4 bonnes pratiques pour réduire les risques de cyberattaques et économiser sur vos primes d’assurance

Il ne s’agit pas de savoir si, mais quand votre entreprise sera confrontée à une cybermenace. De plus en plus d’entreprises font appel à une cyberassurance afin de réduire les coûts éventuels. Mais avec l’augmentation des primes de cyberassurance et des cyberattaques, les cyberassurances sont en passe de devenir encore plus chères ou de couvrir moins de risques, voire les deux.

Le rapport LUCY de l’AMRAE constate une augmentation de 44.4% du volume des primes versées par les entreprises et la dynamique n’est pas près de ralentir :  Standard & Poor’s Corp. prévoit une augmentation continue allant de 20% à 30% (en anglais) par an en moyenne sur les primes de cyberassurance pour les années à venir.

Autre point important, après la prise de position de l’Etat se disant prêt à acter l’indemnisation des cyber-rançons par les assurances début septembre, le Sénat vient de valider l’article 4 du projet de loi LOPMI permettant aux assurances de rembourser le paiement des cyber-rançons. A noter toutefois, cette pratique est contraire aux recommandations de l’ANSSI qui incite fermement les entreprises à ne pas payer pour ne pas encourager les cybercriminels. N’oubliez pas que même une fois la rançon payée, rien ne garantit que vous retrouverez vos données.

Alors comment prouver aux compagnies d’assurance que vous êtes à faible risque d’attaque et économiser sur les primes ? Pour vous accompagner, nous vous partageons quatre bonnes pratiques à suivre.

Gros plan sur votre profil de risque

Le profil de risque de l’assuré et le goût du risque de l’assureur resteront toujours les plus grands facteurs pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le coût sera élevé pour les assurances et par conséquent, plus le coût sera élevé pour l’assuré.

Les entreprises dont le profil de risque est faible présentent moins de risques pour les assurances, et de ce fait bénéficient de tarifs plus avantageux. Donc, pour économiser sur les cyberassurances, vous devez réduire vos profils de risque.

4 bonnes pratiques en cybersécurité pour réduire votre profil de risque

Il existe autant de façons de réduire les risques, qu’il existe de risques eux-mêmes, nous ne les détaillerons donc pas toutes.

Mais attardons-nous sur les piliers d’un solide programme de gestion de risques, et sur les facteurs principaux pris en compte lors de l’évaluation de votre profil de risque réalisée par les assureurs.

1.      Mettre en place la MFA

Les mots de passe sont trop faibles, nous le savons depuis longtemps. La MFA n’est pas la solution miracle, mais c’est un axe de défense important pour lutter contre les mots de passe compromis. Dans le rapport Verizon Data Breach Investigation Report (DBIR), nous constatons de nombreuses variations et méthodes d’attaques pour compromettre les informations d’identification, mais aussi la grande efficacité de chaque méthode. Le rapport indique que les informations d’identification piratées sont à l’origine de 61% de toutes les violations.

Ajouter un second facteur d’authentification (2FA) signifie qu’il faut exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous savez » en plus du mot de passe. Si l’un des facteurs est compromis ou découvert, un utilisateur non autorisé aura au moins une barrière supplémentaire à franchir avant de parvenir à s’introduire dans le système ciblé.

Où les cyberassureurs souhaitent-ils voir la MFA déployée ?

Le marché de la cyberassurance se durcissant, les assureurs scrutent les profils et recherchent des clients ayant des contrôles de sécurité en accord avec leurs standards élevés. En imposant la MFA, les assureurs réduisent drastiquement leur exposition. L’authentification multifacteur est en passe de devenir une obligation pour tous les comptes, privilégiés ou non, sur place, à distance et dans le cloud.

Généralement les prérequis pour la signature d’un contrat de cyberassurance sont les mesures d’hygiène de l’ANSSI. Cependant, dans certains cas et selon le profil de votre entreprise, il est possible que votre assurance vous demande de répondre « oui » à l’ensemble des questions suivantes :

  1. Est-ce qu’une solution d’authentification multifacteur est requise lorsque les employés souhaitent accéder à leurs emails via un site internet ou via un service cloud ?
  2. Est-ce qu’une solution d’authentification multifacteur est requise dans le cadre des accès au réseau à distance des salariés, des contractuels ou d’un service tiers ?
  3. Outre les accès à distance, est-ce que l’authentification multifacteur est demandée dans les cas suivants, y compris pour les services tiers :
    1. Pour tous les accès administrateurs internes et distants aux services d’annuaire (Active Directory, LDAP, etc.)
    2. Pour tous les accès administrateurs internes et distants aux sauvegardes du réseau
    3. Pour tous les accès administrateurs internes et distants aux composants de l’infrastructure réseau (switch, routeur et pare feu)
    4. Pour tous les accès administrateurs aux terminaux et serveurs de l’entreprise

Selon Marc-Henri Boydron, fondateur du courtier Cyber Cover, premier cabinet de courtage en France spécialisé sur les risques Cyber et Fraude à destination des entreprises, l’une des premières mesures de protection qu’il recommande est la mise en place de l’authentification multifacteur pour l’ensemble des comptes. En fonction du niveau de protection mis en place par l’entreprise le montant de la prime peut aller du simple au double.

2.      Augmenter la visibilité et contrôler les accès

Les assureurs cherchent à atténuer leurs pertes. Il est également nécessaire de conserver une politique de confiance zéro quant aux risques. Vous êtes plus disposé à identifier et prévenir les attaques lorsque vous vous concentrez sur la limitation et la protection des accès et que vous augmentez la visibilité sur les activités des utilisateurs et sur les tentatives d’accès.

La gestion des accès aide à répondre à la nécessité d’améliorer le contrôle et la surveillance des accès aux données en fonction du rôle de l’utilisateur. Elle cible aussi les principaux modes d’attaque plutôt que les indicateurs standards de compromission, et examine avec attention les actions non autorisées.

  • Les autorisations des utilisateurs doivent être limitées en fonction de leurs besoins et de leurs buts (par exemple, un membre de l’équipe développement n’a pas besoin d’avoir accès aux fichiers RH)
  • Les accès aux données doivent être sécurisées à l’aide de permissions telles que des permissions d’accès au réseau ou aux applications. L’autorisation et l’authentification vont de pair, cependant, puisque les individus ne protègent pas toujours leurs données comme ils le devraient, l’accès, le partage et l’utilisation, des données doivent également être surveillés, y compris les tentatives d’effacement ou les suppressions.
  • Les données sensibles doivent être encryptées qu’elles soient utilisées ou non, et il doit y avoir un traitement systématique des exigences de conformité et des règles de gouvernance des données.

3.      Attribuer des actions à des utilisateurs particuliers

L’existence d’un programme de surveillance solide et permanent aide à prouver que votre entreprise a une forte culture de la cybersécurité. C’est un moyen important pour justifier la réduction des risques lors d’une évaluation des risques.

Les rapports en cybersécurité évoluent en fonction des besoins des entreprises et des avancées technologiques. Côté business, les chefs d’entreprise reprochent parfois aux rapports d’être trop techniques, décousus et compliqués. Pire, les équipes en cybersécurité n’ont pas toujours la visibilité dont elles ont besoin pour avoir une image globale. Ajoutons à cela que, selon la manière dont les rapports sont rédigés et présentés, ils peuvent ne pas être suffisamment hiérarchisés et cohérents pour démontrer l’efficacité des processus et des investissements technologiques. Bien que nous ayons conscience de l’importance d’avoir une visibilité « de bout en bout », il peut parfois y avoir des angles morts ici et là, qui représentent un risque pour l’entreprise.

Fondamentalement, les responsables et équipes en cybersécurité doivent porter un regard critique sur les tableaux et rapports afin de s’assurer qu’ils aident réellement l’entreprise à gérer plus efficacement les risques et à prendre les bonnes décisions les concernant.

4.      Planifier l’alerte et la réponse automatique en cas de violation

Automatiser autant que possible afin de garantir l’efficacité et l’efficience de l’ensemble du processus – de la surveillance de la surface d’attaque à la gestion des risques par des tiers, en passant par le contrat avec les assureurs. Idéalement, une entreprise doit être en mesure de rendre opérationnelle de manière collaborative sa posture en matière de sécurité et à propos des risques de sa chaîne d’approvisionnement à tout moment. La technologie peut aider les entreprises à atteindre cet objectif. Elle possède la capacité d’évaluer automatiquement les configurations et les contrôles dans un environnement cloud et de comprendre les risques sur la chaine d’approvisionnement afin de comprendre comment une entreprise se place d’un point de vue de sa surface d’attaque.

Economiser sur votre prime de cyber assurance grâce à de solides capacités en gestion des accès

Aucune de ces quatre bonnes pratiques ne suffit à elle seule pour que votre entreprise bénéficie d’une réduction sur sa prime de cyber assurance. Mais en mettant stratégiquement en place ces quatre pratiques avec une solution logicielle complète telle que UserLock, vous pourrez réduire de manière significative vos risques et ainsi démontrer votre faible profil de risque lors d’un contrôle des risques. De plus, avec un profil sécurité plus solide, vous serez plus à même de négocier une prime moins élevée pour votre cyber assurance, ce qui vous permettra d’économiser sur le long terme.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.