Quelle est votre responsabilité dans un monde piraté ? Êtes-vous couvert ?
RÉSUMÉ EXÉCUTIF
À mesure que les applications passent du centre de données au cloud, les organisations sont inévitablement obligées de gérer les risques de quatre manières : l’atténuation, l’évitement, l’acceptation et le transfert. Cet article porte sur cette dernière voie, le transfert des risques, et plus particulièrement sur la nécessité d’une cyberassurance. Les violations de données devenant courantes, voire inévitables, le besoin d’assurance a augmenté de manière exponentielle, tout comme les compétences des assureurs en matière d’évaluation des risques et de recommandation d’améliorations. Chaque entreprise devrait envisager de souscrire une cyberassurance.
5 MIN. LIRE
Chaque entreprise devrait envisager de souscrire une cyberassurance. Vous pourriez être surpris de ce que vous pouvez apprendre de ce processus.
Il y a quelques années, souscrire une assurance cybernétique consistait à remplir un seul formulaire, à répondre à quelques questions et à attester que votre entreprise respectait certaines normes. Aujourd’hui, le processus est beaucoup plus contraignant et intense, mais il est également beaucoup plus instructif, non seulement pour l’assureur, mais aussi pour vous. Vous pouvez en apprendre beaucoup sur les risques auxquels votre entreprise est confrontée en prenant le temps de remplir une application d’assurance cybernétique.
Surmonter ce processus peut vous aider à révéler les faiblesses et les lacunes de votre stratégie.
Certains risques sont évidents pour quiconque lit les gros titres d’aujourd’hui : les violations de données, les interruptions d’activité liées à la cybercriminalité (attaques DDoS) et l’extorsion informatique sont les trois principales raisons pour lesquelles les entreprises étudient la cyberassurance.
Mais il existe également de nombreux risques moins évidents. Par exemple, de nombreuses entreprises ont recours à une cyberassurance pour compenser le risque de non-conformité involontaire aux réglementations. En fait, éviter les amendes et pénalités réglementaires est l’une des raisons les plus courantes pour lesquelles les entreprises souscrivent une cyberassurance. Même si vous pensez être en conformité avec la réglementation, le risque d’avoir oublié de mettre un point sur un « i » ou de barrer un « t » peut justifier la prime d’une cyberassurance. Sans surprise, les trois secteurs qui achèteront probablement le plus d’assurance cybernétique à l’avenir sont également parmi les plus réglementés : les services professionnels, les services financiers et les soins de santé.
Pourquoi les applications d’assurance sont-elles si utiles ? Parce que les assureurs veulent également vérifier exactement ce que vous devez savoir : que vous disposez d’une stratégie et d’un processus solides pour détecter les attaques et limiter les dommages. Le fait de surmonter le processus d’explication des technologies, des processus et des politiques de sécurité de votre entreprise peut contribuer à mettre en évidence les faiblesses et les lacunes de votre stratégie. C’est un défi, mais votre entreprise en sortira plus forte.
Connaissez votre score de sécurité
Les compagnies d’assurance utilisent de plus en plus des systèmes de notation de sécurité, tels que BitSight, SecurityScorecard et même FICO, qui a récemment étendu son propre système de notation pour couvrir la sécurité. Ces services surveillent en permanence les événements visibles de l’extérieur, notamment les relais de spam, les ordinateurs compromis au sein du réseau de votre entreprise et les ports ouverts dans l’espace d’adressage IP de votre entreprise, qui donnent une idée de la violation éventuelle du réseau de votre entreprise.
665 000 $
Le coût moyen d’une violation de 2013 à 2015. La perte moyenne de données s’élevait à plus de deux millions d’enregistrements.
Comme un score de crédit, ces services fournissent une vue extérieure d’un état interne, dans ce cas, votre niveau de sécurité. Ils peuvent même aider à détecter les violations et donner à la direction une indication de la façon dont votre entreprise se compare à ses pairs.
Découvrez si vous êtes couvert ou non
Malheureusement, de nombreuses entreprises ne comprennent pas pleinement ce que couvre leur assurance. Tout comme les propriétaires peuvent être choqués d’apprendre que leur assurance habitation ne couvre pas les inondations, les entreprises peuvent découvrir qu’un incident n’est pas couvert par leur cyberassurance.
Pour cette raison, pensez à réaliser des exercices sur table qui vous permettront d’examiner différents scénarios de couverture. Si votre réseau est piraté en raison de failles de sécurité d’une application tierce, votre entreprise est-elle couverte par la police d’assurance envisagée ? Et si l'un de vos employés prenait une clé USB sur le parking de votre entreprise, l'insérait dans son ordinateur portable et paralysait votre réseau, provoquant ainsi l'arrêt de votre site de commerce électronique ? La perte de revenus est-elle couverte ?
De nombreux assureurs tentent de minimiser leurs coûts potentiels en réduisant les montants de couverture ou en incluant des exceptions dans leur couverture. Il est important de prendre en compte ces limites lors de l’évaluation des politiques et de l’examen des scénarios.
Les petites entreprises et les fournisseurs ont également besoin d’une couverture
Selon l'étude NetDiligence Cyber Claims Study 2016 , la violation moyenne survenue entre 2013 et 2015 a entraîné la perte de plus de deux millions de dossiers et a coûté 665 000 $. L’étude révèle que la majorité des réclamations proviennent d’entreprises dont le chiffre d’affaires est inférieur à 2 milliards de dollars.
Comme le montrent les chiffres, les entreprises de toutes tailles souffrent d’événements cybernétiques et ont besoin d’une cyberassurance, y compris les petites organisations. Les grandes entreprises devraient envisager d’exiger que leurs fournisseurs disposent également d’un certain niveau de couverture.
Enfin, les entreprises de toutes tailles doivent s’assurer que leurs franchises ne sont pas trop élevées et qu’elles comprennent quels facteurs sont pris en compte lors du calcul des dommages. Si votre assurance ne couvre pas un incident parce qu’il relève de votre franchise, la couverture ne vaut rien.
Sara Boddy dirige actuellement F5 Labs, la division de reporting des renseignements sur les menaces de F5 Networks. Elle est arrivée chez F5 après avoir travaillé chez Demand Media où elle était vice-présidente de la sécurité de l'information et de la veille stratégique. Sara a dirigé l'équipe de sécurité chez Demand Media pendant 6 ans. Avant de rejoindre Demand Media, elle a occupé divers postes de conseil en sécurité de l'information pendant 11 ans chez Network Computing Architects et Conjungi Networks.