Si vous souhaitez répondre aux exigences et profiter d’économies sur le long terme, concentrez-vous sur la diminution de votre profil de risque avec l’authentification multifacteur (MFA) et la gestion des accès.
Le paysage de la cyberassurance
Ce n’est pas un secret, l’univers de la cyberassurance change rapidement. Le coût moyen d’une fuite de données s’approche désormais de 4.24 millions de USD. Dans son rapport, la direction générale du Trésor indique que 97% des sinistres couverts par une cyberassurance ont donné lieu à une indemnisation inférieure à 3 M€ en 2021.
En réponse, nous avons vu les primes d’assurance s’envoler. Le marché de la cyberassurance a atteint les 219 millions d’Euros en 2021, faisant de lui le segment le plus dynamique du marché avec 52% de croissance la même année. Ce n’est pas près de s’arrêter.
Des risques et des coûts élevés à cause d’un manque de protection
Le coût est un facteur important dans la prise de décision d’une cyberassurance selon une enquête récente réalisée par World Canada. D’après l’étude « LUmière sur la CYberassurance éd.2 » de l’AMRAE, le taux de couverture de cyberassurance est en perte de vitesse, il représente environ 4.4% sur les grandes entreprises.
Pourquoi cette perte de vitesse ? A cause de l’augmentation des coûts et des franchises d’assurance. Les franchises frôlent les 4 millions d’Euros en moyenne, quant au taux de prime d’assurance il a connu une augmentation allant de +56% pour les ETI a +642% pour certaines petites entreprises.
En parallèle de l’augmentation des prix des franchises et des primes d’assurance, les entreprises ont également dû se soumettre à des conditions de souscription ou de renouvellement bien plus strictes. Les assurances estiment que les entreprises ne sont pas assez protégées et courent trop de risques.
Le télétravail et les vulnérabilités qui y sont liées, comme un logiciel de bureau à distance mal configuré, des exigences insuffisantes en matière de gestion des accès et un manque de surveillance des différents outils de sécurité, il est facile de comprendre pourquoi les compagnies d'assurance ont augmenté les coûts pour couvrir leur risque accru (c'est-à-dire celui de votre organisation).
La réponse pour une prime de cyberassurance plus abordable : diminuer votre profil de risque
Le profil de risques de l’assuré restera toujours l’un des plus grands facteurs pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le risque sera élevé pour l’assurance, par conséquent, plus le prix sera élevé pour l’assuré.
Voici quelques conseils pour vous aider à réduire votre profil de risque et ainsi réduire vos primes de cyberassurance.
1. Mettre en place une MFA granulaire pour tous les utilisateurs
La cyberassurance est à l’origine de l’amélioration de la sécurité d’accès des utilisateurs, bien qu’elle aurait déjà dû être en place depuis longtemps. Le marché de la cyberassurance se durcissant, les assureurs scrutent les profils et recherchent des clients ayant des contrôles de sécurité en accord avec leurs standards élevés. Par exemple, les cyberassureurs imposent de plus en plus l’authentification multifacteur (MFA), une façon de réduire drastiquement leur exposition. La MFA est en passe de devenir une obligation pour tous les comptes, privilégiés ou non, sur place, à distance et dans le cloud.
Les mots de passe sont trop faibles, nous le savons depuis longtemps. La MFA n’est pas la solution miracle, mais c’est un axe de défense important pour lutter contre les mots de passe compromis.
Ajouter un second facteur d’authentification (2FA) signifie qu’il faut exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous savez » en plus du mot de passe. Si l’un des facteurs est compromis ou découvert, un utilisateur non autorisé aura au moins une barrière supplémentaire à franchir avant de parvenir à s’introduire dans le système ciblé.
Où les cyberassureurs souhaitent-ils voir la MFA déployée ?
Alors qu’elles ne l’exigeaient pas lors des précédents renouvellements, les cyberassurances demandent désormais aux entreprises d’avoir une solution de MFA lors de la souscription ou du renouvellement de leur contrat. Et qui peut les blâmer ? Ils sont épuisés de payer des indemnités, parfois très lourdes, pour des vols de données. Donc, ils ont renforcé leurs exigences en matière de couverture.
A titre d’exemple, une entreprise devra répondre « oui » à l’ensemble des questions suivantes :
- Est-ce qu’une solution d’authentification multifacteur est requise lorsque les employés souhaitent accéder à leurs emails via un site internet ou via un service cloud ?
- Est-ce qu’une solution d’authentification multifacteur est requise dans le cadre des accès au réseau à distance des salariés, des contractuels ou d’un service tiers ?
- Outre les accès à distance, est-ce que l’authentification multifacteur est demandée dans les cas suivants, y compris pour les services tiers :
- Pour tous les accès administrateurs internes et distants aux services d’annuaire (Active Directory, LDAP, etc.)
- Pour tous les accès administrateurs internes et distants aux sauvegardes du réseau
- Pour tous les accès administrateurs internes et distants aux composants de l’infrastructure réseau (switch, routeur et pare feu)
- Pour tous les accès administrateurs aux terminaux et serveurs de l’entreprise
Mettre en place la MFA sera bénéfique à votre organisation de deux façons. D’une part, en réduisant votre notre de sinistre, ce qui sur du long terme peut réduire significativement vos coûts d’assurance. D’autre part, cela permettra à votre entreprise d'obtenir des devis de cyberassurance auprès de plusieurs compagnies d'assurance, ce qui garantit une concurrence pour votre entreprise qui peut jouer en votre faveur.
2. Déployer la MFA avec la Gestion des Accès
Les assureurs vont rarement accorder à votre entreprise un rabais sur vos primes d’assurance pour la mise en place d’une seule mesure de protection. Ils évaluent plutôt de manière exhaustive une combinaison de contrôles de sécurité, à la lumière du secteur, de la taille et des risques spécifiques de l'organisation.
Les assureurs veulent limiter leurs pertes. Plus les compagnies d’assurances auront de contrôle et de garde-fous pour se protéger des menaces, mieux se sera. La Gestion des Accès prend part à cette aversion au risque. Elle support le modèle Zero Trust qui consiste à « jamais croire, toujours vérifier » en offrant un contrôle et une surveillance améliorés de l'accès, en fonction du rôle de l'utilisateur.
La gestion de l'accès cible également les principaux moyens par lesquels les attaques se produisent. Plutôt que d'utiliser des indicateurs standard de compromission, elle s'attache à réduire le risque d'accès non autorisé et non souhaité.
- Automatiser les contrôles qui empêchent les attaques
Des restrictions d'accès réellement granulaires permettent au service informatique de limiter les connexions en fonction de l'heure, de la machine, du lieu et du type de session autorisé.
- Contrôler les accès et attribuer des actions aux utilisateurs particuliers
Contrôlez les accès pour l’ensemble des comptes, privilégiés et non privilégies, avec une visibilité en temps réel pour chaque identité. L'existence d'un programme de surveillance solide et permanent peut prouver que votre organisation possède une solide culture de la cybersécurité, axée sur l'amélioration continue. C'est un moyen essentiel de prouver la réduction des risques lors d'une évaluation des risques.
- Réagir et répondre aux événements d’accès
En permettant à l’équipe informatique suivre et de recevoir des alertes sur les activités de connexion et de déconnexion en temps réel, la sécurité est renforcée, car elle peut réagir instantanément pour bloquer, déconnecter ou redémarrer à distance toute session utilisateur. Automatisez autant que possible pour garantir l'efficacité et l'efficience de l'ensemble du processus.
Économisez sur les primes de cyberassurance grâce à de solides capacités de MFA et de gestion des accès
Il existe autant de façon pour réduire les risques qu’il existe de risques. Aucune mesure à elle seule ne garantit une réduction sur les primes de cyberassurance pour votre organisation. Mais en mettant en place stratégiquement la MFA avec la Gestion d’accès, vous pouvez réduire considérablement vos risques et démontrer votre faible profil de risque lors d'une évaluation des risques. Et grâce à un profil de risques plus robuste, vous êtes plus enclin à négocier des primes d’assurances plus faibles, ce qui vous permettra d’économiser sur le long terme.
Comment UserLock peut vous aider
UserLock est une solution de Gestion des accès pour les environnements sur site et hybrides. Il protège les identités Active Directory grâce à la MFA, l’authentification unique (SSO), les contrôles d’accès contextuels et la gestion des sessions afin de sécuriser les accès des employés aux réseaux et applications cloud de l’entreprise, peu importe d’où ils travaillent.