.png)
Pourquoi la segmentation est importante si vous voulez une cyber-assurance ?
L'assurance cyber, également connue sous le nom d'assurance responsabilité civile, couvre la responsabilité de votre entreprise en cas de violation de données ou d'événement cybernétique pouvant impliquer des données sensibles telles que des informations sur les clients. Il peut s'agir d'informations personnellement identifiables (IPI) telles que les numéros de sécurité sociale, les informations relatives aux cartes de crédit et aux comptes, les permis de conduire et les dossiers médicaux.
L'assurance cybernétique permet généralement de couvrir les coûts liés à la notification d'une violation de données aux clients, au rétablissement de l'identité personnelle des clients concernés, puis à la récupération et à la réparation des données, des systèmes informatiques et des réseaux compromis. L'assurance cybernétique est souvent exclue de l'assurance responsabilité civile générale et de l'assurance contre les délits.
En règle générale, la couverture de la cyber-assurance se fait par l'intermédiaire d'un courtier ou directement auprès d'un assureur. Lorsque vous vous renseignez, il vous est demandé de remplir une proposition qui comporte un certain nombre de questions sur votre profil de risque et vos besoins en matière de couverture. En cas d'approbation, l'assureur ou le courtier vous proposera une police, vous indiquera les conditions, les limites de la couverture, la coassurance, etc.
Avez-vous réellement besoin d'une cyber-assurance ?
Pour répondre à cette question, vous devez vous poser quelques questions :
- Quelles sont les conséquences d'un cyber-événement, tel qu'une violation de données, sur vos actifs et votre capacité à fonctionner ?
- En cas de menace contre votre organisation, pourriez-vous perdre de l'argent, être victime d'extorsion ou voir vos clients affectés par un événement dont vous seriez à l'origine ?
- La perte de propriété intellectuelle ou de données sur les clients vous ferait-elle perdre des clients ou aurait-elle d'autres conséquences financières ?
En réalité, tous les types d'organisations, qu'il s'agisse d'entreprises internationales ou de petites et moyennes entreprises, utilisent la technologie pour exercer leurs activités et sont donc confrontés à un certain niveau de risque cybernétique.
Les technologies deviennent de plus en plus complexes et sophistiquées, tout comme les menaces. C'est pourquoi les organisations se préparent de plus en plus à souscrire une cyber-assurance pour compléter leur stratégie de cybersécurité afin de gérer et d'atténuer leurs risques.
Les exigences en matière de sécurité de l'assurance cybernétique sont de plus en plus strictes
Dans son rapport 2021, l'U.S. Government Accountability Office a constaté qu'un plus grand nombre de clients d'assurance optent pour une couverture cybernétique, passant de 26 % en 2016 à 47 % en 2020. Au cours de la même période, les compagnies d'assurance américaines ont vu les coûts des cyberattaques presque doubler entre 2016 et 2019. En conséquence, les primes d'assurance ont également connu des augmentations importantes en raison des pertes financières subies par les compagnies d'assurance du fait de l'augmentation du nombre de demandes d'indemnisation.
Ces dernières années, nous avons constaté que les transporteurs, soucieux de limiter leurs pertes, examinent de plus près l'état de préparation de leurs clients en matière de sécurité et font appel à des experts pour apporter leur point de vue et leur expertise.
Dans son rapport 2022 Property/Casualty Annual Statement Cybersecurity and Identity Theft Supplement, l'Association nationale des commissaires d'assurance (NAIC) écrit :
En raison de l'augmentation des risques liés à la cybersécurité, les entreprises sont confrontées à un processus de souscription plus exigeant. Les assureurs examinent de plus en plus attentivement les contrôles de sécurité, les processus internes et les procédures d'une entreprise en matière de cyber-risques. En outre, les souscripteurs sont plus prudents lorsqu'ils examinent le risque présenté par les tiers travaillant ou contractant avec l'assuré.
Les transporteurs en ont assez de payer pour des violations qui auraient pu être évitées et des incidents qui auraient pu être contenus. Ils reconnaissent qu'il existe de nombreuses vulnérabilités pour les entreprises, mais en collaboration avec les vendeurs et les fournisseurs de services, ils imposent les meilleurs outils de sécurité qui peuvent offrir une atténuation significative des risques.
Il y a quelques années, l'authentification multifactorielle (AMF) était une bonne chose, mais aujourd'hui elle est absolument nécessaire et vous ne pourrez probablement pas obtenir de devis d'assurance cybernétique si vous ne l'utilisez pas. Ensuite, les opérateurs ont commencé à imposer des outils de détection et de réponse tels que l'EDR et le MDR.
Aujourd'hui, conscientes que les violations sont inévitables, elles commencent à imposer la segmentation zéro confiance (ZTS) qui, contrairement aux technologies de prévention et de détection, arrête la propagation des violations en fermant les voies d'accès pour les mouvements latéraux et en n'autorisant que les communications souhaitées et nécessaires.
Pour en savoir plus sur la segmentation zéro confiance , cliquez ici.
La segmentation zéro confiance est de plus en plus souvent exigée dans les polices d'assurance cybernétique
Si l'on considère le coût total de la plupart des violations, en dehors du DFIR (Digital Forensics and Incident Response) et du paiement de la rançon elle-même, la partie la plus coûteuse est la récupération.
La raison pour laquelle les compagnies d'assurance et les régulateurs insistent sur la segmentation, même en aval, dans les petites et moyennes entreprises, est que le fait d'empêcher une attaque de se propager à quelques appareils seulement au lieu de tous diminue considérablement le coût de la récupération. C'est la raison pour laquelle les assureurs ont mis à jour leurs dossiers de souscription en exigeant une segmentation pour les actifs critiques ou les points finaux (qui sont généralement le point de départ de nombreuses atteintes à la sécurité).
Heureusement, les coûts de récupération peuvent être contrôlés de manière importante si vous faites du ZTS et si vous empêchez la propagation des brèches. Une récente émulation d'attaque réalisée par Bishop Fox a montré que le ZTS arrête les attaques de ransomware quatre fois plus vite que la détection et la réponse seules, et que le ZTS réduit considérablement le temps nécessaire à la reprise après un incident.
Imaginez les coûts d'une compagnie d'assurance qui doit récupérer 1 000 postes de travail après une attaque de ransomware dans une entreprise manufacturière de taille moyenne. Si l'entreprise avait mis en œuvre le système ZTS, empêché l'attaque de se propager et n'avait eu à récupérer que trois postes de travail, la structure des coûts de récupération aurait été très différente.
Le ZTS ne repose pas sur la détection comme d'autres outils, et si le trafic ne peut pas atteindre vos actifs critiques, il ne peut pas les infecter, quelle que soit la technique d'attaque utilisée.
L'avenir de l'assurance passe par les outils de sécurité et les fournisseurs de services
Nous avons discuté avec plusieurs partenaires et assureurs, et ils s'accordent à dire que l'avenir de la cyber-assurance passe par une collaboration étroite entre les fournisseurs de sécurité, les prestataires de services et les compagnies d'assurance.
Dans ce paysage de menaces en constante évolution, les entreprises agiles ont besoin d'un plan de continuité complet, qui commence par la mise en place des bons outils et, dans certains cas, d'une feuille de route pour la stratégie de sécurité, comme l'adoption de l'un des cadres les plus performants tels que le NIST CSF, le CIS ou le CMMC. Les fournisseurs de services de confiance peuvent aider les responsables informatiques à développer une bonne hygiène de sécurité de manière proactive et à équiper les organisations d'une pile de sécurité qui a un impact significatif.
L'assurance cybernétique doit être un élément clé de votre stratégie de gestion des risques, mais elle ne peut pas être le seul élément. Si vous êtes propriétaire d'un bien immobilier, n'achèteriez-vous qu'une assurance incendie et non des détecteurs de fumée et des mesures d'atténuation des incendies ? Il faut espérer que non, mais même si c'était le cas, vous devriez vous attendre à payer une prime plus élevée étant donné que vous n'avez pas mis en place de mesures de contrôle qui réduisent réellement votre risque d'incendie.
Le fait est que les entreprises qui sont mieux préparées paieront un meilleur taux que celles qui ne le sont pas. Le fait de pouvoir le démontrer vous permettra non seulement de vous protéger contre un cyber-événement, mais aussi d'économiser de l'argent et de gagner du temps en travaillant avec votre assureur lorsque quelque chose se produit.
Illumio ZTS est une sécurité proactive qui réduit les coûts de cyber-assurance
Quand les ZTS doivent-ils faire partie de la stratégie de sécurité de votre organisation ? Si vous disposez déjà de produits MFA et EDR/MDR, le ZTS devrait être votre prochaine priorité, s'il n'a pas déjà été imposé.
Non seulement vous aurez une longueur d'avance avant le prochain renouvellement de votre police d'assurance cybernétique, mais vous pourrez également renforcer l'efficacité de vos outils de détection existants en réduisant leur temps d'immobilisation, tout en augmentant de manière significative vos capacités de réaction.
Si vous êtes confronté à des mandats de segmentation de la part de votre assureur cybernétique, contactez-nous dès aujourd'hui pour une consultation et une démonstration.
.webp)
