorte de cyber-offre", déclare Tim Zeilman, spécialiste de la cyber-assurance chez Hartford Steam Boiler. "Les gens semblent penser que ce sera une partie standard de la couverture du propriétaire dans les cinq à 10 prochaines années."
Cependant, Hartford Steam Boiler propose l'une des polices d'assurance cyber les moins chères, à partir d'environ 30 $ par an, tandis que les courtiers d'assurance en ligne britanniques PolicyBee proposent des polices d'assurance cyber à partir de seulement 6,99 £ (environ 9 $). Le coût initial est faible, mais pour obtenir une couverture complète pour la réparation du matériel, les services de récupération de données, les paiements d'extorsion de rançongiciels et même les frais juridiques, les frais de police augmentent rapidement.
La police Family CyberEdge d'AIG coûte 597 $ par an pour une couverture de 50 000 $ dans des domaines clés tels que les ransomwares et l'extorsion, la restauration des données, la cyberintimidation et la gestion de crise. La politique d'AIG semble chère jusqu'à ce que vous regardiez ce que vous obtenez pour votre argent.
Par exemple, la couverture contre la cyberintimidation comprend une année de services psychiatriques, ainsi qu'une couverture de relations publiques (si nécessaire), une analyse médico-légale numérique pour découvrir les intimidateurs, ainsi qu'une couverture pour tout salaire perdu si l'individu perd son emploi pendant une période de 60 jours après la cyberintimidation est signalée. Les victimes peuvent également demander une relocalisation temporaire ainsi qu'un "tutorat privé temporaire" ou une "augmentation des frais d'inscription à l'école pour vous ou un membre de votre famille afin de vous réinstaller dans une école alternative mais similaire".
D'autres termes en petits caractères sont moins encourageants. AIG se réserve le droit de rejeter les réclamations "résultant d'une erreur de programmation informatique ou d'une erreur dans les instructions d'un ordinateur". Il incombe donc aux victimes de s'assurer que leur système est complètement à jour à tout moment, car la plupart des vulnérabilités du système proviennent d'un problème de programmation. De plus, comment les vulnérabilités zero-day complètement inconnues s'intègrent-elles dans cette description ?
Une cyberattaque est stressante pour les entreprises comme pour les particuliers. Vous voulez savoir ce qui aggrave la situation ? Violations répétées du même système. De manière embarrassante, la Banque nationale de Blacksburg a été victime de deux attaques distinctes par e-mail de harponnage sur une période de huit mois et a perdu plus de 2,4 millions de dollars. Ça sonne mal, non ? Le fournisseur de cyberassurance de la National Bank of Blacksburg a aggravé le problème en refusant de payer après la violation.
Si cela peut arriver à une banque qui vaut des milliards de dollars, les clients individuels ne souffriront-ils pas aux mains des puissantes compagnies d'assurance ? Les particuliers ont-ils même besoin d'une assurance cybersécurité pour commencer ?
Certains pensent que cela dépend de la valeur nette de l'individu ou de la famille qui envisage l'assurance cybersécurité. Les personnes ou les familles fortunées pourraient trouver avantageux d'avoir une politique étendue pour se prémunir contre toutes sortes de menaces en ligne. Josephine Wolff, professeure adjointe au Rochester Institute of Technology, déclare :« Si vous êtes une personne très fortunée, il est possible que cela ait un sens. Pour d'autres personnes, les coûts [d'une cyberattaque] sont pas si haut."
Elle poursuit :"Il est très difficile de mettre des étiquettes de prix sur les violations, en particulier sur la façon dont elles affectent les individus. La plupart du temps, les individus ne sont pas responsables --- les frais sont absorbés par les banques, les détaillants ou les sociétés de paiement."
Mais cela ne tient pas compte de l'effet parfois dévastateur qu'une attaque a sur un individu ou une famille, ou des effets positifs que le simple fait de payer une note de ransomware ou d'utiliser des services professionnels de récupération de données apporte.
Les détracteurs de la cyberassurance soulignent que les polices peuvent en fait encourager les attaquants à être sûrs que quelqu'un d'autre, autre que la victime, prendra en charge la facture finale. Ou bien, les pirates cibleront ceux qui ont une cyber-assurance, faisant grimper les primes pour tout le monde. Que diriez-vous d'une augmentation des ransomwares parce que les attaquants voient plus d'individus payer ? D'autres critiques pensent que la cyber-assurance personnelle envoie le mauvais message aux individus concernant la sécurité du système ; pourquoi faire attention lorsque votre politique paie pour une récupération de données professionnelle coûteuse ?
En fin de compte, l'assurance cybersécurité dépend de la sécurité de votre réseau. La plupart des politiques refuseront de payer s'il y a des problèmes importants dans votre réseau. Le conseil, comme toujours, est de :
Le marché de la cyberassurance est déjà en pleine croissance et il ne faudra pas longtemps avant que votre fournisseur d'assurance habitation tente de le regrouper lors de votre prochain renouvellement. Soyez prêt à envisager toutes les options.