La cyber-assurance est une des multiples composantes d’une cyber-résilience. Elle peut cependant rapidement se retrouver inefficace et sans utilité si les mesures minimales de cybersécurité ne sont pas en place. Comment garder une cyberassurance utile alors que les primes ne cessent de grimper et que les critères de sélection sont de plus en plus stricts?
Alors que le nombre de cyberattaques est en constante augmentation chez les entreprises du monde entier, les entreprises doivent également faire face à des primes d’assurances de plus en plus chères et à des critères de sélection de plus en plus spécifiques. Si le recours à une cyberassurance doit s’intégrer dans une stratégie complète de cyber résilience, celle-ci pourrait vite devenir inutile en cas d’attaque, si les exigences minimales de sécurité et de protection des données ne sont pas respectées. Dès lors, quelles sont les actions à disposition des entreprises pour rendre leur cyberassurance efficace et ainsi gagner en sérénité ?
La loi du plus fort ?
Face à l’inexorabilité des cyberattaques, la quête d’une assurance en prévision est devenues la priorité pour de nombreuses entreprises ces derniers mois. Et pour cause, en 2022, 85% d’entre elles ont été victime d’une attaque de ransomware comme le révèle cette récente étude, contre 76 % l’année précédente. Quant au secteur de l’assurance, il s’efforce de mieux comprendre cette menace et de s’y adapter, comme le montre l’augmentation des tarifs : après une hausse de 53% au 3ème trimestre 2022, celle-ci continue avec 28% d’augmentation au 4ème trimestre.
Au-delà des tarifs, ce sont les grilles de sélections qui sont de plus en plus strictes envers les entreprises, qui doivent désormais répondre à des conditions minimales pour pouvoir être assuré. En conséquence, plusieurs raisons sont à l’origine de la réduction de la couverture par les assureurs : il s’agit d’un secteur jeune et volatile et, surtout, les cyber-incidents présentant une complexité spécifique que les acteurs impliqués – tant les assureurs que les entreprises – ont encore du mal à maitriser. Autant d’éléments à prendre en compte lorsqu’une entreprise est à la recherche d’une assurance.
La résolution « idéale »
Un incident comme un ransomwares entraîne des conséquences importantes, même en cas d’indemnisation. Les conséquences d’une cyberattaque sont plus spécifiques et nuancées et la compensation financière ne résout pas tout, encore moins un tel incident de sécurité.
Au-delà de la déclaration de sinistre et de l’hypothétique enquête criminelle, le premier défi des entreprises sera la reprise d’activité. Chaque minute perdue peut représenter un coût considérable pour les entreprises, il est donc primordial pour elle de restaurer les données et les applications ainsi que de rendre disponibles les systèmes. Pire encore, le système où l’attaque a eu lieu ne doit pas être restauré, tant parce qu’un agent infectieux dormant peut toujours y résider, mais également parce qu’il s’agit d’une scène de crime qu’il faudra conserver pour les besoins de l’enquête..
De plus, l’impact d’un tel incident est particulièrement varié. L’une des premières vérifications à effectuer est celle de la qualité des données et de leur potentielle détérioration. En cas de restauration d’anciennes versions de données ou de système, celles-ci doivent être mises à jour le plus rapidement possible. La priorité est de vérifier que tout est toujours intact et continue de s’intégrer et de fonctionner parfaitement. Pour autant, la vigilance reste de mise, car le risque d’une nouvelle attaque par un logiciel malveillant dormant est toujours possible, associé à une double ou triple extorsion.
Ceci en partant du principe que l’entreprise n’ait pas versé la rançon avant de reprendre son activité. Si elle cède au chantage en partant du principe que l’assurance va la rembourser, alors, cela donne lieu à de très nombreux problèmes. Dans un premier lieu, rien n’assure que payer permet de restaurer les données. Quand bien même les hackers fournissent des clefs de déchiffrements, c’est alors un travail très lent qui commence. De plus, le risque qu’une nouvelle attaque ait lieu est accru, puisque les cybercriminels retiennent les noms des victimes qui ont cédé pour revenir à la charge ultérieurement.
Quelles options pour les entreprises ?
Sur la base de ces considérations, c’est avant tout une stratégie globale de cyberrésilience qu’il faut mettre en place, tout en s’assurant de l’intégration de la cyberassurance contractée. Préparer l’entreprise à répondre à des attaques et à diminuer le facteur risque passe par une protection des données qui comprend l’implémentation de processus de sécurité solides, de sauvegarde et de stratégie de reprise d’activité. Afin d’identifier puis d’éliminer des vulnérabilités, le recours réguliers à des tests et des corrections des systèmes est indispensable. Sans oublier la formation de l’ensemble des collaborateurs à la cyberhygiène et à la bonne manipulation des accès distants sécurisés, cruciale car elle améliore l’éligibilité de l’entreprise à une assurance voire de faire baisser les primes. Une fois fait, les prochains enjeux sont de maintenir la disponibilité du SI quand un cyberincident arrive et surtout de protéger les données.
En anticipation d’un ransomware, les entreprises doivent conserver en lieu sûr un jeu de données et les systèmes nécessaires à leur bon fonctionnement, préalablement identifiés. Une idée reçue et très répandue pour les entreprises est de croire que ce travail est déjà fait, soit en interne, soit par leur prestataire cloud, mais c’est souvent faux. Garder plusieurs copies des données hors site, hors ligne, sur des supports immuables et sous des formes variées est indispensable.
Pour limiter au maximum les temps d’arrêt, les entreprises doivent pouvoir compter sur des processus mis en place en amont dédiés au maintien de leur disponibilité et permettant une reprise d’activité rapide. À cette fin, les équipes informatiques doivent avoir à leur disposition un environnement dédié et prêt au rétablissement des systèmes, même temporairement, même si elles disposes déjà de sauvegardes à restaurer. Une infrastructure informatique pensée dans l’optique de la reprise d’activité favorise ainsi une bien meilleure capacité de rebond.
Alors que l’écosystème des cybermenaces s’étend, le secteur de la cyberassurance va poursuivre son développement. Il s’agit d’une évolution logique au vu des changements constants et de la nébulosité des événements à prendre en compte pour les assurances. Ainsi, en cas de sinistre, une assurance peut permettre à une organisation de garder le cap, toutefois, elle ne représente qu’une pièce du puzzle. les entreprises doivent donc s’efforcer d’aller au-delà des conditions minimum d’éligibilités des assurances, afin d’adopter une approche plus globale de la protection des données.
____________________________
par Dave Russell, vice-président Enterprise Strategy, Veeam
puis