ZATAZ » 4 bonnes pratiques pour réduire les risques de cyberattaques et économiser sur vos primes d'assurance – Zataz Magazine

Le rapport LUCY de l’AMRAE constate une augmentation de 44.4% du volume des primes versées par les entreprises et la dynamique n’est pas près de ralentir :  Standard & Poor’s Corp. prévoit une augmentation continue allant de 20% à 30% (en anglais) par an en moyenne sur les primes de cyberassurance pour les années à venir.
Autre point important, après la prise de position de l’Etat se disant prêt à acter l’indemnisation des cyber-rançons par les assurances début septembre, le Sénat vient de valider l’article 4 du projet de loi LOPMI permettant aux assurances de rembourser le paiement des cyber-rançons. A noter toutefois, cette pratique est contraire aux recommandations de l’ANSSI qui incite fermement les entreprises à ne pas payer pour ne pas encourager les cybercriminels. N’oubliez pas que même une fois la rançon payée, rien ne garantit que vous retrouverez vos données.
Alors comment prouver aux compagnies d’assurance que vous êtes à faible risque d’attaque et économiser sur les primes ? Pour vous accompagner, nous vous partageons quatre bonnes pratiques à suivre.
Le profil de risque de l’assuré et le goût du risque de l’assureur resteront toujours les plus grands facteurs pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le coût sera élevé pour les assurances et par conséquent, plus le coût sera élevé pour l’assuré.
Les entreprises dont le profil de risque est faible présentent moins de risques pour les assurances, et de ce fait bénéficient de tarifs plus avantageux. Donc, pour économiser sur les cyberassurances, vous devez réduire vos profils de risque.
Il existe autant de façons de réduire les risques, qu’il existe de risques eux-mêmes, nous ne les détaillerons donc pas toutes.
Mais attardons-nous sur les piliers d’un solide programme de gestion de risques, et sur les facteurs principaux pris en compte lors de l’évaluation de votre profil de risque réalisée par les assureurs.
Les mots de passe sont trop faibles, nous le savons depuis longtemps. La MFA n’est pas la solution miracle, mais c’est un axe de défense important pour lutter contre les mots de passe compromis. Dans le rapport Verizon Data Breach Investigation Report (DBIR), nous constatons de nombreuses variations et méthodes d’attaques pour compromettre les informations d’identification, mais aussi la grande efficacité de chaque méthode. Le rapport indique que les informations d’identification piratées sont à l’origine de 61% de toutes les violations.
Ajouter un second facteur d’authentification (2FA) signifie qu’il faut exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous savez » en plus du mot de passe. Si l’un des facteurs est compromis ou découvert, un utilisateur non autorisé aura au moins une barrière supplémentaire à franchir avant de parvenir à s’introduire dans le système ciblé.
Le marché de la cyberassurance se durcissant, les assureurs scrutent les profils et recherchent des clients ayant des contrôles de sécurité en accord avec leurs standards élevés. En imposant la MFA, les assureurs réduisent drastiquement leur exposition. L’authentification multifacteur est en passe de devenir une obligation pour tous les comptes, privilégiés ou non, sur place, à distance et dans le cloud.
Généralement les prérequis pour la signature d’un contrat de cyberassurance sont les mesures d’hygiène de l’ANSSI. Cependant, dans certains cas et selon le profil de votre entreprise, il est possible que votre assurance vous demande de répondre « oui » à l’ensemble des questions suivantes :
Selon Marc-Henri Boydron, fondateur du courtier Cyber Cover, premier cabinet de courtage en France spécialisé sur les risques Cyber et Fraude à destination des entreprises, l’une des premières mesures de protection qu’il recommande est la mise en place de l’authentification multifacteur pour l’ensemble des comptes. En fonction du niveau de protection mis en place par l’entreprise le montant de la prime peut aller du simple au double.
Les assureurs cherchent à atténuer leurs pertes. Il est également nécessaire de conserver une politique de confiance zéro quant aux risques. Vous êtes plus disposé à identifier et prévenir les attaques lorsque vous vous concentrez sur la limitation et la protection des accès et que vous augmentez la visibilité sur les activités des utilisateurs et sur les tentatives d’accès.
La gestion des accès aide à répondre à la nécessité d’améliorer le contrôle et la surveillance des accès aux données en fonction du rôle de l’utilisateur. Elle cible aussi les principaux modes d’attaque plutôt que les indicateurs standards de compromission, et examine avec attention les actions non autorisées.
L’existence d’un programme de surveillance solide et permanent aide à prouver que votre entreprise a une forte culture de la cybersécurité. C’est un moyen important pour justifier la réduction des risques lors d’une évaluation des risques.
Les rapports en cybersécurité évoluent en fonction des besoins des entreprises et des avancées technologiques. Côté business, les chefs d’entreprise reprochent parfois aux rapports d’être trop techniques, décousus et compliqués. Pire, les équipes en cybersécurité n’ont pas toujours la visibilité dont elles ont besoin pour avoir une image globale. Ajoutons à cela que, selon la manière dont les rapports sont rédigés et présentés, ils peuvent ne pas être suffisamment hiérarchisés et cohérents pour démontrer l’efficacité des processus et des investissements technologiques. Bien que nous ayons conscience de l’importance d’avoir une visibilité « de bout en bout », il peut parfois y avoir des angles morts ici et là, qui représentent un risque pour l’entreprise.
Fondamentalement, les responsables et équipes en cybersécurité doivent porter un regard critique sur les tableaux et rapports afin de s’assurer qu’ils aident réellement l’entreprise à gérer plus efficacement les risques et à prendre les bonnes décisions les concernant.
Automatiser autant que possible afin de garantir l’efficacité et l’efficience de l’ensemble du processus – de la surveillance de la surface d’attaque à la gestion des risques par des tiers, en passant par le contrat avec les assureurs. Idéalement, une entreprise doit être en mesure de rendre opérationnelle de manière collaborative sa posture en matière de sécurité et à propos des risques de sa chaîne d’approvisionnement à tout moment. La technologie peut aider les entreprises à atteindre cet objectif. Elle possède la capacité d’évaluer automatiquement les configurations et les contrôles dans un environnement cloud et de comprendre les risques sur la chaine d’approvisionnement afin de comprendre comment une entreprise se place d’un point de vue de sa surface d’attaque.
Aucune de ces quatre bonnes pratiques ne suffit à elle seule pour que votre entreprise bénéficie d’une réduction sur sa prime de cyber assurance. Mais en mettant stratégiquement en place ces quatre pratiques avec une solution logicielle complète telle que UserLock, vous pourrez réduire de manière significative vos risques et ainsi démontrer votre faible profil de risque lors d’un contrôle des risques. De plus, avec un profil sécurité plus solide, vous serez plus à même de négocier une prime moins élevée pour votre cyber assurance, ce qui vous permettra d’économiser sur le long terme.





Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.
Entrez une adresse mail

Sans publicité – FeedBurner
Revue de presse : ZATAZ Revue de presse
ZATAZ Podcast TV : Twitch / Youtube.
DSB : Data Security Breach
P
age officielle Damien Bancal
Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole 2022 ZATAZ : 70270
Taux de correction (50 derniers cas) : 92 %
Alerter
anonymement.
Alertes envoyées au 01/02/2020: + 1900
Espaces pirates sous surveillance: +27011
Fuites constatées en 2020 : +13 milliards (!)

source

A propos de l'auteur

Backlink pro

Ajouter un commentaire