Ces vingt dernières années, le paysage des cybermenaces s’est développé, devenant une source de préoccupations croissante pour les responsables de la sécurité des systèmes d’information (RSSI). Un risque qui a d’autant plus augmenté avec la pandémie et les conflits internationaux récents. Les attaques, par ransomware notamment, continuent de se multiplier et de faire la une de l’actualité. Cette menace accrue pousse les cyberassurances à accroître leurs prix, décourageant certaines entreprises d’y souscrire, ainsi qu’à cesser de couvrir les organisations qui n’ont pas déployé de méthode d’authentification multi facteurs (MFA).  Selon la dernière étude Lu’Cy 2022 de l’Amrae (Association pour le management des risques et des assurances de l’entreprise), le taux de couverture des grandes entreprises a reculé de 4,4 % entre 2020 et 2021. Pour optimiser leurs coûts, les organisations doivent ainsi évaluer quelques critères pour leur souscription de cyberassurance, une protection importante pour toute entreprise.

Les nouvelles menaces numériques entraînent des changements majeurs sur l’ensemble du secteur de l’assurance. Les assureurs augmentent notamment leurs tarifs et réduisent leurs prises de risques, en raison des coûts importants liés aux compromissions et leur recrudescence. En effet, les hackers disposent aujourd’hui de vecteurs d’attaques plus sophistiqués pour dérober des identifiants et agir de l’intérieur. Ils peuvent notamment créer des dommages collatéraux pour les organisations, en provoquant par exemple une interruption de service pendant plusieurs jours ou une atteinte à leur réputation. Les entreprises exposées aux plus grands risques paient par conséquent les primes les plus élevées ou peuvent ne pas être admissibles à une cyberassurance.

Trouver la bonne combinaison

Avant toute souscription, il convient d’évaluer les exigences minimales de sécurité de l’assureur. De manière générale, les devis proposés sont accompagnés d’un rapport sur la vulnérabilité aux cyber-risques. Celui-ci permettra aux entreprises d’évaluer les menaces auxquelles elles peuvent faire face, et d’identifier les maillons faibles de leurs dispositifs de sécurité. Certaines requièrent notamment le déploiement d’un MFA, résistant au phishing, et un plan de gestion de crise. Elles peuvent notamment refuser de garder les clients qui ne mettraient pas rapidement en œuvre ce type d’authentification forte car le risque de compromission est alors jugé trop élevé. Ceci est dû au fait que les méthodes d’authentification de base, telles que les identifiants associés aux mots de passe, ne satisfont plus les exigences des cyberassurances du fait de leur faible niveau de protection. En effet, ce niveau de sécurité est plus facile à détourner par les hackers, induisant une plus grande exposition aux compromissions pour les entreprises.

Déterminer l’échelle du danger

Par ailleurs, l’entreprise doit veiller à inclure les menaces internes et externes dans son évaluation des risques. Cette dernière peut débuter par un examen complet de l’accès des utilisateurs, des solutions de gestion des identités et des accès utilisées, ainsi que du type de formation anti-phishing déployée. L’examen doit porter également sur les comptes à privilèges, ceux appartenant au personnel critique et aux administrateurs réseaux.

Aussi, le télétravail a accentué le besoin de se protéger contre les cybermenaces. Avant la pandémie, les organisations concentraient leurs efforts de sécurité sur leurs sites d’exploitation car les bureaux constituaient le périmètre des activités. Cependant, la transition vers le travail à distance, qu’il s’agisse de situations permanentes ou hybrides, fragilise considérablement les défenses des organisations. Le risque est accru car les vecteurs d’attaques sont plus nombreux, ce dont les assureurs sont parfaitement conscients. La CNIL a notamment enregistré 5 037 notifications de violation de données en 2021, soit une hausse de 79 % sur un an. Il ne suffit donc plus de se concentrer uniquement sur les pare-feux, les proxies web et la protection des données, mais aussi sur la mise en place d’un système MFA solide pour les employés qui se connectent à distance. Cette tactique, largement plus efficace et sécurisée que les mots de passe renforcera la protection des utilisateurs.Grâce à cette évaluation, l’entreprise déterminera les meilleures solutions à mettre en place pour protéger ses utilisateurs, et facilitera ses chances de souscrire à une cyberassurance avec une prime plus avantageuse.

Assurer la protection de l’entreprise

Un travail de documentation est nécessaire pour garantir une bonne couverture en cas d’attaque. En effet, les compagnies d’assurances tentent de limiter leurs pertes en imposant les éléments couverts à des règles strictes. Par exemple, les pertes dues au temps d’arrêt, le remplacement du matériel et des systèmes, le paiement des ransomwares ou encore la protection de l’identité des clients touchés sont aujourd’hui susceptibles d’être ventilés. A cause de cela, les polices d’assurance s’en trouvent complexifiées, ce qui oblige les courtiers à rechercher des réassureurs pour répartir le risque. Les entreprises victimes de cyberattaques doivent alors soigneusement documenter l’ensemble des temps d’arrêt et des pertes dès le premier jour d’un incident.

En outre, les politiques générales ne sont souvent pas adaptées aux besoins des entreprises, car chacune est confrontée à des vecteurs de menace spécifiques et y répond différemment. Elles doivent par conséquent s’assurer que ces règles comportent suffisamment de références précises aux vulnérabilités qui leur sont propres et à la nature des attaques couvertes. L’avis d’un expert, tel qu’un conseiller juridique doté d’une expérience dans le secteur de l’assurance, peut également être bénéfique.

L’évolution du paysage des cybermenaces, et par conséquent des risques auxquels font face les entreprises, impacte fortement les cyberassurances. Les courtiers deviennent plus frileux et augmentent leurs primes, ce qui peut décourager certaines organisations. Pour souscrire à un coût moindre, l’évaluation des risques, ainsi que des solutions à déployer, est essentielle. Il est également important de définir clairement leurs besoins dans le contrat d’assurance et ce que ce dernier couvre concrètement. En garantissant ce filet de sécurité additionnel, elles pourront se remettre plus rapidement de toute attaque potentielle et préserver le bon fonctionnement de leurs activités. Une protection plus complète pour les années à venir.
___________________

Par Fabrice de Vesian, Channel Manager chez Yubico

 


À lire également :

La cybersécurité : un enjeu majeur pour les élections présidentielles de 2022.

L’authentification forte, pierre angulaire du modèle Zero Trust.

L’authentification sans mot de passe n’est plus une fiction!

Ce que tout chef d’entreprise doit savoir sur les attaques par ransomware.

Risque cyber, vers la prise de conscience et l’assurance