Note de l’éditeur : Ceci est le dernier article de la série Cybersécurité : conseils depuis les tranchées, par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et de criminalistique numérique.
Souscrire une cyberassurance : un cauchemar annuel
Lorsque les avocats reçoivent leur police d’assurance cyber annuelle pour examen, ils sont apoplectiques. En règle générale, l’assurance cyber coûte plus cher chaque année et offre une couverture moins importante. Pour couronner le tout, les avocats doivent remplir un long formulaire détaillant de nombreux aspects de leur cybersécurité. Les questions, pour beaucoup d’avocats, sont incompréhensibles. Oubliez les réponses précises – ils doivent faire appel à des professionnels de l’informatique pour les aider, ce qui représente un coût supplémentaire s’ils font appel à une aide informatique extérieure au cabinet. Le problème est encore plus compliqué si les professionnels de l’informatique ne sont pas titulaires d’une certification en cybersécurité.
Pire encore, si une entreprise envisage de souscrire une police d’assurance cybernétique auprès de plusieurs cyberassureurs, la première chose qu’elle découvrira est la véracité d’un dicton populaire : « Si vous avez vu une police d’assurance cybernétique, vous avez vu une police d’assurance cybernétique. » Les variations entre les polices d’assurance cybernétique sont vraiment remarquables – et tout à fait déroutantes pour les avocats qui tentent d’obtenir une couverture.
Polices d’assurance cyber et cybersécurité des cabinets d’avocats
Bien que la plupart des avocats reconnaissent désormais la nécessité d’une police d’assurance cybernétique, ils se retrouvent souvent à mettre en balance le risque d’une violation – et les conséquences financières – avec le coût des mesures de cybersécurité requises par la police d’assurance cybernétique.
Ces mesures évoluent constamment. Nous nous souvenons bien de la réticence de nos clients à adopter l’authentification multifacteur (MFA) jusqu’à ce qu’ils réalisent qu’ils ne pouvaient plus souscrire à une cyberassurance sans adopter l’authentification multifacteur. C’était certainement une exigence nécessaire, mais la résistance était féroce au début.
De toute évidence, les grandes entreprises n’allaient pas avoir de problèmes pour financer la mise à niveau de leur cybersécurité, mais les petites entreprises ont eu du mal à trouver les fonds nécessaires pour répondre aux demandes des compagnies d’assurance cyber.
La magie d’un bon courtier
Ne vous y trompez pas : le secret pour obtenir une bonne affaire est d’avoir un bon courtier, quelqu’un qui travaille avec de nombreuses compagnies d’assurance cybernétique et qui sait comment vous mettre en relation avec la compagnie d’assurance cybernétique offrant la bonne couverture à un prix que vous pouvez vous permettre.
Nous avons suivi ce conseil en toute honnêteté, car nous étions extrêmement frustrés par le coût de notre cyberassurance et la couverture limitée. Un ami nous a recommandé un courtier et, grâce à Dieu, nous avons trouvé une bonne couverture à un prix abordable. L’avantage supplémentaire était que le langage de la police était compréhensible.
L’essor des lois sur la protection de la vie privée
Nous comptons désormais 18 États dotés de lois sur la protection de la vie privée (dont certaines ne sont pas encore en vigueur) et d’autres suivront. Cela a changé la donne pour la cyberassurance, car les cabinets d’avocats seront responsables des données qu’ils collectent et de ce qu’ils en font.
Une véritable vague de lois sur la confidentialité devrait être adoptée au cours des deux prochaines années. Les avocats doivent donc être préparés, car les sociétés d’assurance cybernétique augmenteront sûrement leurs prix pour couvrir les violations des lois sur la confidentialité.
Il ne s’agit pas seulement de violations de données
Les avocats doivent cesser de penser qu’ils se protègent uniquement contre les violations de données. Un exemple courant est la fraude électronique : il n’y a pas de violation, juste un criminel rusé qui parvient à convaincre quelqu’un du cabinet d’avocats de lui transférer de l’argent. De nos jours, avec la multiplication des deepfakes, la pauvre personne qui est attaquée peut en fait « voir » quelqu’un qu’elle connaît donner les instructions de virement.
Quelles autres dépenses doivent être couvertes par votre police d’assurance ? Vous aurez peut-être besoin d’un avocat spécialisé dans les violations de données et/ou la protection de la vie privée, d’une assistance en criminalistique numérique et d’une société de relations publiques. La police d’assurance vous oblige-t-elle à utiliser les ressources fournies par la compagnie d’assurance cybernétique ? Cela nous semble un peu délicat. Dans quelle mesure pouvez-vous faire confiance à quelqu’un qui est redevable à la compagnie d’assurance cybernétique ?
Qu’est-ce qui est exclu de votre police d’assurance?
Ce qui est exclu est important. L’exclusion la plus redoutée par les cabinets d’avocats est probablement l’exclusion de la couverture des attaques commanditées par un État. Il n’est pas toujours facile de déterminer si une attaque est commanditée par un État ou non.
Votre couverture peut avoir une date rétroactive, de sorte que l’assureur n’est pas responsable des actes survenus avant une certaine date, souvent la date d’entrée en vigueur de la police. Donc, si vous avez subi une violation de données avant l’entrée en vigueur de la police et qu’elle a été révélée une fois la police en vigueur, vous n’avez pas de chance.
Si vous ne parvenez pas à maintenir les mesures de cybersécurité requises, votre couverture pourrait être refusée.
Et pour l’amour du ciel, n’oubliez pas d’avertir à temps la compagnie d’assurance – et oui, nous avons vu des couvertures refusées pour cela !
Les réclamations liées à la cyberassurance sont en augmentation
Selon le courtier en cyberassurance Marsh, il a reçu plus de 1 800 demandes d’indemnisation en cyberassurance en 2023, battant tous les records précédents. Pourquoi ? Selon Marsh, la sophistication des attaques augmente, les demandes d’indemnisation pour atteinte à la vie privée augmentent et de plus en plus d’entreprises ont souscrit une cyberassurance, ce qui a fait augmenter le nombre de demandes d’indemnisation.
Réflexions finales : l’IA révolutionne la cyberassurance
L’intelligence artificielle et les grands modèles linguistiques sont partout, alors pourquoi ne pas les intégrer à la cyberassurance ? De plus en plus de sociétés de cyberassurance se concentrent sur la réduction de la probabilité d’une violation, en faisant évoluer en permanence leurs stratégies de cybersécurité. Les évaluations des risques sont désormais basées sur des informations basées sur l’IA, qui fournissent des évaluations des risques en temps réel.
Pour ceux qui ont déposé une réclamation, l’IA réduit désormais les délais de traitement des réclamations de plus de 80 %. C’est très impressionnant et très apprécié !
Sharon D. Nelson ([email protected]) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du barreau de l’État de Virginie, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek ([email protected]) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié de la sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert reconnu à l’échelle nationale dans le domaine de la criminalistique numérique. Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et de criminalistique numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke ([email protected]) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est examinateur certifié EnCase, examinateur informatique certifié (CCE #744), hacker éthique certifié et examinateur certifié AccessData. Il est également professionnel certifié en sécurité des systèmes d’information.
