Les cyberassurances couvrent les pertes et les dépenses associées aux violations de données, notifications d’incident, responsabilités des tiers, pertes d’exploitation, cyberextorsions, dommages liés à l’atteinte à la réputation, etc.

Face à la hausse des réclamations liées aux cyberrisques et les versements d’indemnité ces dernières années, nous avons souhaité en savoir plus sur les cyberassurances en invitant Othmann Layati à passer au micro de notre podcast INTRASEC, la chaîne cybersécurité d’In Fidem.

Responsable des cyberrisques pour la compagnie d’assurances Beazley, Othmann a participé à la dernière table ronde animée par Matthieu Chouinard, Fondateur de In Fidem et Head of Big Data et Cybersécurité Atos Canada, lors de la Conférence Forensik 2020.

Aux côtés de Laure Bonnave, avocate spécialisée dans la protection des données personnelles, et de Jean-Simon Gervais, expert en réponse aux incidents et enquêtes numériques, Othmann s’était prêté à un exercice de simulation d’attaque d’un fournisseur de services gérés TI.

Durant ce 7ème épisode de la saison 2 de INTRASEC, nous avons échangé sur :

  • les idées reçues relatives aux cyberassurances;
  • les bonnes pratiques à adopter en cas d’incident;
  • et le rôle important que jouent les cyberassurances en cas de cyberattaque.

Découvrez notre entretien avec Othamann Layati.

C’est quoi exactement un responsable d’affaires cyber et lignes financières? 

Mon métier c’est d’aider les entreprises victimes d’une cyberattaque à répondre le plus rapidement et le plus efficacement possible pour qu’elles retrouvent leur situation avant l’incident.

D’où ta participation à la table ronde sur « comment répondre à une cyberattaque si notre fournisseur de services géré TI a été affecté. »

Exactement c’est pour cela. Le thème abordé est extrêmement intéressant parce que c’est un sujet d’actualité. C’est-à-dire que de plus en plus, on voit des incidents qui affectent les fournisseurs de services. Plusieurs raisons d’ailleurs expliquent cette tendance. Je pense que la première est que les pirates informatiques savent très bien qu’en visant les fournisseurs de services, ils vont pouvoir affecter de manière exponentielle les clients de ces fournisseurs de services. Donc j’ai participé à cette table ronde, pour donner la perspective de l’assureur et aussi pour démonter certaines idées reçues sur l’assurance en général et la cyberassurance en particulier.

Donc même si je m’assure, mes partenaires peuvent aussi être affectés. Peux-tu nous nous en dire plus?

En fait, je corrigerais ta proposition : « je m’assure et je m’assure que mes partenaires sont aussi assurés.

C’est plus dans cette optique, parce qu’évidemment la première chose à faire, c’est de s’assurer soi-même en tant qu’organisation et de vérifier qu’on a une couverture cyber qui est adaptée aux risques. Pourtant, quand on fait affaire avec des fournisseurs de services, on doit aussi s’assurer qu’eux-mêmes ont une couverture cyber. Et en même temps,  on doit aussi s’assurer que les risques de nos fournisseurs sont aussi prévus par notre police d’assurance.

Et c’est quoi les éléments que tu voulais démonter en lien avec les problèmes de perception par rapport aux polices cyber? 

Il y en a plusieurs! Je pense que la première, c’est un peu de manière générale quand on parle de l’assurance, c’est l’idée selon laquelle les assureurs font tout pour ne pas payer les réclamations et font tout pour nier la réclamation et finalement ne pas payer.

Je pense que c’est une idée reçue parce qu’on a aucun intérêt à nier des réclamations lorsqu’elles sont couvertes. Au contraire, ce qu’on veut c’est un assuré satisfait.

L’autre idée préconçue, c’est le fait que les assureurs ne suivent pas les tendances et que les couvertures ne sont pas adaptées aux nouveaux risques. Je pense que c’est faux aussi. On est très réactif de manière générale dans le marché avec nos polices. Très régulièrement, on a des améliorations de nos polices afin de répondre aux nouvelles tendances et notamment sur la hausse des incidents qui affectent les fournisseurs de service.

On a pu adapter par exemple notre clause sur l’interruption des affaires lorsque l’incident vise le fournisseur de services. Donc c’est par ce biais qu’on a pu s’adapter à ces nouveaux risques qui sont récents et qui évoluent très rapidement.

On cherche à ce que l’assuré résolve son incident dans les meilleures conditions possibles. C’est vraiment ça notre but.

D’ailleurs, durant la table ronde, tu as fait des analogies avec des « incidents physiques ». Tu as dit qu’on pouvait transposer certaines logiques d’assurance d’un univers à l’autre. Par exemple dans le cas de demande de rançon, il y avait déjà des politiques de rançon pour les exécutifs qui allaient se rendre dans des pays dangereux, et donc vous savez comment vous attaquer à ces problématiques. 

C’est exactement ça. Je pense que l’assurance cyber n’a rien inventé. Elle a simplement adapté des concepts existants, à la réalité cyber. L’extorsion, c’est un très bon exemple. Ça existe malheureusement depuis la nuit des temps et on a simplement dû adapter cette couverture à la réalité cyber.

Par exemple, comment on paye une demande de rançon? Dans le monde physique c’est très facile, on verse une somme d’argent, mais dans le monde cyber, comment fait-on? Comment est-ce qu’on s’assure qu’en contrepartie du paiement de la rançon, on va recevoir la clé de cryptage de nos données ou bien on va recevoir l’assurance des pirates que nos données ne vont pas être divulguées?

Donc c’est toutes ces nouvelles réalités auxquelles on a dû s’adapter, mais fondamentalement on n’a rien inventé. C’est la même chose pour l’interruption des affaires. L’interruption des affaires dans le passé : vous avez une compagnie et pour une raison X ou y, vous ne pouvez plus exercer vos activités. Vous aviez une couverture pour l’interruption des affaires; c’est la même chose pour le monde cyber.

On a des assurances pour les édifices mais comment savoir si on a des assurances qui couvrent les cyberrisques? Quelles sont les premières étapes qu’un gestionnaire devrait entreprendre? 

Tout le monde est concerné par la cyberassurance, surtout dans le monde dans lequel on vit aujourd’hui. Je le vois dans les réclamations que je traite. Cela va du producteur de volaille dans le Manitoba à la grande multinationale. Tout le monde opère en ligne, tout le monde utilise des services informatiques… Donc potentiellement, tout le monde est à risque. C’est un peu ça la spécificité à mon sens de la cyberassurance, c’est que c’est très très très large.

Et donc pour répondre à ta question, je pense que la première étape, c’est de contacter son courtier et de s’assurer qu’on a une assurance cyber disponible.

Comment fait-on pour évaluer et comparer les types de couverture? Si on fait le parallèle avec des assurances qui couvrent des biens physiques, comme par exemple une maison, je vais regarder différentes catégories. Par exemple, ce qu’il se passe en cas de feu, si j’ai des dégâts d’eaux, etc. Dans le cas de la cyber assurance, quels sont les grands cas de figure? Si on bloque mon réseau? Si on me vole des données?  Si on me vole des secrets professionnels? Quels sont les cas auxquels il faut faire attention? 

C’est une bonne question. Pour ça, il faut analyser le risque. Ça veut dire qu’on va s’interroger sur la nature des données qu’on traite et qu’on stocke. Est-ce que ce sont des données personnelles? Des données médicales? C’est ce qu’on appelle des données sensibles.

On va aussi regarder le volume de données que l’on traite sur le système informatique et les mesures de protection mises en place.

C’est le travail du souscripteur – avec le concours du courtier – d’évaluer. Il existe en général un service qui va permettre d’aider les assurés à améliorer leur plan de réponse aux incidents cyber.

Donc on essaie au maximum de prévoir le risque et c’est dans cette phase-là qu’on va faire cet effort en fonction des éléments qu’on a reçus.

J’ai l’impression que beaucoup d’entreprises semblent avoir des difficultés avec la lourdeur des mesures de sécurité. Par exemple, mettre en place l’authentification multifacteurs, avoir une équipe de Red team, de Blue team,.. Comment faites-vous pour faire prendre conscience que ces mesures sont nécessaires et que cela impacte l’évaluation?

On fait des exercices de table top. Ce sont des exercices de simulation d’incident. Je pense que c’est la meilleure manière de leur faire prendre conscience de leurs failles et notamment sur leur plan de réponse aux incidents.

On a un but commun avec les organisations. C’est de prévoir au maximum et d’éviter si possible les risques. On travaille ensemble tout au long du processus, que ce soit de la négociation de la police jusqu’à la résolution de la réclamation.

De mon expérience, je n’ai pas vu d’assuré qui rechignait à peut-être améliorer ses systèmes de gestion ou de protection s’il y a lieu, parce que tout simplement, il n’en a pas envie.

Je ne pense pas qu’il y ait d’obstacles pour que l’assureur et l’assuré travaillent ensemble pour minimiser les risques avant même la prise d’assurance.

C’est intéressant parce qu’un expert en réponse aux incidents a fait une présentation sur l’importance de mettre en place des playbooks de réponses aux incidents lors de la Conférence Forensik. Une des premières étapes, après avoir arrêté les systèmes, c’est de contacter son assureur, puis l’avocat et les experts techniques. Même si l’ordre des étapes n’est pas strict, appeler son assurance semblait quand même être en haut de la liste.

En fait, je peux te dire qu’on peut faire encore mieux parce qu’une fois que tu appelles ton assureur, il va pouvoir s’occuper de retenir des experts informatiques ou des avocats.

Donc à partir du moment où la réclamation est rapportée, on s’occupe de tout. On va réagir extrêmement rapidement, en l’espace de quelques heures.

On aura les meilleurs experts sur le marché qui vont commencer à essayer de résoudre l’incident, que ce soit du côté technique que du côté légal pour savoir s’il y a des besoins de notification.

On a aussi d’autres services. Par exemple : des firmes de relations publiques qui sont utiles lorsqu’il faut communiquer sur un incident rendu public.

L’assureur peut offrir tous ces services-là, mais je pense que ce qui est important à retenir, c’est de contacter immédiatement son assureur ou son courtier. Le plus tôt on est au courant, le mieux on va pouvoir le gérer. Je ne rentrerai pas dans des problèmes de couverture, mais c’est toujours mieux si tu peux signaler au plus tôt et c’est généralement précisé dans les polices : « faire l’effort de rapporter l’incident au plus tôt ».

Et là encore je pense que qu’il y a une idée reçue sur le fait de signaler un incident. Certains assurés vont être hésitants à rapporter parce qu’ils vont penser que cela va impacter leurs primes de renouvellement, etc.

Donc je pense qu’il ne faut jamais hésiter à rapporter ou à demander conseil à son assureur le plus tôt possible.

Qu’on soit victime d’un un rançongiciel ou d’une brèche de données, ce n’est pas juste un problème technique. C’est aussi un problème qui touche le volet juridique qui va avoir un impact dans les relations avec les clients. Les responsables de communication et des relations publiques sont aussi parties prenantes en cas d’incident auxquelles il faut penser.

Je dirais même que les problèmes techniques, dans le cas des rançongiciels, sont quasiment à la marge parce qu’une fois qu’on a payé la rançon, on va recevoir la clé pour récupérer nos données.

Mais l’incident ne s’arrête pas là. Ensuite, il y a les problématiques de notification et puis potentiellement, cet incident peut donner naissance à une réclamation si les clients dans les données ont été divulguées intentent des actions.

Puis on a aussi le risque d’atteinte à la réputation de l’entreprise et c’est pour ça que les firmes de relations publiques vont être utiles.

Selon l’ampleur de l’incident, les notifications peuvent être très compliquées à gérer. Si vous avez plusieurs dizaines ou centaines de milliers d’individus à prévenir, il va falloir mettre un système en place et ça, on peut aider avec des firmes spécialisées.

Et enfin, il y a toutes les problématiques du « credit monitoring ». Autrement dit, pendant un certain temps, on peut vérifier le crédit des individus affectés.

Donc ça dépasse largement le cadre purement technique, en tout cas dans le cas des rançongiciels, c’est certain.

Est-ce que c’est exactement la même chose lorsque ce sont nos serveurs versus ceux des services gérés? Comment est-ce qu’on gère un peu cette relation-là quand ce sont les partenaires, à qui on a fait confiance, qui se sont fait attaquer à notre place? 

Disons que de fait, on a moins le contrôle sur la gestion de l’incident lorsque ce sont nos fournisseurs qui sont attaqués, mais ce n’est pas pour autant qu’on a moins d’obligations, notamment en termes de notification.

C’est le fournisseur de services qui pourra gérer l’incident d’un point de vue technique avec son assureur. Mais ce n’est pas pour autant que nous, on sera couvert de tout risque.

C’est le cas pour les risques liés aux notifications et liés aux potentielles réclamations de nos propres clients qui ont vu leurs données divulguées. Même si la raison première c’est l’attaque d’un fournisseur tiers, on n’est pas sauvé d’affaires.

Ceci étant dit, ça se passe généralement très bien parce que, encore une, tout le monde a un intérêt commun, c’est-à-dire de résoudre l’incident de la meilleure façon possible.

La seule difficulté que je vois c’est effectivement l’absence de contrôle direct sur l’incident. Mais on arrive très facilement à surmonter cette difficulté avec justement nos experts et je pense à nos avocats qui ont cette expérience et qui communiquent très facilement avec les fournisseurs de services affectés pour obtenir les informations nécessaires à leur propre consultation pour savoir s’il y a une notification au pas.

Bref, ça se passe généralement très bien.

Et une fois que l’incident est réglé, que se passe-t-il généralement? 

Ça dépend des situations. Il y a des incidents ou des réclamations qui se règlent plus rapidement que la moyenne par rapport à d’autres réclamations dans d’autres lignes d’assurance.

Ensuite, on apprend de ces leçons. Par exemple, les instructions frauduleuses (appelées aussi les fraudes aux Président) où typiquement on a des pirates informatiques qui vont contacter le comptable de la compagnie, en se faisant passer pour le CEO, et demander de verser une certaine somme d’argent sur un compte à l’étranger sous prétexte d’une transaction secrète que personne ne doit savoir dans l’entreprise.

Ça se voit, ça s’est vu, mais c’est une leçon qui est assez facile à tirer parce qu’ensuite on peut mettre en place des systèmes de contrôle qui sont aussi simples que lorsqu’on reçoit un courriel de ce type. On peut facilement vérifier la véracité de la demande et des informations en passant un coup de téléphone.

Je pense que ces incidents font grandir tout le monde – aussi bien les assurés que nous-mêmes – puisqu’on apprend, et c’est un domaine en constante évolution.

C’est d’ailleurs cela qui est passionnant avec la cyberassurance.

Tu disais que l’attaque des fournisseurs de services gérés était d’actualité et en hausse. Quelles sont tes prédictions ou alors comment aimerais-tu que les personnes agissent pour se protéger des cyberrisques?

Anticiper les choses, c’est très compliqué…

Mais je peux te dire qu’en 2020 malheureusement, on a vu une explosion du nombre de cas de rançongiciels. Les experts disent que c’est principalement lié à la COVID où les gens travaillent de chez eux, où il y a moins contacts humains entre les membres d’une compagnie, ce qui rend ces attaques plus faciles.

On a aussi constaté une évolution du type d’attaques, où les montants des rançons sont de plus en plus conséquents et où les menaces ont changé.

Classiquement, les pirates allaient demander le paiement d’une rançon contre la clé de décryptage. Mais de plus en plus fréquemment on voit des pirates qui menacent aussi de divulguer les données sur le Dark web, ou même parfois sur des plateformes comme Twitter, ou bien d’aller voir des journalistes pour divulguer des données et des informations confidentielles.

Le risque a vraiment évolué. Je ne suis pas sûr que ça se calme, mais je suis malgré tout très confiant car je sais que tout le monde travaille beaucoup – que ça soit les assureurs ou les assurés – mais aussi les forces de sécurité partout dans le monde qui traquent ces acteurs malveillants.

Et donc ce que je souhaiterais, c’est peut-être beaucoup plus de vigilance, et ça s’applique à tout le monde. Moi-même, tous les jours, à chaque fois que je reçois un courriel ou une pièce jointe, je l’envoie à mon service informatique pour vérifier que tout est correct.

Je pense que, sans tomber dans la paranoïa, c’est quelque chose que tout le monde peut faire au quotidien et qui potentiellement, peut réduire ces risques-là.

Retrouvez l’intégralité de son entrevue en français sur Ausha, Apple Podcasts, Google Podcasts, Spotify, Podcast Addict.

Si vous souhaitez un accompagnement dans la préparation en cas de cyberincident, contactez-nous ! Nous disposons d’experts pour vous aider à être prêts en cas de cyberattaque et collaborons également avec des cyberassurances qui pourront vous proposer une couverture adaptée à vos besoins.