Il ne s’agit pas de savoir si, mais quand votre entreprise sera confrontée à une cybermenace. De plus en plus d’entreprises font appel à une cyberassurance afin de réduire les coûts éventuels. Mais avec l’augmentation des primes de cyberassurance et des cyberattaques, les cyberassurances sont en passe de devenir encore plus chères ou de couvrir moins de risques, voire les deux.
Afin d’empêcher ces évolutions, les entreprises doivent désormais se concentrer sur le renforcement de leur sécurité et de leur gestion des risques, en commençant par les connexions aux sessions. Comment ? Nous allons vous partager quatre bonnes pratiques à suivre. Nous vous invitons à les lire afin de permettre à votre entreprise de se conformer aux exigences des cyberassurances et d’économiser sur les primes, tout en réduisant les risques de cyberattaques.
Pourquoi les coûts de cyber assurance augmentent ?
Pourquoi cette envolée des coûts d’assurance ? Pour la même raison que les plaintes concernant la cybersécurité sont déposées en premier lieu : un manque de protection. Il apparait clairement que les entreprises n’ont pas encore saisi l’importance de la cybersécurité pour leur structure.
Ajoutons à cela l’augmentation exponentielle du travail à distance et des vulnérabilités qui y sont liées, telles qu’une mauvaise configuration des logiciels de bureau à distance, des exigences insuffisantes en termes de gestion des accès, ou encore un manque de surveillance des différents outils de sécurité, il devient donc facile de comprendre pourquoi les compagnies d’assurance augmentent leurs coûts pour compenser les risques.
Gros plan sur votre profil de risques
Le profil de risques de l’assuré et le goût du risque de l’assureur resteront toujours les plus grands facteurs pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le coût sera élevé pour les assurances et par conséquent, plus le coût sera élevé pour l’assuré.
Les entreprises dont le profil de risques est faible présentent moins de risques pour les assurances, et de ce fait bénéficient de tarifs plus avantageux. Donc, pour économiser sur les cyberassurances, vous devez réduire vos profils de risques.
4 bonnes pratiques en cybersécurité pour réduire votre profil de risques
Il existe autant de façon de réduire les risques, qu’il existe de risque eux-mêmes – nous ne les détaillerons donc pas toutes.
Mais attardons-nous sur les piliers d’un solide programme de gestion de risques, et sur les facteurs principaux pris en compte lors de l’évaluation de votre profil de risques réalisée par les assureurs.
1. Mettre en place la MFA
La cyberassurance est à l’origine de l’amélioration de la sécurité d’accès des utilisateurs, bien qu’elle aurait déjà dû être en place depuis longtemps. Le marché de la cyberassurance se durcissant, les assureurs scrutent les profils et recherchent des clients ayant des contrôles de sécurité en accord avec leurs standards élevés. En imposant la MFA, les assureurs réduisent drastiquement leur exposition. L’authentification multifacteur est en passe de devenir une obligation pour tous les comptes, privilégiés ou non, sur place, à distance et dans le cloud.
Les mots de passe sont trop faibles, nous le savons depuis longtemps. La MFA n’est pas la solution miracle, mais c’est un axe de défense important pour lutter contre les mots de passe compromis. Dans le rapport Verizon Data Breach Investigation Report (DBIR), nous constatons de nombreuses variations et méthodes d’attaque pour compromettre les informations d’authentification, mais aussi la grande efficacité de chaque méthode. Le rapport démontre que les informations d’authentification sont en première position des types de données volées et qu’elles sont à l’origine de 61% de toutes les violations.
Ajouter un second facteur d’authentification (2FA) signifie qu’il faut exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous savez » en plus du mot de passe. Si l’un des facteurs est compromis ou découvert, un utilisateur non autorisé aura au moins une barrière supplémentaire à franchir avant de parvenir à s’introduire dans le système ciblé.
Où les cyberassureurs souhaitent-ils voir la MFA déployée ?
Alors qu’elles ne l’exigeaient pas lors des précédents renouvellements, les cyberassurances demandent désormais aux entreprises d’avoir une solution de MFA lors de la souscription ou du renouvellement de leur contrat. Il semble qu’elles soient épuisées de payer des indemnisations – parfois très lourdes – pour des vols de données et ont renforcé leurs exigences en matière de couverture.
A titre d’exemple, une entreprise devra répondre « oui » à l’ensemble des questions suivantes :
- 1Est-ce qu’une solution d’authentification multifacteur est requise lorsque les employés souhaitent accéder à leurs emails via un site internet ou via un service cloud ?
- 2Est-ce qu’une solution d’authentification multifacteur est requise dans le cadre des accès au réseau à distance des salariés, des contractuels ou d’un service tiers ?
- 3Outre les accès à distance, est-ce que l’authentification multifacteur est demandée dans les cas suivants, y compris pour les services tiers :
- aPour tous les accès administrateurs internes et distants aux services d’annuaire (Active Directory, LDAP, etc.)
- bPour tous les accès administrateurs internes et distants aux sauvegardes du réseau
- cPour tous les accès administrateurs internes et distants aux composants de l’infrastructure réseau (switch, routeur et pare feu)
- dPour tous les accès administrateurs aux terminaux et serveurs de l’entreprise
Pour autant, cela ne veut pas dire qu’une MFA en place vous garantira un rabais important sur le prix. Selon Dan Burke, vice-président sénior et responsable national des cyberpratiques chez Woodruff Sawyer, l’une des plus grandes sociétés en courtage et assurance des Etats-Unis, les assureurs accordent rarement de remise sur les primes d’assurance pour la mise en place d’une seule mesure. A la place, ils évaluent de manière globale l’ensemble des contrôles de sécurité en accord avec l’industrie de l’entreprise, sa taille et les risques encourus.
« Au contraire », explique Burke, « la mise en place de la MFA sera bénéfique à votre prestation d’assurance pour deux raisons potentielles : 1. Réduire vos actions en réclamation, qui sur le long terme peut améliorer considérablement le prix de votre assurance, et 2. Permettre à votre entreprise d'obtenir des devis de cyberassurance auprès de plusieurs assureurs, ce qui garantit une mise en concurrence pour votre entreprise qui produira des conditions favorables. »
2. Augmenter la visibilité et contrôler les accès
Les assureurs cherchent à atténuer leurs pertes. Comme Dan Burke l’a mentionné ci-dessus, plus l’entreprise aura de contrôles et de garde-fous pour se protéger des menaces, mieux ce sera. Il est également nécessaire de conserver une politique de confiance zéro quant aux risques. Vous êtes plus disposé à identifier et prévenir les attaques lorsque vous vous concentrez sur la limitation et la protection des accès et que vous augmentez la visibilité sur les activités des utilisateurs et sur les tentatives d’accès.
La gestion des accès aide à répondre à la nécessité d’améliorer le contrôle et la surveillance des accès aux données en fonction du rôle de l’utilisateur. Elle cible aussi les principaux modes d’attaque plutôt que les indicateurs standards de compromission, et examine avec attention les actions non autorisées.
- Les autorisations des utilisateurs doivent être limitées en fonction de leurs besoins et de leurs buts (par exemple, un membre de l’équipe développement n’a pas besoin d’avoir accès aux fichiers RH)
- Les accès aux données doivent être sécurisés à l’aide de permissions telles que des permissions d’accès au réseau ou aux applications. L’autorisation et l’authentification vont de pair, cependant, puisque les individus ne protègent pas toujours leurs données comme ils le devraient, l’accès, le partage et l’utilisation des données doivent également être surveillés, y compris les tentatives d’effacement ou les suppressions.
- Les données sensibles doivent être chiffrées qu’elles soient utilisées ou non, et il doit y avoir un traitement systématique des exigences de conformité et des règles de gouvernance des données.
Dans un récent rapport de Allianz Cyber Insight, intitulé Ransomwares trends : risk and resilience (Les tendances de Ransomwares : risques et résiliences) soulève également des questions sur la façon d’aider les entreprises à évaluer la gestion de leurs correctifs et de leurs vulnérabilités :
- Est-ce qu’il existe un scan automatique qui détecte les vulnérabilités ?
- Est-ce qu’il y a des tests d’intrusion effectués par des tiers régulièrement ?
- Est-ce que l’entreprise s’assure de la mise en place de politiques d’accès appropriées concernant la mise en place de la MFA pour l’accès aux données sensibles, pour les connexions à distance et pour les accès des utilisateurs privilégiés ?
- Existe-t-il une surveillance permanente pour détecter les comportements inhabituels sur les comptes, la création de nouveau domaine de comptes et toute autre escalade des privilèges sur un compte (niveau administrateur), les ajouts de nouveaux services ainsi que les chaines de commandes exécutées sur une courte période ?
Les mesures de sécurité doivent s'étendre à l'endroit où les décisions d'accès sont prises. Il est donc important de créer une nouvelle génération d’architecture d’entreprise qui réduise les temps de réponse aux incidents, aide à la découverte des menaces inconnues, optimise le déploiement de sécurité au sein de l’entreprise et qui active les applications en toute sécurité.
3. Attribuer des actions à des utilisateurs particuliers
L’existence d’un programme de surveillance solide et permanent aide à prouver que votre entreprise a une forte culture de la cybersécurité. C’est un moyen important pour justifier la réduction des risques lors d’une évaluation des risques.
Les rapports en cybersécurité évoluent en fonction des besoins des entreprises et des avancées technologiques. Côté business, les chefs d’entreprise reprochent parfois aux rapports d’être trop techniques, décousus et compliqués. Pire, les équipes en cybersécurité n’ont pas toujours la visibilité dont elles ont besoin pour avoir une image globale. Ajoutons à cela que, selon la manière dont les rapports sont rédigés et présentés, ils peuvent ne pas être suffisamment hiérarchisés et cohérents pour démontrer l’efficacité des processus et des investissements technologiques. Bien que nous ayons conscience de l’importance d’avoir une visibilité « de bout en bout », il peut parfois y avoir des angles morts ici et là, qui représentent un risque pour l’entreprise.
Fondamentalement, les responsables et équipes en cybersécurité doivent porter un regard critique sur les tableaux et rapports afin de s’assurer qu’ils aident réellement l’entreprise à gérer plus efficacement les risques et à prendre les bonnes décisions les concernant.
4. Planifier l’alerte et la réponse automatique en cas de violation
Automatiser autant que possible afin de garantir l’efficacité et l’efficience de l’ensemble du processus - de la surveillance de la surface d'attaque à la gestion des risques par des tiers, en passant par le contrat avec les assureurs. Idéalement, une entreprise doit être en mesure de rendre opérationnelle de manière collaborative sa posture en matière de sécurité et à propos des risques de sa chaîne d'approvisionnement à tout moment. La technologie peut aider les entreprises à atteindre cet objectif. Elle possède la capacité d’évaluer automatiquement les configurations et les contrôles dans un environnement cloud et de comprendre les risques sur la chaine d’approvisionnement afin de comprendre comment une entreprise se place d’un point de vue de sa surface d’attaque.
Economiser sur votre prime de cyber assurance grâce à de solides capacités en gestion des accès
À elle seule, aucune de ces quatre bonnes pratiques ne garantit à votre entreprise de bénéficier d’une réduction sur sa prime de cyber assurance. Mais en mettant stratégiquement en place ces quatre pratiques, vous pourrez réduire de manière significative vos risques et ainsi démontrer votre profil de risque faible lors d’un contrôle des risques. De plus, avec un profil sécurité plus solide, vous serez plus à même de négocier une prime moins élevée pour votre cyber assurance, ce qui vous permettra d’économiser sur le long terme.
En tant que solution complète, Userlock vous aidera dans la mise en oeuvre de ces quatre bonnes pratiques, notamment grâce à une MFA personnalisable et granulaire ainsi que des rapports détaillés par utilisateurs, sessions, durée, etc. Sa console intuitive vous permet également de surveiller, alerter et réagir en temps réel à tout événement suspect.
La solution vous permettra d'être en conformité avec les exigences de votre cyberassurance, tout en réduisant vos coûts.