Le guide de la cyberassurance à l'intention des avocats: 4 conseils de base – Serveur d’impression

Ces jours-ci, il semble que tout le monde ait entendu une histoire d'horreur de la cyberassurance: un cyberévénement catastrophique suivi d'un déni rapide de la couverture d'une cyberassurance. À une époque où toutes les entreprises commencent à penser en termes de cyber-résilience, la cyber-assurance est un élément important de la préparation à la cyber-entreprise. En tant qu'avocat externe, j'ai passé beaucoup de temps à examiner les cyber-politiques. Vous trouverez ci-dessous mes principaux conseils à prendre en compte lorsque vous examinez votre couverture d’assurance cyber.

Conseil 1. Si vous ne savez pas si vous avez ou non une cyber-assurance, vous ne l'êtes probablement pas.
Pourquoi? Parce que les événements de cybersécurité constituent une exclusion commune aux polices de responsabilité générale et nécessitent leur propre police autonome. Pire encore, toutes les polices ne sont pas équivalentes et le secteur de la cyberassurance est semblable au Wild West: en raison de sa nouveauté relative, les polices ne sont pas standard. Ainsi, bien que votre politique en matière d’administrateurs et de dirigeants (D & O) puisse ressembler à celle de la compagnie d’assurance au bout du compte, il en va probablement de même pour la cyber-couverture. Il est donc important d’examiner attentivement vos options de cyber-assurance et de ne pas vous limiter à ce que les courtiers d’assurances vendent comme couverture de primes.

Conseil 2. Lisez la police réelle, pas seulement le récapitulatif de la couverture.
La couverture de la cyberassurance peut varier considérablement d’un fournisseur d’assurance à l’autre, il est donc extrêmement important d’examiner la police d’assurance elle-même. Certains d'entre vous regardent peut-être cette suggestion de base, mais vous seriez surpris de voir combien de fois un client reçoit un résumé de la couverture sans une copie de la police sous-jacente réelle et pense que c'est peut-être tout ce dont il a besoin. Pourquoi est-ce important? Parce qu'inévitablement, il y aura des termes qui régissent la politique qui sont définis légalement dans la politique elle-même. Donc, si un litige se pose sur la question de savoir si un événement est couvert par une police d’assurance, un tribunal examinera les quatre coins de la police d’assurance et ne tiendra probablement pas compte de la preuve de ce que l’on vous a dit au moment de l’achat. politique. Une police d'assurance est un contrat entre vous et la compagnie d'assurance. Et, tout comme une action pour rupture de contrat, s'il y a un différend par la suite, un tribunal se penchera sur l'accord écrit conclu entre les parties. Par conséquent, l'heure de lire la stratégie est maintenant – et non pendant un événement.

Je vois souvent un résumé de la couverture qui répertorie une "exclusion d'ingénierie sociale". Ces exclusions d'ingénierie sociale peuvent englober le phishing et parfois même des ransomwares. Mais si vous ne disposez que du résumé de la couverture sans les définitions correspondantes, vous ne saurez pas ce qui peut ou ne peut pas être couvert.

Il est également important que votre RSSI, ou une personne de votre entreprise qui possède des informations sur la cybersécurité, examine la politique de cyberassurance, qui comprend généralement un langage technique et des définitions. Par exemple, j'ai récemment lu une police qui ne couvrait qu'une réclamation faite par une personne pour des incidents allant au-delà du niveau "d'acte technologique illicite" et de "acte illicite d'intimité et de sécurité". Mais lorsque vous lisez la politique, l'acte illicite technologie ne couvre que l'hébergement de données. La couverture "acte illicite contre la vie privée et la sécurité" couvrait ce que la politique décrivait comme "l'incapacité d'empêcher une violation qui empêchait l'utilisateur d'accéder à un réseau, la suppression malveillante de données sur le réseau et la transmission de programmes malveillants. à des tiers. " Le concept de perte financière liée à une fraude en matière d'ingénierie sociale, de phishing, de ransomware ou de virement électronique était notamment absent de cette définition.

Astuce 3. Les exclusions peuvent être brutales.
Le cyber-risque se traduit par un risque financier élevé, ce que les compagnies d'assurance reconnaissent. Le phishing et les ransomwares peuvent être des exclusions communes avec des événements de compromission de courrier électronique. La fraude par virement bancaire n'est souvent pas couverte. Pour cette raison, il est important d'examiner votre politique afin de déterminer ce qu'elle couvre réellement. Un jour, un directeur général me demanda si sa police ne couvrait que l’intrus qui volait un rack de serveurs. Malheureusement, dans ce cas, la réponse était "fondamentalement".

J'ai également commencé à voir des polices contenant un résumé de la page de couverture indiquant une somme fixe pour les couvertures (par exemple, un graphique présentant une couverture de premier plan de 5 millions de dollars pour protéger la société assurée). Ensuite, les sous-limites et les exclusions sont cachées au plus profond de la politique. Dans une critique flagrante, la sous-limite d'ingénierie sociale de 100 000 $ était enterrée à la page 54 d'un fichier PDF de 66 pages. Il contenait également une «retenue» de 50 000 $ ou, essentiellement, une franchise, que la société devait payer de sa poche avant le déclenchement de la couverture. Si le client ne disposait que de la couverture récapitulative fournie par le courtier, il aurait alors pensé disposer d’une couverture Internet de 5 millions de dollars, car l’exclusion n’était pas répertoriée au centre de la liste, mais dissimulée au fond du PDF.

Sachant que les exclusions constituent un élément commun de la cyberassurance, il est important de demander à votre courtier de comparer plusieurs polices de cyberassurance au moment de la couverture obligatoire. Examinez les opérations de votre entreprise et déterminez la couverture dont vous avez besoin. Votre organisation est-elle une entreprise de logiciels? Fournisseur de service géré? Brique et mortier avec beaucoup d'employés? Un service public ou une institution financière? Hôpital? Adaptez votre cyberassurance à votre entreprise et sachez que le courtier typique peut être fantastique pour vendre une couverture D & O mais qu’il n’est pas un gourou de la cyberassurance. Quel que soit votre secteur d'activité ou votre modèle commercial, le recours à un avocat spécialisé en cybersécurité vous aidera à naviguer dans la matrice de couverture d'assurance et à négocier la couverture.

4. Négocier avant, pas après une violation
Vous pouvez toujours essayer de négocier une meilleure couverture. Au minimum, demandez des rétentions plus basses et des sous-limites plus élevées.

Si vous avez une équipe médico-légale favorite, demandez que les membres soient inclus en tant que fournisseur choisi en cas de violation. Souvent, les compagnies d’assurance fournissent des équipes de juristes "jurés" et "jurys". J'ai vu des entreprises fantastiques énumérées comme juristes dans les documents de marketing fournis à un client. Ensuite, lorsque la faille se produit, ils se voient confier des conseils non pas par le cabinet d’élite de Manhattan, mais d’ailleurs.

Vous pouvez également demander que votre équipe choisie soit incluse lorsque vous «liez» une couverture. Dans le cadre du processus de demande d’assurance, faites une demande spécifique aux personnes que vous connaissez et en qui vous avez confiance. Ensuite, lorsque le pire des cas, vous savez que vous avez votre équipe A à votre dos par rapport à un équipage venant de votre marché.

Contenu connexe:

Beth Burgin Waller est une avocate qui sait naviguer entre la salle des serveurs et la salle du conseil. En tant que présidente de la pratique de la cybersécurité et de la confidentialité des données chez Woods Rogers, elle conseille les clients sur la cybersécurité et les problèmes de confidentialité des données. En cette qualité, elle … Voir la Biographie Complète

Plus d'idées