L’augmentation du travail à distance pendant et après la pandémie a considérablement accru les cyber-vulnérabilités. Avec l’augmentation du coût des cyber-violations (à l’échelle mondiale, le coût moyen d’une violation grave était de 3,9 millions de dollars en 2019, il est essentiel d’investir dans la cyber-assurance. Malgré cela, seules 11% des entreprises britanniques disposent d’une cyber-assurance adéquate. Alors, pourquoi si peu protégé?
Le manque de clarté sur la cyberassurance est une préoccupation majeure. Les primes sont souvent incohérentes, chères et vagues quant à l’étendue de la couverture, en raison de l’immaturité relative du marché. Cela a rendu difficile pour les responsables de la sécurité de l’information de faire confiance à la cyber-assurance pour payer en cas de violation ou pour être sûrs qu’ils répondent aux exigences d’audit de l’assureur.
L’un des plus grands défis, cependant, concerne la quantification du cyber-risque. Bien que des approches et des cadres tels que NIST CSF, CIS 20, NCSC Cyber Essentials et ISO 270001 aident à développer des capacités de cybersécurité, ils ne fournissent pas les outils pour quantifier le risque. Par conséquent, les dirigeants ont tendance à surestimer leur cybermaturité et à sous-estimer les primes de cyberassurance. Et lorsque l’assureur recommande des moyens de rendre la couverture plus abordable, la perturbation et l’investissement peuvent être désagréables.
Les cybercriminels exploitent l’incertitude des organisations concernant la cybersécurité, réalisant qu’ils peuvent adapter les attaques aux appétits pour le risque de leurs cibles. Dans un type d’attaque de ransomware de plus en plus populaire, les criminels recherchent leurs victimes pour évaluer dans quelle mesure elles pourraient être disposées à payer. Ces criminels savent que si les cibles considèrent leurs demandes comme plus abordables et moins perturbatrices que la restauration des systèmes, ils préféreront souvent payer la rançon.
L’éthique de la négociation avec les criminels est discutable et les impacts commerciaux seront substantiels. Ce n’est qu’une question de temps avant que les régulateurs, les sociétés de capital-investissement et les actionnaires ne commencent à dénoncer de telles tactiques.
Les nouveaux développements sur le marché de la cyberassurance peuvent aider les organisations à adopter une meilleure approche. Les principaux fournisseurs proposent des options de cyberassurance innovantes adaptées aux besoins individuels de l’organisation, en faisant appel à des experts en cybersécurité pour évaluer la cybermaturité.
Cependant, de nombreuses organisations hésitent à laisser une entreprise ayant un produit à vendre mener une enquête à si grande échelle sur leur fonctionnement interne. C’est alors qu’il peut être utile d’avoir un examen indépendant de votre risque interne.
Que peuvent mettre en place les RSSI et les acheteurs pour répondre à des niveaux d’audit rigoureux ?
Cet examen peut aider à répondre aux exigences d’audit et de conformité des polices d’assurance et se concentrer sur les domaines clés dans lesquels les organisations doivent obtenir une assurance. Le premier concerne les processus, c’est-à-dire comprendre les risques liés aux politiques, processus et contrôles opérationnels informatiques, et s’assurer que les rôles et les responsabilités sont bien définis.
Ensuite, il doit y avoir des procédures efficaces de gestion des sauvegardes et de récupération après les défaillances opérationnelles. Cela devrait inclure la gestion des risques particuliers liés à la maintenance et au support en contrôlant les changements introduits dans l’infrastructure informatique et les paysages applicatifs.
Cela devrait être renforcé par un travail sur les contrôles de sécurité pour s’assurer que la direction publie un ensemble complet de politiques et de procédures qui soutiennent les objectifs d’intégrité de l’information de l’organisation. Cela inclut des processus pour contrôler l’ajout, la modification ou la suppression de l’accès des utilisateurs, ainsi que pour gérer les exigences d’accès aux données et l’examen régulier de cet accès. Dans le même temps, les risques pour les données critiques au niveau du système d’exploitation doivent être évalués, ainsi que la vérification des mesures de sécurité physiques.
Il existe un certain nombre d’approches qui peuvent être utilisées pour relever ces défis, allant des modèles de confiance zéro à l’authentification multifacteur (MFA) et à la détection et à la réponse des points finaux (EDR et XDR). La surveillance protectrice, le cryptage appliqué aux aspects les plus critiques de votre réseau et les processus de gestion des correctifs peuvent également fournir l’assurance que les assureurs recherchent.
La difficulté est que ces processus sont généralement cloisonnés et que la communication de leurs résultats peut être aléatoire. Ce qu’il faut, c’est rassembler ces politiques et ces contrôles dans un référentiel central. Ce type de gestion intégrée des risques (IRM) crée un lieu central pour gérer toutes les exigences d’audit, qu’il s’agisse de la cyber-assurance, de la conformité ISO ou des exigences légales d’audit plus larges. Cela vous permet ensuite de rationaliser votre réponse et de réduire les pressions sur les ressources internes déjà sollicitées.
Les plateformes IRM peuvent également mettre en évidence les risques qui ont le plus d’impact sur vos opérations afin que vous puissiez les traiter par ordre de priorité, ce qui permet d’optimiser les dépenses et d’utiliser les ressources plus efficacement.
De plus, ils offrent une vue en temps réel de la conformité, avec une approche basée sur les risques qui est consolidée, cohérente et agrégée sur l’ensemble de l’entreprise. D’autres gains d’efficacité dans le système IRM peuvent être obtenus grâce à l’automatisation du flux de travail.
En consolidant vos processus de gestion des risques, vous pouvez vous assurer que les contrôles restent efficaces pour atteindre leurs objectifs et démontrer la conformité aux politiques, normes et réglementations avec un impact réduit sur vos exigences opérationnelles quotidiennes. Tout cela facilitera la satisfaction des exigences des cyberassureurs et permettra aux organisations d’avoir la certitude que leur police les protégera lorsqu’elles en auront besoin.
Carl Nightingale est un expert en cybersécurité chez PA Consulting.
