4 bonnes pratiques pour réduire les risques de cyberattaques et économiser sur vos primes d’assurance
Il ne s’agit pas de savoir si, mais quand votre entreprise sera confrontée à une cybermenace. De plus en plus d’entreprises font appel à une cyberassurance afin de réduire les coûts éventuels. Mais avec l’augmentation des primes de cyberassurance et des cyberattaques, les cyberassurances sont en passe de devenir encore plus chères ou de couvrir moins de risques, voire les deux.
Le rapport LUCY de l’AMRAE constate une augmentation de 44.4% du volume des primes versées par les entreprises et la dynamique n’est pas près de ralentir : Standard & Poor’s Corp. prévoit une augmentation continue allant de 20% à 30% (en anglais) par an en moyenne sur les primes de cyberassurance pour les années à venir.
Autre point important, après la prise de position de l’Etat se disant prêt à acter l’indemnisation des cyber-rançons par les assurances début septembre, le Sénat vient de valider l’article 4 du projet de loi LOPMI permettant aux assurances de rembourser le paiement des cyber-rançons. A noter toutefois, cette pratique est contraire aux recommandations de l’ANSSI qui incite fermement les entreprises à ne pas payer pour ne pas encourager les cybercriminels. N’oubliez pas que même une fois la rançon payée, rien ne garantit que vous retrouverez vos données.
Alors comment prouver aux compagnies d’assurance que vous êtes à faible risque d’attaque et économiser sur les primes ? Pour vous accompagner, nous vous partageons quatre bonnes pratiques à suivre.
Gros plan sur votre profil de risque
Le profil de risque de l’assuré et le goût du risque de l’assureur resteront toujours les plus grands facteurs pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le coût sera élevé pour les assurances et par conséquent, plus le coût sera élevé pour l’assuré.
Les entreprises dont le profil de risque est faible présentent moins de risques pour les assurances, et de ce fait bénéficient de tarifs plus avantageux. Donc, pour économiser sur les cyberassurances, vous devez réduire vos profils de risque.
4 bonnes pratiques en cybersécurité pour réduire votre profil de risque
Il existe autant de façons de réduire les risques, qu’il existe de risques eux-mêmes, nous ne les détaillerons donc pas toutes.
Mais attardons-nous sur les piliers d’un solide programme de gestion de risques, et sur les facteurs principaux pris en compte lors de l’évaluation de votre profil de risque réalisée par les assureurs.
1. Mettre en place la MFA
Les mots de passe sont trop faibles, nous le savons depuis longtemps. La MFA n’est pas la solution miracle, mais c’est un axe de défense important pour lutter contre les mots de passe compromis. Dans le rapport Verizon Data Breach Investigation Report (DBIR), nous constatons de nombreuses variations et méthodes d’attaques pour compromettre les informations d’identification, mais aussi la grande efficacité de chaque méthode. Le rapport indique que les informations d’identification piratées sont à l’origine de 61% de toutes les violations.
Ajouter un second facteur d’authentification (2FA) signifie qu’il faut exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous savez » en plus du mot de passe. Si l’un des facteurs est compromis ou découvert, un utilisateur non autorisé aura au moins une barrière supplémentaire à franchir avant de parvenir à s’introduire dans le système ciblé.
Où les cyberassureurs souhaitent-ils voir la MFA déployée ?
Le marché de la cyberassurance se durcissant, les assureurs scrutent les profils et recherchent des clients ayant des contrôles de sécurité en accord avec leurs standards élevés. En imposant la MFA, les assureurs réduisent drastiquement leur exposition. L’authentification multifacteur est en passe de devenir une obligation pour tous les comptes, privilégiés ou non, sur place, à distance et dans le cloud.
Généralement les prérequis pour la signature d’un contrat de cyberassurance sont les mesures d’hygiène de l’ANSSI. Cependant, dans certains cas et selon le profil de votre entreprise, il est possible que votre assurance vous demande de répondre « oui » à l’ensemble des questions suivantes :
- Est-ce qu’une solution d’authentification multifacteur est requise lorsque les employés souhaitent accéder à leurs emails via un site internet ou via un service cloud ?
- Est-ce qu’une solution d’authentification multifacteur est requise dans le cadre des accès au réseau à distance des salariés, des contractuels ou d’un service tiers ?
- Outre les accès à distance, est-ce que l’authentification multifacteur est demandée dans les cas suivants, y compris pour les services tiers :
- Pour tous les accès administrateurs internes et distants aux services d’annuaire (Active Directory, LDAP, etc.)
- Pour tous les accès administrateurs internes et distants aux sauvegardes du réseau
- Pour tous les accès administrateurs internes et distants aux composants de l’infrastructure réseau (switch, routeur et pare feu)
- Pour tous les accès administrateurs aux terminaux et serveurs de l’entreprise
Selon Marc-Henri Boydron, fondateur du courtier Cyber Cover, premier cabinet de courtage en France spécialisé sur les risques Cyber et Fraude à destination des entreprises, l’une des premières mesures de protection qu’il recommande est la mise en place de l’authentification multifacteur pour l’ensemble des comptes. En fonction du niveau de protection mis en place par l’entreprise le montant de la prime peut aller du simple au double.
2. Augmenter la visibilité et contrôler les accès
Les assureurs cherchent à atténuer leurs pertes. Il est également nécessaire de conserver une politique de confiance zéro quant aux risques. Vous êtes plus disposé à identifier et prévenir les attaques lorsque vous vous concentrez sur la limitation et la protection des accès et que vous augmentez la visibilité sur les activités des utilisateurs et sur les tentatives d’accès.
La gestion des accès aide à répondre à la nécessité d’améliorer le contrôle et la surveillance des accès aux données en fonction du rôle de l’utilisateur. Elle cible aussi les principaux modes d’attaque plutôt que les indicateurs standards de compromission, et examine avec attention les actions non autorisées.
- Les autorisations des utilisateurs doivent être limitées en fonction de leurs besoins et de leurs buts (par exemple, un membre de l’équipe développement n’a pas besoin d’avoir accès aux fichiers RH)
- Les accès aux données doivent être sécurisées à l’aide de permissions telles que des permissions d’accès au réseau ou aux applications. L’autorisation et l’authentification vont de pair, cependant, puisque les individus ne protègent pas toujours leurs données comme ils le devraient, l’accès, le partage et l’utilisation, des données doivent également être surveillés, y compris les tentatives d’effacement ou les suppressions.
- Les données sensibles doivent être encryptées qu’elles soient utilisées ou non, et il doit y avoir un traitement systématique des exigences de conformité et des règles de gouvernance des données.
3. Attribuer des actions à des utilisateurs particuliers
L’existence d’un programme de surveillance solide et permanent aide à prouver que votre entreprise a une forte culture de la cybersécurité. C’est un moyen important pour justifier la réduction des risques lors d’une évaluation des risques.
Les rapports en cybersécurité évoluent en fonction des besoins des entreprises et des avancées technologiques. Côté business, les chefs d’entreprise reprochent parfois aux rapports d’être trop techniques, décousus et compliqués. Pire, les équipes en cybersécurité n’ont pas toujours la visibilité dont elles ont besoin pour avoir une image globale. Ajoutons à cela que, selon la manière dont les rapports sont rédigés et présentés, ils peuvent ne pas être suffisamment hiérarchisés et cohérents pour démontrer l’efficacité des processus et des investissements technologiques. Bien que nous ayons conscience de l’importance d’avoir une visibilité « de bout en bout », il peut parfois y avoir des angles morts ici et là, qui représentent un risque pour l’entreprise.
Fondamentalement, les responsables et équipes en cybersécurité doivent porter un regard critique sur les tableaux et rapports afin de s’assurer qu’ils aident réellement l’entreprise à gérer plus efficacement les risques et à prendre les bonnes décisions les concernant.
4. Planifier l’alerte et la réponse automatique en cas de violation
Automatiser autant que possible afin de garantir l’efficacité et l’efficience de l’ensemble du processus – de la surveillance de la surface d’attaque à la gestion des risques par des tiers, en passant par le contrat avec les assureurs. Idéalement, une entreprise doit être en mesure de rendre opérationnelle de manière collaborative sa posture en matière de sécurité et à propos des risques de sa chaîne d’approvisionnement à tout moment. La technologie peut aider les entreprises à atteindre cet objectif. Elle possède la capacité d’évaluer automatiquement les configurations et les contrôles dans un environnement cloud et de comprendre les risques sur la chaine d’approvisionnement afin de comprendre comment une entreprise se place d’un point de vue de sa surface d’attaque.
Economiser sur votre prime de cyber assurance grâce à de solides capacités en gestion des accès
Aucune de ces quatre bonnes pratiques ne suffit à elle seule pour que votre entreprise bénéficie d’une réduction sur sa prime de cyber assurance. Mais en mettant stratégiquement en place ces quatre pratiques avec une solution logicielle complète telle que UserLock, vous pourrez réduire de manière significative vos risques et ainsi démontrer votre faible profil de risque lors d’un contrôle des risques. De plus, avec un profil sécurité plus solide, vous serez plus à même de négocier une prime moins élevée pour votre cyber assurance, ce qui vous permettra d’économiser sur le long terme.