Source: darkreading.com (Robert Lemos, 22 août 2025). L’article décrit comment certains assureurs cyber testent des mécanismes pour responsabiliser les assurés sur la remédiation des failles, en limitant les indemnisations quand des attaques exploitent des vulnérabilités anciennes ou des lacunes de défense. Coalition, assureur cyber, évoque dans un billet de blog ces approches dites « CVE exclusions » et affirme ne pas les soutenir, notant qu’elles restent peu répandues et surtout observées hors des États‑Unis.
Parmi les pistes évoquées figurent un barème glissant d’« accountability » et de paiement selon la « demi‑vie » d’une vulnérabilité non corrigée, ou des plafonds si une faille critique n’est pas corrigée dans un délai donné. ✍️ John Coletti, responsable de la souscription cyber chez Coalition, indique qu’il existe des exemples concrets dans le secteur et recommande d’être « très sceptique » face à une police incluant une exclusion CVE. Ces limites pourraient gagner du terrain si la demande en cyberassurance continue d’augmenter et crée un marché de vendeurs.
Contexte marché: les assureurs cherchent à réduire leur exposition aux campagnes touchant de nombreux assurés. Après NotPetya, les tentatives d’invoquer des clauses d’exclusion pour « acte de guerre » ont globalement échoué, entraînant un durcissement des libellés. Les assureurs s’appuient de plus en plus sur des données issues des assurés, des évaluations de cybersécurité ou de leurs offres MSS pour affiner l’évaluation du risque.
Défi opérationnel: exiger une remédiation systématique est ardu alors que l’industrie logicielle pourrait divulguer plus de 46 000 vulnérabilités en 2025 (contre près de 40 000 en 2024, selon la NVD), dont environ 30 % de sévérité élevée ou critique (CVSS ≥ 8.0). 📈
Type d’article: article de presse spécialisé visant à analyser les tendances et les pratiques émergentes en cyberassurance.
🔗 Source originale : https://www.darkreading.com/cyber-risk/cyber-insurers-may-limit-payments-breaches-unpatched-cve