La cyberassurance change, soyons prêts !

La recrudescence des attaques par ransomware a fait de la cyberassurance une priorité pour les dirigeants d’entreprise. Le débat figure même à l’Assemblée nationale avec une proposition de loi, polémique, sur le sujet. Ce projet a été retravaillé car il s’était tout d’abord attiré les foudres des experts de la cybersécurité, au sujet du paiement des rançons lors des cyberattaques.

Toutefois, malgré cette prise de conscience, il est plus difficile que jamais d’obtenir ou de renouveler une police d’assurance. Les cyberactivités néfastes continuent de mettre la pression sur les assureurs qui réagissent en établissant des primes encore plus élevées et formulent des exigences de souscription plus strictes, afin d’atténuer les risques. De ce fait, ce qui était considéré comme acceptable pour 2022 pourrait ne pas l’être en 2023.

Les entreprises, pour assurer leur cyber-risque en 2023, doivent commencer à se préparer dès maintenant, afin d’être en mesure de répondre à une multitude de questions préalables à l’audit et à démontrer une stratégie de défense renforcée.

Principaux défis du marché de la cyberassurance

La fréquence et la sophistication croissantes des cyberattaques, en particulier des ransomwares, ont conduit de plus en plus d’entreprises à rechercher une assurance. Dans le même temps, la demande de rançon moyenne a augmenté de 45 % en 2021, selon un récent rapport du Group-IB, atteignant 247 000 dollars.

Forts de ce constat, de nombreux fournisseurs de cyberassurance ont fait état de pertes directes considérables pour les polices autonomes. Ils doivent donc continuer de couvrir de manière adéquate les coûts croissants pour les organisations, dans un paysage de la menace en constante mutation. L’étude de l’AMRAE sur la couverture assurantielle du risque cyber en France indique que le volume des primes versées par les entreprises a augmenté de 44,4 % en 2022, par rapport à l’année précédente, alors que les capacités de couverture souscrites ont pour leur part diminué. Et ce, quelle que soit la taille de l’organisation.

En outre, les assureurs ne tiennent pas uniquement compte du risque ransomware dans leur cahier des charges pour souscrire à une garantie en 2023. La volatilité actuelle des marchés et les tensions géopolitiques persistantes entrent également en ligne de compte. SolarWinds, Kaseya, Log4j et d’autres incidents très médiatisés ont intensifié les préoccupations concernant les risques liés à la supply chain des logiciels, suscitant de nouvelles questions sur l’exposition à l’agrégation et sur les pertes systémiques. Pendant ce temps, les réglementations mondiales en matière de protection de la vie privée continuent d’évoluer de manière disparate, et les litiges et les amendes augmentent – ce qui soulève encore plus de questions en matière de souscription.

Les frais étant élevés, HelpNetSecurity indique que le nombre d’organisations qui n’auront pas les moyens de souscrire un contrat de cyberassurance, ou qui se verront refuser ou proposer une couverture limitée, devrait doubler en 2023. D’ailleurs, cette baisse a déjà débuté, selon l’AMRAE, la couverture des entreprises ayant diminué de 4,4 % entre 2021 et 2022.

Augmentation des exigences et contrôles solides pour garder une longueur d’avance

Si l’obtention d’une police d’assurance ou d’un renouvellement aux bonnes conditions peut se révéler difficile, les assureurs sont plus favorables aux entreprises équipées de contrôles de sécurité et de plans de réponse aux incidents robustes – en particulier celles qui sont prêtes à plonger plus en profondeur dans leurs architectures de cybersécurité et leurs feuilles de route prévues. Les assureurs évaluent souvent les systèmes et les pratiques de sécurité en utilisant des outils d’analyse open source comme OpenVAS et OpenSCAP pour rechercher les vulnérabilités des réseaux et des services de notation de la sécurité comme SecurityScorecard et BitSight pour évaluer les risques. Ils collaborent souvent avec des entreprises de cybersécurité externes pour vérifier la protection des organisations.

Au cours de ces évaluations, ils recherchent des preuves de l’existence de contrôles et de pratiques spécifiques en matière de cybersécurité, et les prochains audits de 2023 examineront certains domaines plus attentivement que jamais. Au départ, les assureurs voulaient voir si une entreprise formait ses employés aux techniques du phishing et du vol d’identifiants et si elle utilisait des solutions de détection et de réponse aux points de terminaison (EDR/XDR) pour aider à identifier et à remédier aux activités suspectes. Désormais, puisque les attaques par ransomware commencent généralement sur les postes de travail et les serveurs, la protection des terminaux sera d’autant plus passée au crible.

Toutefois, si la formation et les solutions EDR/XDR sont toutes deux essentielles (et toujours exigées par la plupart des assureurs), les cybercriminels innovent en continu. Il est donc très difficile pour les employés de reconnaître de manière fiable les nouvelles techniques d’attaque, et cela signifie également que les acteurs malveillants ont trouvé des moyens de désactiver ou de contourner l’EDR/XDR en abusant des identifiants administratifs, comme ce fut le cas pour l’attaque de SolarWind. Cette situation a donc suscité un examen plus approfondi des contrôles des privilèges des points d’accès, en particulier de la capacité d’une entreprise à supprimer les droits d’administration locale de tous les utilisateurs. Le grand défi pour les organisations sera ici de trouver le bon équilibre entre le contrôle du moindre privilège et l’efficacité opérationnelle.

Par ailleurs, les exigences en matière d’authentification multifactorielle (MFA), jusqu’à récemment un simple point à cocher pour les assureurs, sont également de plus en plus nombreuses et élevées, en raison du fait que la MFA n’était pas pleinement utilisée, notamment dans le domaine de la santé et dans l’enseignement supérieur. Les fournisseurs ont constaté d’importantes lacunes dans la couverture des accès à privilèges, qui ne sont pas souvent liés à une personne spécifique (par exemple, le compte admin qui existe sur chaque serveur), mais qui sont utilisés par les administrateurs système et d’autres utilisateurs disposant de privilèges, et protègent des données sensibles. En conséquence, les assureurs ont commencé à exiger une gestion des accès à privilèges (PAM) pour les comptes qui ne sont pas liés à des utilisateurs spécifiques, grâce à une MFA, ainsi que l’isolement des biens et des informations de grande valeur.

Les assureurs s’intéressent également à la manière dont les organisations authentifient les utilisateurs à privilèges tiers ; c’est-à-dire les fournisseurs externes qui doivent accéder aux données sensibles et aux systèmes de l’entreprise. Bien que ces derniers aient besoin du même niveau de protection, les équipes en charge de la sécurité leur accordent pourtant rarement la même attention qu’aux employés.

Des identités machines à ne pas négliger

Cette attention accrue portée à la gestion des accès à privilèges commence à dépasser les identités humaines pour s’étendre à celles non humaines, qui sont désormais plus nombreuses que les utilisateurs humains. Ces identités machines requièrent un accès à des comptes et des secrets codés en dur. En effet, une solution standard ou maison nécessitant des informations d’identification ou des secrets puissants leur demande de remplir leur fonction, quelle qu’elle soit, depuis les plateformes de données de gestion de la configuration (CMBD) aux outils d’orchestration DevOps, en passant par l’automatisation des processus robotiques (RPA). Dans ce cadre, les assureurs cherchent à renforcer les contrôles des accès à privilèges autour des systèmes de gestion automatisée des correctifs, des scanners de vulnérabilité et d’autres outils de sécurité existants que les hackers peuvent essayer de désactiver.

Au-delà des mesures de protection technologiques, les compagnies d’assurance veulent encore voir l’organisation appliquer des pratiques humaines saines, telles qu’une formation continue à la cybersécurité, afin de renforcer une culture de responsabilité partagée. Ils évalueront également les pratiques de sauvegarde des données et les plans de réponse aux incidents de l’organisation, afin de déterminer la rapidité avec laquelle l’entreprise pourrait se remettre d’une attaque.

Un pas dans la bonne direction

Alors que les organisations se préparent à renouveler leur contrat de cyberassurance, elles doivent être au fait de l’évolution des exigences en matière de contrôle de sécurité pour s’adapter au rythme effréné du monde numérique. Pourtant, l’accélération du changement est toujours difficile d’un point de vue organisationnel et culturel, et peut susciter la peur et l’incertitude. La meilleure façon de minimiser ce problème est de s’assurer que les collaborateurs comprennent pourquoi ces contrôles ont lieu, et qu’ils n’impacteront pas leur efficacité opérationnelle. Pour ce faire, l’éducation est primordiale.

Heureusement, les entreprises sont de plus en plus nombreuses à prendre des mesures significatives pour renforcer leurs défenses contre les ransomwares. Au fur et à mesure que des contrôles plus stricts sont mis en œuvre et utilisés plus efficacement, les pertes des assureurs commencent à se stabiliser et à adoucir un peu le marché. Alors que les organisations s’efforcent de répondre aux exigences actuelles, tout en gardant un œil sur l’avenir, elles doivent perpétrer l’effort d’atténuation des cyber-risques sans ralentir les activités, pour continuer d’avancer dans la bonne direction.

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire