Le 4 février 2021, New York est devenu le premier État du pays à élaborer un cadre d'assurance contre le risque cybersécurité porté par des compagnies IARD agréés. Grâce à lui, le département des services financiers (DFS) de New York a déclaré que « [de] la montée des ransomwares à la campagne de cyber-espionnage SolarWinds récemment révélée, il est clair que la cybersécurité est désormais d'une importance cruciale pour presque tous les aspects de la vie moderne - de la protection des consommateurs à la sécurité nationale ». Si ce cadre s'applique à tous les assureurs IARD qui souscrivent une assurance cybersécurité, le DFS souhaite que tous les assureurs « évaluent toujours leur exposition au risque silencieux et prennent les mesures appropriées pour réduire cette exposition ».

Notant que les réclamations d'assurance contre les ransomwares ont bondi de 180 % de 2018 à 2019 et doublé de 2019 à 2020, le DFS a conseillé aux assureurs de ne pas effectuer de paiement de rançons pour trois raisons. Tout d'abord l'Office of Foreign Assets Control (OFAC) du département du Trésor américain met en garde contre les implications pour la sécurité nationale du paiement d'une rançon, affirmant que les assureurs peuvent être responsables de la rançon versée aux entités sanctionnées. Ensuite, même si les assureurs paient une rançon, cela ne garantit pas que les victimes récupéreront leurs fichiers chiffrés ou leurs données volées. Enfin, de nombreux assureurs ne peuvent pas encore mesurer avec précision le risque de cybersécurité. Sans cette jauge, « la cyberassurance peut donc avoir pour effet pervers d'augmenter le cyber-risque, risque qui sera supporté par l'assureur ».

2,7 Md$ versés par les assurances au titre des préjudices NotPetya

À titre de comparaison, le malware NotPetya en 2017 a conduit à des préjudices évalués à 3 milliards de dollars de réclamations d'assurance, dont 2,7 milliards de dollars effectivement versés au titre de polices silencieuses sur les risques de cybersécurité, déclare le DFS. Une série de pratiques est mis en avant dans le plan d'assurance cyber porté par le DFS pour aider les compagnies d'assurance à gérer leurs risques. Ces pratiques relèvent de sept catégories : établir une stratégie formelle de risque de cyber-assurance, gérer et éliminer l'exposition au risque de cyber-assurance silencieux, évaluer le risque systémique, mesurer rigoureusement le risque assuré, éduquer les assurés et les assureurs, obtenir une expertise en cybersécurité, et demander le signalement aux forces de l'ordre.

Les principaux réassureurs tels que AIG et Zurich ont pour la plupart déjà suivi ces recommandations, a indiqué Meredith Schnur, directrice générale du cyber-courtage chez Marsh USA. « Ces conseils DFS ont assurément beaucoup de sens, mais les souscripteurs ont déjà mis en œuvre des pratiques et des procédures [similaires] pour tenter de relever le défi des ransomwares », relativise-t-elle. New York pourrait quoi qu'il en soit ouvrir la voie à d'autres États et même au gouvernement fédéral pour mettre en œuvre des cadres similaires. « Vous verrez certains États s'en inspirer et le copier à leur manière. Sur certaines de ces pratiques, vous verrez des directives fédérales. Mais New York est unique, et ce cadre est unique du point de vue des services financiers », étant donné le statut de l'État en tant que centre financier des États-Unis, avance Meredith Schnur.

SolarWinds, qui a installé des portes dérobées malveillantes potentiellement dans des milliers d'organisations, est un exemple de « risque systémique » qui pourrait causer des dommages à de nombreux assurés simultanément, submergeant potentiellement les assureurs avec des coûts énormes et peut-être insoutenables. Lors de la publication du cadre de gestion des risques, le DFS a déclaré qu'il évaluait toujours le coût de la campagne d'espionnage, mais « étant donné le nombre d'organisations touchées, les coûts totaux de remise en état sont susceptibles d'être substantiels ». L'impact de SolarWinds soulevé par le DFS montre que « les sociétés de souscription devraient gérer leurs risques, leur exposition aux événements systémiques », a déclaré Brent Rieth, chef de la practice E&O et responsable cyber chez AON. « Il est important pour eux d'y réfléchir lorsqu'ils envisagent d'exposer leur capital en offrant une assurance à un si large éventail d'assurés. »

Les cyber-risques liés à SolarWinds exclus ?

La plupart des dépenses engagées à ce jour pour effacer les dégâts causés par SolarWinds concernent la gestion des événements ou de gestion de crise. Ces coûts comprennent la recherche : « où il était, comment il est entré, où il pourrait être, où il pourrait aller, y a-t-il eu exfiltration de données, y a-t-il eu un accès à des données ? », explique Meredith Schnur. Mais il est bien trop tôt dans le processus pour avoir une idée des chiffres. Au minimum, ces entreprises vont probablement engager un avocat spécialisé dans les violations, une société de réponse aux incidents, pour les aider à mener une enquête. « Ils peuvent choisir d'informer les forces de l'ordre. Il y a des coûts associés même à ces étapes initiales », prévient Brent Rieth. « Je dis qu'il est tôt pour dire [quels pourraient être les coûts totaux], en fonction de ce qui a été découvert au cours du processus d'enquête. J'irais jusqu'à dire que nous ne connaîtrons pas le plein effet du point de vue des pertes pendant un certain temps ».

Les assureurs ont commencé à poser des questions sur SolarWinds vers le 1er janvier 2021, fait savoir Meredith Schnur, demandant aux organisations si elles étaient touchées, si elles remédiaient à des infections et si elles menaient des enquêtes. Certains souscripteurs se sont perfectionnés sur SolarWinds, y compris des sociétés allant du plus petit au plus grand souscripteur. Ils posent des questions, et « si les réponses ne sont pas satisfaisantes, il y a des exclusions sur les polices. C'est ce que nous voyons six à huit semaines après l'incident ». Ces exclusions sont très larges et indiquent que toute réclamation future liée à, ou basée sur, ou découlant de SolarWinds ne serait pas couverte par la police.

Des exclusions radicales difficiles à cerner

« Du point de vue d'un courtier, il est problématique d'avoir un libellé d'exclusion sur les polices à venir », souligne Meredith Schnur. « Si nous acceptons une exclusion, nous allons la réduire autant que possible. « Nous avons vu quelques exclusions proposées par les assureurs », explique de son côté Brent Rieth. « Je ne sais pas si nous avons mis en place de nombreuses polices ou aucune avec cette exclusion réellement ajoutée ou une exclusion similaire ajoutée. » La grande préoccupation concernant toute exclusion de type SolarWinds reste surtout le précédent qu'elle créerait. « Je pense qu'il pourrait y avoir des implications à plus long terme si le langage crée des précédents, quelque chose qui pourrait être reproduit pour le prochain événement de type SolarWinds, à quoi que cela puisse ressembler », pense Brent Rieth.

« Si cela dit quelque chose résultant de, découlant de ou lié aux vulnérabilités de SolarWinds Orion, c'est là que vous commencez à avoir des problèmes. Parce qu'il se peut que l'acteur de la menace soit l'élément de menace commun, c'est peut-être quelque chose qui n'a aucun rapport avec l'utilisation de leur logiciel. Mais comme il s'agit du même acteur menaçant utilisant une tactique similaire, par exemple des portes dérobées pour accéder à un environnement, cela pourrait être considéré comme lié. Ce sont les problèmes que nous rencontrons à chaque fois que nous introduisons des exclusions radicales qui pourraient empêcher la police d'assurance cyber de fonctionner comme l'attend l’assuré », prévient Brent Rieth.