Discussion :

[Bill Fassinou]

Les cyberattaques pourraient devenir "non assurables" à mesure que les perturbations causées par les piratages continueront de croître
selon le directeur de la compagnie d'assurance suisse Zurich

La montée en puissance des cyberattaques et l'étendue des dégâts qu'elles causent pourraient à l'avenir pousser les compagnies d'assurance à laisser les victimes livrer à elles-mêmes. C'est ce qu'a laissé entendre Mario Greco, PDG de Zurich Insurance Group (Zurich), lors d'une récente interview. Il a déclaré que les cyberattaques pourraient constituer une menace plus importante pour les assureurs que les problèmes systémiques tels que les pandémies et le changement climatique. Ainsi, Greco estime qu'elles pourraient devenir "inassurables" dans les années à venir. Il ajoute que les cyberattaques représentent une menace pour la vie humaine.

Les cyberattaques sont devenues un problème épineux pour les entreprises au cours de ces dernières années. Cela a poussé les entreprises à augmenter les dépenses en cybersécurité. D'un autre côté, les dirigeants des compagnies d'assurance ont continué à attirer l'attention sur les risques systémiques, tels que les pandémies et le changement climatique, qui mettent à l'épreuve la capacité du secteur à fournir une couverture. Les analystes estiment que pour la deuxième année consécutive, les sinistres liés aux catastrophes naturelles devraient dépasser les 100 milliards de dollars. Mais les cyberattaques pourraient représenter une plus grande menace.

Mario Greco, PDG de Zurich Insurance Group (Zurich), a déclaré lors d'une interview au Financial Times que le risque de cyberattaques était la chose à surveiller. « Ce qui deviendra non assurable sera la cybercriminalité. Que se passera-t-il si quelqu'un prend le contrôle de parties vitales de notre infrastructure ? Quelles en seront les conséquences ? », a-t-il déclaré. Greco estime que "se concentrer sur le risque de violation de la vie privée des individus, c'est passer à côté de l'essentiel".  « Il s'agit d'une question de civilisation. Ces personnes peuvent gravement perturber nos vies », a expliqué le dirigeant d'un des plus grands assureurs suisses.

Selon les analystes, la montée en flèche des cybersinistres ces dernières années a incité les souscripteurs du secteur à prendre des mesures d'urgence pour limiter leur exposition. En plus de faire grimper les prix, certains assureurs ont réagi en en modifiant leurs polices afin que leurs clients conservent davantage de pertes. Les récentes attaques qui ont perturbé des hôpitaux, fermé des pipelines et ciblé des ministères ont toutes alimenté l'inquiétude des dirigeants du secteur face à ce risque croissant. Greco a déclaré qu'il y avait une limite à ce que le secteur privé pouvait absorber lorsqu'il s'agissait de garantir les pertes dues aux cyberattaques.

Selon lui, les gouvernements du monde entier doivent "mettre en place des systèmes privés-publics afin de gérer les risques cybernétiques systémiques qui ne peuvent être quantifiés, à l'instar de ceux qui existent dans certaines juridictions pour les tremblements de terre ou les attaques terroristes". Il existe des exemptions inscrites dans les politiques pour certains types d'attaques. En 2019, Zurich a d'abord refusé une demande d'indemnisation de 100 millions de dollars de l'entreprise alimentaire Mondelez, découlant de l'attaque NotPetya, au motif que la police excluait une "action guerrière". Les deux parties ont ensuite conclu un accord.

En septembre, Lloyd's of London a défendu une démarche visant à limiter le risque systémique des cyberattaques en demandant que les polices d'assurance souscrites sur le marché comportent une exemption pour les attaques soutenues par des États. Un haut dirigeant de Lloyd's avait déclaré que cette initiative était "responsable" et préférable au fait d'attendre "que tout aille mal". Mais la difficulté d'identifier les auteurs d'attaques et leurs affiliations rend ces exemptions juridiquement délicates, et les experts en cybersécurité ont prévenu que la hausse des prix et l'augmentation des exceptions pourraient dissuader les gens d'acheter une protection.

Le gouvernement américain a demandé des avis sur l'opportunité d'une assurance fédérale pour la cybercriminalité, qui pourrait faire partie ou non de son programme d'assurance public-privé actuel pour les actes de terrorisme. L'US Government Accountability Office a souligné en juin que les cyberattaques pouvaient se propager à d'autres entreprises liées. Selon le bureau, des exemples tels que le piratage de Colonial Pipeline, qui a provoqué des pénuries d'essence temporaires dans le sud-est des États-Unis, démontrent "qu'une seule cyberattaque peut se répercuter sur des infrastructures critiques et avoir des conséquences catastrophiques".

Comme le cabinet d'analyses de données économiques PYMNTS l'a écrit plus tôt cette année, des incidents tels que l'attaque par ransomware de Colonial Pipeline ont montré les vulnérabilités qui existent au sein du système. « Plus vous pouvez prendre les devants pour atténuer les risques de manière proactive, plus vous pouvez peut-être ne pas toujours prévenir ces incidents, mais les empêcher d'avoir un gros impact matériel », a déclaré Chris Finan, directeur d'exploitation de la société de cybersécurité ActZero, à PYMNTS peu après l'attaque. « Presque tout le monde est aux prises avec ce problème », a-t-il ajouté.

Les recherches de PYMNTS ont révélé que 85 % des organisations de soins de santé ont déclaré avoir vu un nombre croissant de risques de cyberattaques au cours de l'année dernière, et 58 % des professionnels de l'informatique ont déclaré que leurs organisations étaient la cible d'attaques par ransomware. Les pirates sont attirés par les soins de santé virtuels, car ils leur offrent une mine de données vulnérables, les services se déroulant souvent sur le smartphone ou l'ordinateur portable du patient. Ces dernières années, en dehors des soins des hôpitaux, les institutions financières sont également devenues une cible privilégiée des pirates.

Dans son dernier rapport sur tendances financières, le Financial Crimes Enforcement Network (FinCEN), un bureau du département du Trésor des États-Unis, le nombre d'attaques par ransomware signalées par les institutions financières en 2021 a doublé par rapport à 2020. Ce nombre a bondi de 108 %, passant de 602 en 2020 à 1 251 en 2021. Les montants en dollars impliqués dans ces incidents ont grimpé de 68 %, passant de 527 millions de dollars en 2020 à 886 millions de dollars en 2021. Greco a également salué les mesures prises par le gouvernement américain pour décourager le paiement de rançons.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des propos du PDG de Zurich Insurance Group ?
Selon vous, les cyberattaques risquent-elles de devenir "inassurables" ?
Si oui, qu'est-ce que cela signifierait pour les entreprises ? Quels en seraient les impacts ?

Voir aussi

78 % des professionnels de la sécurité s'attendent à une augmentation de la charge de travail en 2023, en raison des exigences réglementaires en matière de sécurité et de confidentialité

Cisco prédit une nouvelle vague de problèmes liés à Excel, les fichiers XLL des feuilles de calcul ajouteraient des fonctionnalités personnalisées, y compris des logiciels malveillants

Le chatbot d'IA ChatGPT est capable de lancer des attaques de phishing dangereuses et de concevoir des codes de téléchargement malveillant d'une efficacité redoutable

89 % des entreprises ont été victimes d'attaques basées sur l'identité en 2022, 68 % ont subi des attaques par hameçonnage et 38 % des vols d'informations d'identification, selon One Identity

[Anselme45]

Qu'y a-t-il d'étonnant dans cette annonce?

Il va d'un casino ou de la loterie nationale comme des assurances, contrairement à ce que croit le "bon peuple", leur but n'est pas de vous faire gagner de l'argent mais d'en gagner sur votre dos!

Du moment que le nombre de cyberattaques devient incontrôlable et que les coûts engendrés deviennent stratosphériques, les assurances vont continuer à assurer les cyberattaques (pour ce faire du fric) mais multiplier les petites lignes dans leur contrats (vous savez celles que vous ne lisez jamais) pour faire en sorte que le jour où vous les solliciterez suite à une cyberattaque, les assurances puissent fièrement vous annoncer que "tous les cas de cyberattaques sont couvertes par votre assurance sauf votre cas précis à cause du paragraphe X alinéa Y qui stipule la condition Z...)

Il serait temps que les états prennent les choses en main et collaborent au niveau international pour mettre fin à cette piraterie des temps modernes. L'exemple de la piraterie maritime est un excellent exemple: Tant que les pays n'agissaient pas contre les pirates, quand ce n'était pas en participant à son organisation (on parlait alors de "corsaire" comme par exemple le français Surcouf), la marine commerciale était fortement entravée. Quand les puissances de l'époque, Espagne, Royaume-Uni ou France ont décidé d'arrêter ce petit jeu, la piraterie à tout simplement disparu de nos contrées et les pirates ont fini pendus ou dans les livres d'histoire.

[HaryRoseAndMac]

Qu'y a-t-il d'étonnant dans cette annonce?

Il va d'un casino ou de la loterie nationale comme des assurances, contrairement à ce que croit le "bon peuple", leur but n'est pas de vous faire gagner de l'argent mais d'en gagner sur votre dos!

Du moment que le nombre de cyberattaques devient incontrôlable et que les coûts engendrés deviennent stratosphériques, les assurances vont continuer à assurer les cyberattaques (pour ce faire du fric) mais multiplier les petites lignes dans leur contrats (vous savez celles que vous ne lisez jamais) pour faire en sorte que le jour où vous les solliciterez suite à une cyberattaque, les assurances puissent fièrement vous annoncer que "tous les cas de cyberattaques sont couvertes par votre assurance sauf votre cas précis à cause du paragraphe X alinéa Y qui stipule la condition Z...)

Il serait temps que les états prennent les choses en main et collaborent au niveau international pour mettre fin à cette piraterie des temps modernes. L'exemple de la piraterie maritime est un excellent exemple: Tant que les pays n'agissaient pas contre les pirates, quand ce n'était pas en participant à son organisation (on parlait alors de "corsaire" comme par exemple le français Surcouf), la marine commerciale était fortement entravée. Quand les puissances de l'époque, Espagne, Royaume-Uni ou France ont décidé d'arrêter ce petit jeu, la piraterie à tout simplement disparu de nos contrées et les pirates ont fini pendus ou dans les livres d'histoire.

Les assurances dans ce domaine sont les mêmes que les autres : s'assurer que tu paies tout les mois mais le jour ou tu as un problème tout faire pour ne pas débourser un centime.

Autant avoir un expert en sécurité dans sa boite plutôt que leurs assurances à la con.

[fredinkan]

Autant avoir un expert en sécurité dans sa boite plutôt que leurs assurances à la con.

Même avec un expert, le risque 0 n'existe pas. L'humain est faillible, et même si tu forces tes employés à suivre toutes les formations de sécurité possible, il y en aura toujours un qui fera une erreur.
La question est surtout de savoir si le si veux assurer ton risque, prendre des mesures pour réduire ce risque (le fait d'avoir un expert en sécurité), ou si tu tente ta chance sans filet.

Au final je suis assez d'accord avec Anselme45, mais cela va certainement requérir d'autres actions que de juste une "collaboration entre états", étant donné que les états eux-mêmes utilisent ce genre d'outils: Pour revenir à l'analogie de la marine, certains de ces pirates sont devenus des corsaires et c'est certainement ça qui se produira ...

[smarties]

Je suis d'accord avec Anselme45, les assurances mettent des clauses pour éviter de payer au maximum. Je l'ai vu avec un festival qui s'était assuré contre les pandémies (2 ans avant le COVID) et quand le COVID est arrivé, il y avait une ligne qui excluait ce cas.

Pour se protéger contre les cyber-attaques le risque zéro n'existe pas mais il y a des éléments faciles à mettre en place :
- mettre un maximum d'utilisateurs sous Linux, les former et assurer un support
- garder les postes à jour
- faire des sauvegardes (y compris hors ligne)
- respecter les bonnes pratiques de programmation et faire de la veille technologique
- faire appel à des boites spécialiser pour auditer son SI et les services
- ...

Il vaut mieux limiter les dégâts d'une attaque que de tout perdre et de ne pas être indemniser.

[HaryRoseAndMac]

Même avec un expert, le risque 0 n'existe pas. L'humain est faillible, et même si tu forces tes employés à suivre toutes les formations de sécurité possible, il y en aura toujours un qui fera une erreur.
La question est surtout de savoir si le si veux assurer ton risque, prendre des mesures pour réduire ce risque (le fait d'avoir un expert en sécurité), ou si tu tente ta chance sans filet.

Au final je suis assez d'accord avec Anselme45, mais cela va certainement requérir d'autres actions que de juste une "collaboration entre états", étant donné que les états eux-mêmes utilisent ce genre d'outils: Pour revenir à l'analogie de la marine, certains de ces pirates sont devenus des corsaires et c'est certainement ça qui se produira ...

Tu soulèves un point pertinent et je ne dis pas le contraire.
Je reproche le fonctionnement des assurances, qui ont des sources de revenues assurées toute l'année grâce à nous et le jour ou il y a un problème, quelle que soit l'assurance, trouve toujours un moyen pour ne pas débourser, alors que ça ne devrait pas être une option de leur part.

Une assurance c'est notre argent épargné que l'on confie à des experts pour qu'elles nous le restitue le jour ou il y a un problème et en profitent pour se payer, payer ses salariés, ... et donc faire vivre son business model, mais pas au détriment de nous, je suis d'accord de participer à son business vu que je fais appel à ses services à travers mes cotisations mensuelles, mais ça doit s'arrêter là, mon argent doit me revenir le jour ou il y un soucis ou, si j'en ai pour plus cher que ce que j'ai dépensé jusqu'à présent, dans ce cas, ce n'est pas mon problème, c'est son business qui repose dessus, pas moi et ce n'est pas à moi d'en payer les conséquences de ce genre de situation.

Donc toutes les arnaques qui consistes à faire grimper les mensualités si trop d'assurés ont des problèmes et j'en passe, moi, j'appel ça des scandales d'états.

Sinon honnêtement, oui, je préfère me passer d'une assurance et le jour ou il y un problème, mettre cet argent de coté que j'aurais mis dans une assurance pour régler ce problème, au moins je suis sur que dans la très grande majorité des cas, ça me reviendra à moins cher.

[marsupial]

D'autant qu'un expert en cybersécurité ça coûte cher, on ne le trouve pas à pôle emploi et ça se débauche vite. Trouver un contrat avec une boîte spécialisée est peut-être plus simple.

Le salaire d'un expert en cybersécurité dépend de plusieurs facteurs, tels que son niveau d'expérience, ses compétences et son domaine d'expertise. En général, les experts en cybersécurité bénéficient d'un salaire élevé en raison de la demande élevée pour leurs compétences et de la nature critique de leur travail pour protéger les systèmes et les données des entreprises et des organisations.

Selon les données de Glassdoor, le salaire médian pour un expert en cybersécurité aux États-Unis est de 113 754 $ par an. Cependant, ce montant peut varier en fonction de la région, de l'industrie et de l'expérience de l'expert. Par exemple, un expert en cybersécurité avec de nombreuses années d'expérience dans une grande entreprise peut gagner beaucoup plus qu'un débutant dans une petite entreprise.

Il est également important de noter que les experts en cybersécurité peuvent bénéficier de bonus, d'avantages en nature et d'autres avantages qui peuvent augmenter leur salaire total.
Selon les données du site de recherche d'emploi Indeed, le salaire médian d'un expert en cybersécurité en France est de 58 300 € par an. Cependant, comme mentionné précédemment, ce montant peut varier en fonction de plusieurs facteurs, tels que l'expérience, les compétences et le domaine d'expertise de l'expert. Par exemple, un expert en cybersécurité avec de nombreuses années d'expérience dans une grande entreprise peut gagner beaucoup plus qu'un débutant dans une petite entreprise.

[HaryRoseAndMac]

D'autant qu'un expert en cybersécurité ça coûte cher, on ne le trouve pas à pôle emploi et ça se débauche vite. Trouver un contrat avec une boîte spécialisée est peut-être plus simple.

ça dépend,
si c'est un expert coté réseau (devops, ...) ça coute moins cher qu'un développeur "lambda".
Si c'est un expert développeur en cybersécurité là oui, ça monte très vite.

[fredinkan]

ça dépend,
si c'est un expert coté réseau (devops, ...) ça coute moins cher qu'un développeur "lambda".
Si c'est un expert développeur en cybersécurité là oui, ça monte très vite.

Et tu auras toujours la boite qui te vendras un devops avec quelques bases de sécurité pour un développeur spécialisé en sécurité...

[selmanjo]

Ça prend beaucoup plus d'ampleur, donc il faut agir sur toutes échelles.
Le coût sera bien évidemment important.

[edgarjacobs]

Pour y avoir travaillé, dites-vous bien que les assurances ne vendent que du vent, le rapport rembousement / rentrée d'argent et largement en leur faveur.

[sg539]

Contrer totalement le monde de la cybermenace menace fantôme. Il faut renforcer la cybersurveilkance et attaquer tous les hackers du darkweb ou non. La place des hackers est en prison. L esprit mal sain existe vraiment histoire tout simplement de voler des données personnelles et de l.argent aux gens honnêtes.

[TotoParis]

Qu'y a-t-il d'étonnant dans cette annonce?

Il va d'un casino ou de la loterie nationale comme des assurances, contrairement à ce que croit le "bon peuple", leur but n'est pas de vous faire gagner de l'argent mais d'en gagner sur votre dos!

Du moment que le nombre de cyberattaques devient incontrôlable et que les coûts engendrés deviennent stratosphériques, les assurances vont continuer à assurer les cyberattaques (pour ce faire du fric) mais multiplier les petites lignes dans leur contrats (vous savez celles que vous ne lisez jamais) pour faire en sorte que le jour où vous les solliciterez suite à une cyberattaque, les assurances puissent fièrement vous annoncer que "tous les cas de cyberattaques sont couvertes par votre assurance sauf votre cas précis à cause du paragraphe X alinéa Y qui stipule la condition Z...)

Il serait temps que les états prennent les choses en main et collaborent au niveau international pour mettre fin à cette piraterie des temps modernes. L'exemple de la piraterie maritime est un excellent exemple: Tant que les pays n'agissaient pas contre les pirates, quand ce n'était pas en participant à son organisation (on parlait alors de "corsaire" comme par exemple le français Surcouf), la marine commerciale était fortement entravée. Quand les puissances de l'époque, Espagne, Royaume-Uni ou France ont décidé d'arrêter ce petit jeu, la piraterie à tout simplement disparu de nos contrées et les pirates ont fini pendus ou dans les livres d'histoire.

On n'assure pas un risque qui devient certain.

[CoderInTheDark]

C'est l'avis d'un grand penseur francophile

Al Bundy :
"Insurance is like marriage. You pay and pay but you never get anything back "