Faites-vous pirater et votre entreprise de cybersécurité pourrait payer

Les hackers gagnent, donc le marché de l'assurance cybersécurité est en plein essor. Aujourd'hui, les entreprises acceptent qu'elles sont susceptibles d'être piratées, quel que soit le montant qu'elles dépensent en défense, et elles ont commencé à chercher quelqu'un pour partager les coûts. La tarification du risque est cependant difficile (voir Insurers Scramble to Put a Price on a Cyber ​​Catastrophe ). Et cela a créé une nouvelle opportunité pour les entreprises de sécurité suffisamment confiantes pour garantir leurs produits.





Les entreprises dépenseront 7,5 milliards de dollars en assurance cybersécurité en 2020 (contre environ 2,5 milliards de dollars en 2015), selon un projection récente par PricewaterhouseCoopers. Le marché en plein essor reflète à quel point la cybercriminalité est devenue courante et le fait que les entreprises de cybersécurité ne sont pas financièrement responsables en cas de problème.

Jérémie Grossman , chef de la stratégie de sécurité chez SentinelOne, qui vend des systèmes antimalware, dit que cela devrait changer. Pour aligner ses intérêts financiers sur ceux de ses clients, SentinelOne propose une garantie cela met l'entreprise sur le crochet jusqu'à 1 000 000 $ si le client est victime d'une attaque de ransomware, dans laquelle les pirates informatiques s'introduisent et cryptent les données avant d'exiger une rançon pour les déverrouiller. D'autres startups de cybersécurité, ainsi que de grands acteurs comme Symantec et McAfee, promettent désormais de la même manière de payer si leur produit ou service tombe en panne.

Grossman affirme que son programme de garantie de 10 mois a déjà donné à son entreprise une longueur d'avance sur ses concurrents.



Il est trop tôt pour dire si les garanties de cybersécurité seront autre chose que des stratagèmes de marketing, déclare Steve Durbin, directeur général de la Forum sur la sécurité de l'information , une organisation à but non lucratif qui élabore des recommandations sur la meilleure façon de gérer les risques liés à la sécurité des informations. Mais certains fournisseurs ont recueilli des informations précieuses en surveillant les performances de leurs produits au fil des ans, ce qui les place potentiellement dans une position de force pour combler une petite lacune sur le marché de l'assurance, dit-il.

Dans l'évaluation de ces risques, les entreprises de cybersécurité ont un avantage sur les compagnies d'assurance traditionnelles, car elles disposent de données cruciales qui ne peuvent provenir que de l'analyse d'événements réels comme les violations de données qu'elles ont elles-mêmes subies. Les assureurs traditionnels, en revanche, commencent tout juste à évaluer tous les risques liés aux activités commerciales dans le cyberespace.

Cela aide à expliquer pourquoi les assureurs, dont AIG , soutiennent ces nouveaux programmes de garantie. (AIG a refusé de commenter cette histoire.)



La société de Grossman dispose de ses propres données sur le risque que son système rate une attaque de ransomware. Ces chiffres ont aidé à convaincre un assureur responsabilité civile établi (dans le cadre de l'arrangement, SentinelOne ne révèle pas publiquement le nom de cette société) de soutenir sa garantie.

Bon nombre des violations de données que nous avons constatées auraient pu être évitées si les entreprises avaient correctement corrigé leurs systèmes. Par exemple, l'attaque du rançongiciel WannaCry qui a débuté en mai tire parti des anciens systèmes d'exploitation Microsoft non corrigés. Les entreprises qui s'inscrivent à ces programmes ne recevront un paiement que si elles suivent les bonnes pratiques de sécurité.

Conseil AsTech , dont le service consiste à analyser le code source d'une entreprise pour identifier les vulnérabilités, travailler avec l'entreprise pour les corriger et former les employés à ne pas les réintroduire, a récemment commencé à offrir un garantie que les clients qui suivent le processus et subissent toujours une violation seront indemnisés jusqu'à 1 000 000 $.



Si le risque d'une entreprise diminue de manière mesurable, un résultat qu'AsTech a démontré que son processus a atteint au cours des 20 dernières années, cela attirera les compagnies d'assurance car elles connaîtront et géreront mieux leur risque, déclare le PDG Greg Reber. C'est un très bon marché.

cacher