Le paysage des risques
L’assurance constitue un instrument éprouvé de réduction des risques pour les entreprises. La recherche d’un équilibre entre les primes et les risques est un véritable art pour les entreprises, mais les anciennes règles de l’assurance ne couvrent pas les exigences du cybermarché. Et la multiplication des attaques ces dernières années a considérablement accru la pression.Les ransomwares se sont imposés comme un moyen très efficace mais simple d’attaquer les entreprises et de leur extorquer de l’argent, avec souvent peu de possibilités de remédiation. En outre, le travail à distance est venu ajouter de nouvelles menaces importantes, puisque les employés ont commencé à travailler en dehors du cadre relativement sûr des réseaux d’entreprise ce qui a significativement étendu la surface d’attaques.
Ces facteurs se conjuguent pour faire augmenter le coût des primes. Mais les profils de risque accrus ne constituent pas le seul problème. Les coûts les plus lourds d’une cyberattaque ne découlent pas de l’atteinte à la réputation ou de la perte d’actifs numériques. La réparation des dommages causés par une violation est de loin le poste le plus coûteux. Il est en effet probable que l’entreprise fasse appel à de nouveaux partenaires et à de nouvelles technologies pour résoudre les problèmes, doive refondre l’infrastructure informatique et absorber des temps d’arrêt de l’activité. De plus, il existe des coûts en aval, tels que les poursuites judiciaires et les amendes imposées par les autorités réglementaires. Quand on prend réellement en compte l’ensemble des coûts d’une violation, l’assurance semble presque une alternative bon marché.
Réduire les coûts d’assurance
Il n’existe pas de produit de cyberassurance couvrant tous les types de responsabilité. Au contraire, les compagnies d’assurance ont serré la vis, attendant des entreprises qu’elles fassent preuve de suffisamment de diligence et réalisent des investissements dans la sécurité pour prévenir et atténuer les cyberattaques. De la même façon finalement qu’une assurance habitation ne couvrira pas les dommages causés par un cambriolage si les portes ont été laissées ouvertes ou les clés dans les serrures.La cybersécurité est complexe et nécessite la mise en place de plusieurs couches pour couvrir une multitude de comptes d’utilisateurs et d’actifs numériques. Tenter de tout sécuriser au même niveau, est futile et coûteux. Pourtant, si les entreprises sont en mesure d’identifier les différents niveaux de cyber-risques auxquels elles sont exposées, elles pourront déterminer la stratégie la plus adaptée à leurs actifs respectifs. Une partie importante de ce processus consiste alors à vérifier et à gérer les comptes d’utilisateurs.
Selon nos recherches, pour chaque membre du personnel d’une entreprise, il existe plus de 30 applications et comptes associés en moyenne. L’analyse de ces multiples identités numériques en dit long sur la posture de sécurité. La compromission des identifiants associées à ces identités numériques est un objectif de premier ordre pour un cybercriminels. Il est donc important de déterminer s’il existe des problèmes, tels que des mots de passe réutilisés ou des conditions d’accès à révoquer - par exemple lorsqu’un employé a quitté l’entreprise. Grâce à une bonne connaissance et une bonne gestion des comptes d’utilisateur, les entreprises seront en mesure de combler les lacunes les plus fréquentes en matière de sécurité et pourront décider en toute connaissance de cause de ce qui doit être assuré et de leur niveau d’exposition au risque. Elles pourront ainsi démontrer leur stratégie à un assureur et peut-être négocier de meilleures primes.
Les primes de cyberassurance ne sont pas appelées à diminuer, et le choix d’une assurance globale en matière de cybersécurité serait coûteux et probablement futile. Toutefois, plus les organisations seront en mesure de démontrer l’efficacité de leur stratégie de cybersécurité fondée sur les risques et axée sur la gestion et l’analyse des comptes d’utilisateurs, plus elles pourront maîtriser les coûts de leur cyberassurance.
Par David Higgins, Technical Director EMEA chez CyberArk