Sécurité des entreprises
La cyberassurance n’est pas seulement un filet de sécurité, mais elle peut également être un catalyseur pour faire progresser les pratiques et les normes de sécurité.
08 août 2024
•
,
3 minutes. lire
S’il y avait le moindre doute sur la relation entre la cybersécurité et le secteur de la cyberassurance, Black Hat USA 2024 l’a dissipé. Un après-midi complet sur une scène principale a été consacré au secteur de la cyberassurance, leur permettant de partager leurs points de vue sur la cybersécurité, l’évolution du paysage des menaces et ce que cela signifie pour la cybersécurité organisationnelle.
Ce que l’avenir réserve à la cybersécurité des entreprises, selon les cyber-assureurs
L’écosystème de l’assurance contre les cyberrisques évolue, passant d’une souscription basée sur l’humain, de polices annuelles, avec des dizaines d’entrées et de formes physiques, à une surveillance continue et augmentée par machine de millions d’entrées, le tout dans le domaine numérique. C’est une transformation numérique sous stéroïdes.
Les présentations comprenaient plusieurs statistiques et tendances : il s’agit, après tout, d’une industrie qui vit de données et de chiffres pour calculer les risques. Un présentateur de Coalition, un cyber-assureur spécialisé, a affirmé avoir aidé les assurés à résoudre 74 000 vulnérabilités, ce qui a entraîné une réduction de 64 % des sinistres.
Étant donné que le temps nécessaire pour exploiter une vulnérabilité une fois la preuve de concept divulguée publiquement (ou même si un correctif est disponible) peut être aussi court que 22 minutes, réduire le risque lié aux vulnérabilités est une victoire significative. Ce court délai rend presque impossible le test d’un correctif avant son déploiement.
Ce qu’il faut retenir de cette statistique, c’est que le cyber-assureur se fait le notificateur des vulnérabilités potentielles pour les clients ; Cependant, comme l’assureur a une connaissance approfondie de ce que les entreprises gèrent grâce au questionnaire et aux analyses d’assurance, il n’est pas si choquant qu’il s’oriente vers ce domaine spécifique.
Un présentateur de Tokio Marine a expliqué que le marché de la cyberassurance a stagné en 2023, avec environ 9,5 milliards de dollars de primes en 2022 et 2023. Un marché stable pourrait être le résultat de la transformation mentionnée ci-dessus. Lors de la souscription d’une police d’assurance, les entreprises doivent partager une quantité importante d’informations sur la posture de cybersécurité avec l’assureur. Cela pourrait même constituer une barrière à l’entrée.
Les questionnaires et les analyses de pré-assurance donnent à l’assureur un aperçu unique des détails des politiques de cybersécurité d’une entreprise, comme c’est le cas pour toute réclamation, car l’assureur connaît déjà toutes les solutions de protection en jeu. Cette masse de données sur une cyberattaque donne au secteur de l’assurance un ensemble de données unique : il peut identifier les domaines de préoccupation et les détails exacts sur la méthode d’entrée au cas où un cybercriminel aurait enfreint les mesures de protection.
Selon les présentations, les vecteurs d’attaque initiaux ont changé au cours de l’année écoulée : le phishing reste le problème le plus important, mais en 2024, les attaques exploitant le protocole RDP (Remote Desktop Protocol) et les réseaux privés virtuels (VPN) sans multi-facteurs changeront de place. authentification (MFA) activée (les attaques RDP tombent en position 3).
L’importance de la MFA était un message clair dans toutes les présentations liées à l’assurance. En 2021, 70 % des entreprises n’avaient pas mis en œuvre l’AMF, en 2023 et 2024, ce chiffre est d’environ 45 %. C’est une victoire facile : si vous n’avez pas activé MFA, faites-en une priorité.
La question « payer ou ne pas payer »
Un autre point de données intéressant est qu’une légère baisse du nombre d’entreprises payant une demande d’extorsion lorsqu’elles sont attaquées par un ransomware – il est tombé à 34,4 % en 2023 et à 26,5 % en 2024. Ceci est en fait en contradiction avec les données publiées par la Coalition dans leur rapport. Un récent livre blanc indique que le nombre de ceux qui paient une demande d’extorsion est de 40 %. Quoi qu’il en soit, le nombre d’entreprises qui paient les sommes est trop élevé. Les paiements ne devraient être qu’un dernier recours, et il est inconcevable que même 26,5 % choisissent cette option de dernier recours.
Je suis certain que l’argent parle et que les entreprises paient les demandes de ransomware car c’est l’option la plus simple, et s’il s’agit d’une décision purement financière, je peux voir la logique du paiement, mais ce n’est pas si simple et ceux qui ne paient pas une demande devraient être fier d’avoir des normes morales et éthiques.
Découvrez comment l’assurance contre les cyber-risques et la couverture contre les cyber-risques, combinées à des solutions avancées de cybersécurité, peuvent améliorer vos chances de survie si ou quand une cyberattaque se produit. Téléchargez notre livre blanc gratuit Prevent. Protéger. Assurer. ici.