igor - Fotolia
L’entrée en jeu des cyberassurances conduira à améliorer la sécurité
Les demandes d’indemnisation dans le cadre de cyberassurances sont appelées à croître considérablement dans les prochaines années. Ce qui poussera entreprises et développeurs à améliorer la sécurité des systèmes d’information.
La couverture assurantielle cyber est devenu, en quelques années, un important sujet du monde de la sécurité informatique, jusqu’à tenir une place centrale dans la plénière d’ouverture de l’édition 2015 de la conférence Black Hat. Et selon une récente étude, la responsabilité cyber est devenue une préoccupation clé des dirigeants.
C’est du moins ce qu’indique le sondage de 276 membres de conseils d’administration conduit par Veracode : 60 % des dirigeants d’entreprises anticipent une augmentation des poursuites d’actionnaires mettant en cause leur responsabilité dans les incidents de sécurité informatique.
De nombreuses entreprises ont déjà souscrit des couvertures assurantielles en conséquence. 91 % des sondés indiquent ainsi être couverts pour les interruptions d’activité et les incidents de restauration de données ; 54 % sont couverts pour le remboursement de certaines dépenses (amendes, coûts de notification/remédiation de brèche, extorsion, etc.) ; 52 % le sont pour la responsabilité de leurs employés et la menace interne ; et 35 % cherchent à être couverts pour la perte de données sensibles induite par des erreurs humaines ou de développement.
Enfin, la vaste majorité des sondés (90 %) estiment que les entreprises qui ne fournissent pas d’efforts raisonnables pour sécuriser leurs données devraient être tenues responsables par les organismes de régulation, et que les éditeurs de logiciels devraient être tenus responsables lorsque des vulnérabilités sont trouvées dans leurs produits.
Pour Sam King, directeur stratégie de Veracode, poursuites en justice et assurances devraient conduire à une amélioration globale des pratiques de sécurité de l’information : « de la même manière que les évolutions de l’assurance incendie ont conduit à la création de standards dans la manière dont les bâtiments sont construits et protégés, les assurances cyber vont définir une base de pratiques de référence. Et à mesure que les assureurs vont renforcer leurs exigences pour le paiement d’indemnités, les entreprises seront forcées à adopter un standard à minima de pratiques acceptables, améliorant ainsi leur posture de sécurité ».
Mair Frank, expert en sécurité de l’information, estime de son côté que, jusqu’ici, les tribunaux ont été tendres avec les entreprises victimes de brèches de sécurité, mais que cela va changer, notamment sous l’effet des amendes émises par la commission du commerce (FTC) : « plus les entreprises reçoivent d’amendes ou sont poursuivies et doivent payer, plus elles sont susceptibles de prendre des précautions avec la sécurité ».
La situation n’est guère différente du côté des développeurs et éditeurs de logiciels : « la FTC a recommandé d’intégrer sécurité et confidentialité dans la conception ». Mais pour Joe Pizzo, ingénieur chez Norse Corp., les entreprises ont aussi une responsabilité dans l’application des correctifs : « lorsqu’un éditeur diffuse un correctif, et que l’utilisateur du produit concerné attend pour l’appliquer, et s’en retrouve piraté, alors c’est sa responsabilité ».
Et pour Chris Wysopal, co-fondateur et directeur technique de Veracode, il est peu probable que la responsabilité des développeurs soit mise en cause dans le cas d’exploits inédits de type zero-day, à compter qu’un correctif soit diffusé rapidement. Pour lui, « la vulnérabilité Stagefright est un bon exemple de la complexité du problème. Qui est responsable lorsque le correctif doit parcourir une longue chaîne d’acteurs ? Est-il raisonnable qu’un opérateur attende 30, 60 jours après que Google a rendu son correctif disponible ? »
Au final, pour Wysopal, les discussions ne font que commencer et il faudra du temps pour que tout le monde s’entende sur la définition des responsabilités dans différents cas de figure. Ne serait-ce que pour savoir à partir de quel point il est raisonnable de faire état de négligence.
Adapté de l’anglais.