- Les discussions sur la cybersécurité se sont concentrées sur les modes d’attaque et les informations manquantes sur les personnes concernées et sur la manière dont elles peuvent être protégées.
- Les assureurs et les régulateurs de la cybersécurité peuvent travailler ensemble pour recentrer les évaluations des risques afin de refléter les contrôles préventifs alignés sur les menaces émergentes plutôt qu’un instantané statique.
- Les organisations doivent adopter une approche proactive pour protéger les données des consommateurs ainsi que la sécurité de leur entreprise, ce qui améliorera leur marque et leurs résultats.
Les discussions autour de la cybersécurité ont tendance à se concentrer sur la façon dont les violations de données se produisent, en se concentrant sur les ransomwares ou similaires. Cependant, cette fixation éclipse le risque durable créé par l’exfiltration de données pour les organisations et les individus victimes.
En 2022, 1 774 compromissions de données organisationnelles ont touché plus de 392 millions de victimes individuelles dans le monde. Ils ont compromis des informations légalement protégées identifiant les personnes accédant à divers services allant des services financiers et de santé aux services sociaux.
Les violations de données ont également un impact direct sur l’économie car leur le coût continue d’augmenter de plus de 20 % d’une année sur l’autrereprésentant 4 à 6 % du produit intérieur brut mondial.
Malgré cette augmentation, les avis de violation deviennent de plus en plus opaques et en 2022, 66% des avis publics aux États-Unis n’incluaient pas d’informations sur les victimes touchées ou les détails de l’attaque, principalement parce que les droits à la vie privée ne sont pas codifiés au niveau national. De plus, les services post-violation offerts aux consommateurs, tels que la surveillance du crédit, ne correspondent généralement pas au plan d’action post-violation recommandé pour minimiser le risque d’expositions et de violations futures.
https://cdn.jwplayer.com/players/uyWNP5Uw-ncRE1zO6.html
Réglementations exécutoires et normalisées
Aux États-Unis, les lois sur la notification des violations et la confidentialité sont définies et appliquées au niveau de l’État, ce qui crée des incohérences dans le signalement des violations. L’absence d’exigences réglementaires unifiées en matière de signalement des violations signifie que les entreprises ne sont informées des violations que si elles sont spécifiées dans le contrat du fournisseur.
Outre le patchwork d’incohérences dans le traitement des données, les informations commerciales confidentielles ne sont actuellement pas soumises à la réglementation. Les organisations qui ne stipulent pas d’exigences de signalement des violations dans le contrat sont exposées à des vulnérabilités tierces potentiellement importantes.
Le coût global moyen d’une violation de données pour les entreprises atteint 4,35 millions de dollars en 2022. Malgré le risque continu de viabilité financière des cyberincidents pour les organisations, elles sont plus incitées à protéger le cours de leurs actions, évitez donc d’inclure des clauses de déclaration pour éviter les poursuites et les atteintes à la réputation.
Étant donné que le coût des violations de données aux États-Unis est plus du double de la moyenne mondiale, 9,44 millions de dollarsil est prudent pour le secteur privé américain d’engager des organismes de réglementation pour codifier le droit à la vie privée dans la loi fédérale et créer une cohérence dans le traitement des données.
Le règlement général sur la protection des données de l’Union européenne devrait être le modèle de réglementation exécutoire. Contrairement à l’article 5 de la Federal Trade Commission Act des États-Unis, la loi complète sur la sécurité des données pour le bloc européen ne permet pas une interprétation subjective des entités individuelles. L’UE est un régulateur plus sévère – pour comparer, en 2022, il y avait 356 violations signalées par jour dans les 27 pays membres, contre sept aux États-Unis.
Alors que les États-Unis ne disposent pas d’une réglementation fédérale qui remplace les lois des États, dans l’Union européenne, une définition claire de la violation conduit à une décision conjointe entre les forces de l’ordre et l’entité violée pour décider du risque de préjudice. De plus, les lourdes amendes et pénalités pour violation des réglementations se traduisent par des divulgations et une coopération plus transparentes entre les parties prenantes concernées.
Alignement entre assureurs et régulateurs
Traditionnellement, le secteur de l’assurance a mené la charge dans l’évaluation des risques de cybersécurité d’une organisation à mesure que la cyberassurance a pris de l’ampleur. Compte tenu du paysage des menaces en évolution rapidecependant, les modèles commerciaux des assureurs ont été remis en question compte tenu de la nécessité de passer d’évaluations ponctuelles à une réévaluation continue du risque organisationnel.
L’absence de définitions cohérentes de ce qui constitue un risque ou un risque de préjudice résultant d’une violation a un impact direct sur la capacité de l’assureur à évaluer les risques de cybersécurité. Cela entrave également sa capacité à évaluer une couverture adéquate et même à analyser une réclamation lorsqu’elle est signalée. Les souscripteurs et les professionnels des sinistres luttent contre les menaces émergentes rapidement orchestrées par des acteurs menaçants en constante évolution et trouvent difficile de suivre le rythme des notations appropriées qui, par définition, ne peuvent pas être statiques.
Les régulateurs doivent travailler en étroite collaboration avec les assureurs pour améliorer en permanence les modèles d’évaluation des risques de cyberassurance afin de refléter les contrôles préventifs alignés sur les menaces émergentes.
Ils doivent travailler en collaboration pour développer un score de risque basé sur les attributs de données divulgués afin de déterminer la gravité et la fréquence des dommages et le coût que la violation a pour la société. Cela signifiera que la cyberassurance émergera dans le cadre de la stratégie de défense de la sécurité d’une organisation au lieu d’être simplement un véhicule financier pour compenser les risques et restaurer une entreprise à son fonctionnement d’origine.
Récompensez la sécurité qui protège les consommateurs
Les assureurs et les régulateurs peuvent notamment sensibiliser et réduire les violations en récompensant les organisations qui étendent les garanties à la protection des données des consommateurs ainsi qu’à la sécurité de l’entreprise. Les actions recommandées après la violation, y compris le déploiement de mesures d’authentification d’identité plus strictes, ne sont souvent pas fournies par l’organisation victime de la violation. Certaines mesures recommandées pourraient inclure ce qui suit :
- Inciter les organisations à déployer des services d’authentification multifacteur pour les clients, comme le font les institutions financières, afin de réduire la probabilité de compromission par des tiers et de violations des données des consommateurs.
- Les organisations exemplaires devraient envisager d’unir leurs forces pour créer des normes.
- Les organisations doivent être proactives et habilitées à protéger les consommateurs ; plus les consommateurs sont protégés, mieux la population est informée des menaces potentielles, ce qui améliorera leur marque et augmentera leurs revenus.
La cyber-assurance peut encore défendre ce modèle commercial en offrant des primes réduites, des services pré-infraction sans frais et une souscription continue qui se développe à mesure que les menaces et la gestion des cyber-risques évoluent. La cyber-couverture est déclenchée par la découverte d’un accès réseau non autorisé ; Pour réduire la probabilité d’un accès non autorisé, les personnes doivent mettre en œuvre les défenses à leur disposition, qu’elles soient assurées ou non.
Les polices d’assurance cyber pourraient ainsi devenir des solutions appropriées pour les organisations avant, pendant et après un événement de violation et peuvent protéger les actifs précieux des individus.
Et adopter une approche centrée sur les victimes protégera davantage les organisations et leurs clients de l’impact des violations graves.