Pour tous ceux qui ont travaillé dans le secteur de l’assurance au cours de la dernière décennie, il est inquiétant de voir à quel point le marché s’est durci et les nouveaux défis qu’il a découverts pour les cyber-agents généraux et les entreprises. Les incidents provoquant des cyber-ouragans comme Log4j et le conflit entre la Russie et l’Ukraine ont suscité davantage de conversations entre les cadres supérieurs sur la façon dont leurs organisations sont exposées aux acteurs extérieurs de la menace. Cependant, de nombreuses entreprises doivent encore faire des progrès pour réduire les expositions et investir dans un protocole de sécurité à l’échelle de l’organisation. Bien que nous n’ayons pas vu de “cyberouragans” majeurs à ce jour, il y a eu de nombreuses petites “tempêtes” entraînant une augmentation de la demande de cyber-assurance – un signe qu’une plus grande rafale pourrait se profiler à l’horizon. C’est pourquoi il est essentiel pour la mission des entreprises de toutes tailles et de tous secteurs de se préparer au moment où cela se produira – personne ne se trouve dans la zone de sécurité.
Pour rester bien équipées et protégées dans le marché durci d’aujourd’hui, les entreprises ont besoin d’une stratégie de cybersécurité fondamentale pour la gestion des risques tiers et l’atténuation des cyberincidents. Pour mettre en œuvre une stratégie efficace, ils doivent comprendre comment déterminer les niveaux de risque exacts, donner la priorité à la transparence des données dans les processus d’évaluation des risques et renforcer la cyber-confiance globale. Ci-dessous, j’ai décrit quelques façons dont les organisations peuvent gérer les risques liés aux tiers pour se préparer à une « cybertempête » et rester résilientes en cas de catastrophe :
Comprendre les facteurs tiers de gestion des cyberrisques
La cybersécurité n’offre pas de solution unique. De nombreux éléments méritent d’être pris en compte lorsqu’il s’agit de gérer le cyber-risque d’une organisation, tant d’un point de vue technique que non technique. La gestion des cyberrisques par des tiers est nécessaire pour une gamme de technologies différentes, avec des facteurs qui incluent :
- Fournisseur de services de messagerie/outils de sécurité des e-mails
- Logiciel spécifique à l’industrie
- Fournisseurs de services cloud/d’hébergement Web
- Réseaux privés virtuels (VPN)
- Pratiques de gestion des correctifs
Chaque solution tierce présente ses propres avantages uniques, mais elle comporte également ses propres vulnérabilités uniques. C’est pourquoi il est essentiel que les chefs d’entreprise comprennent où se situent exactement ces vulnérabilités, telles que la manière dont leurs informations sensibles peuvent être consultées, la probabilité que ces informations soient compromises et les angles morts potentiels dans la protection de ces informations. De plus, il existe d’autres éléments qui peuvent avoir un impact sur la gestion des risques qui vont au-delà de la cybersécurité. La mauvaise situation financière ou les circonstances comportementales d’un fournisseur peuvent rendre les entreprises plus vulnérables aux cyberattaques. Par exemple, si un fournisseur a plusieurs privilèges sur lui, semble non rentable ou emprunte plus qu’il ne peut rembourser, les acteurs extérieurs de la menace peuvent considérer l’entreprise comme une cible, provoquant la formation d’un ouragan autour de ses opérations. Une combinaison de gestion de l’agrégation des risques, d’analyse des risques basée sur les données et de surveillance humaine peut faire une différence significative dans la cyberprotection lorsqu’il s’agit de s’appuyer sur des solutions tierces.
Donner la priorité à la transparence des données
L’exploitation des données est essentielle pour les organisations afin de garantir des résultats fiables pour chaque évaluation des risques. Par conséquent, les chefs d’entreprise ont besoin d’une visibilité accrue sur toutes les données disponibles pour déterminer avec précision les cyber-expositions qui les exposent à un risque plus élevé. Malheureusement, en raison de la grande quantité de données qui transitent souvent d’une solution métier à une autre, il n’est pas facile de maintenir un niveau de visibilité élevé. C’est pourquoi les outils numériques qui prennent en charge la transparence des données doivent être régulièrement mis à jour et hiérarchisés dans la pile d’investissements en cybersécurité d’une organisation. Par exemple, le risque de compromission des données peut provenir d’un logiciel mal corrigé, de l’utilisation de programmes obsolètes ou d’applications cloud mal configurées. Dans le même temps, l’accès aux données en temps réel peut aider les organisations à identifier les menaces émergentes, même celles qui n’ont pas encore donné lieu à une réclamation d’assurance. En conséquence, les organisations peuvent enrichir leur compréhension des risques entrants avant même qu’un dommage opérationnel grave ou une tempête de menaces ne se produise.
La transparence des données, tout en fournissant aux organisations des informations approfondies sur les risques (y compris des informations en temps réel), peut également aider à analyser et à identifier les origines des risques les plus importants. Les dirigeants d’entreprise doivent bien sûr être tenus informés des cyber-expositions de leur organisation, mais ils ont souvent du mal à rassembler les informations appropriées pour exécuter en toute confiance les stratégies d’atténuation des risques. Des investissements ciblés dans la fourniture de données complètes contribuent non seulement à améliorer les résultats en matière de cybersécurité et à renforcer la cyberhygiène globale, mais conduisent à une confiance accrue à long terme.
Bâtir la cyberconfiance à long terme
Pour que les organisations puissent exécuter avec succès l’une des tactiques ci-dessus et atteindre leurs objectifs de part de marché à long terme, les chefs d’entreprise doivent pratiquer la cyber-confiance. La cyberconfiance peut être soutenue par un large éventail de ressources, avec l’éducation et la sensibilisation à la base de tout cela. Les organisations ne peuvent pas protéger ce qu’elles ne voient ni ne comprennent. Des initiatives telles que la formation régulière à la sécurité et l’élaboration d’un plan de réponse aux incidents peuvent aider les employés à se sentir plus soutenus et mieux informés.
Pour élaborer un plan de réponse aux incidents efficace, le plan doit s’appuyer sur une approche holistique, en se concentrant non seulement sur le rôle de la technologie, mais également sur l’élément humain. Par exemple, la formation des utilisateurs du système informatique peut renforcer la confiance des employés dans tous les départements. L’examen de la disposition et de la structure numérique des systèmes informatiques internes peut aider les employés à mieux comprendre où se situent les lacunes en matière de cybersécurité et les endroits inhabituels où ils peuvent accumuler certains risques. De plus, si la nature de cette infrastructure informatique est intrinsèquement plus résiliente – comme les systèmes cloud modernes qui fournissent la redondance et les sauvegardes par défaut – les organisations peuvent naviguer avec plus de confiance dans les complexités qui accompagnent chaque système.
S’il y a une leçon définitive que les dirigeants de l’industrie ont apprise au cours des dernières années, c’est qu’il n’y a pas deux cyberattaques à grande échelle qui se ressemblent. Par conséquent, il ne suffira pas de s’appuyer uniquement sur les informations des pertes passées pour éclairer les stratégies de cyberassurance actuelles. L’intégration de pratiques de sécurité modernes autour de la gestion des solutions tierces et de la transparence des données est essentielle pour se sentir équipé en cas de cyberouragan. L’accès aux informations historiques et en temps réel peut aider les organisations à élever leurs stratégies pour devenir les plus efficaces. Cette approche axée sur la technologie, tout en étant également ancrée dans l’intellect humain, peut soutenir la mentalité holistique nécessaire aux organisations pour réussir dans leurs initiatives de cybersécurité et, en fin de compte, favoriser une navigation en toute confiance dans la cyberassurance.
