Devenues inévitables dans le paysage numérique actuel, les cyberattaques poussent les assureurs à prôner une nouvelle approche de la cybersécurité. Pour rester assurées, les entreprises vont devoir intégrer la dimension proactive et réactive de la cyber-résilience. Une protection en constante amélioration, liée à une capacité de récupération rapide, devrait éviter une explosion des primes d’assurance.
Régler le problème à la source
En déficit chronique chez les assureurs, la cybercriminalité tient toujours la tête du hit-parade des menaces majeures. D’autant que l’usage en expansion de l’intelligence artificielle a « démocratisé » l’activité des hackers. N’importe qui, aujourd’hui, peut réclamer une rançon en piratant les données d’une PME.
Mais les assureurs ne veulent plus payer systématiquement, à la suite d’une attaque de ransomware. Au point que plusieurs compagnies excluent la couverture de ce type de risque dans leurs contrats d’assurance. Il faut dire que, de plus en plus souvent, payer la rançon exigée ne garantit pas la récupération des données.
Donc, depuis plusieurs années, les assureurs préconisent une approche plus préventive, notamment pour éviter l’explosion du coût des cyberassurances.
Lire à ce sujet notre article « Les entreprises doivent mériter leur contrat de cyber-assurance ».
Aujourd’hui, les entreprises doivent donc démontrer qu’elles renforcent leurs systèmes de sécurité. D’autant qu’il y a encore du chemin à faire dans nombre d’entreprises qui n’utilisent toujours pas la double authentification. Conséquence, le vol des identifiants reste la première cause des attaques dans les PME-PMI.
Aussi, pour que la culture du risque numérique imprègne l’ensemble du personnel d’une entreprise, les assureurs imposent une liste de prérequis avant de signer un contrat.
Du concret pour être assuré
Vu le nombre grandissant d’entreprises qui ont dû affronter les conséquences d’une cyberattaque, les patrons intègrent désormais la cybersécurité dans leur quotidien. Cette évolution suit le constat que le dédommagement financier d’un assureur ne règle manifestement pas tout.
De nombreuses organisations (entreprises, collectivités, hôpitaux, etc.) acceptent donc d’appliquer un minimum d’actions concrètes, comme :
Un audit précis des canaux de circulation des données numériques dans l’entreprise, avec une mise à jour régulière de ces circuits ;
L’identification des points de vulnérabilité, potentielles failles de sécurité ;
La sensibilisation et la formation du personnel, à tous les échelons. L’objectif est alors que chacun surveille son propre environnement et suggère des améliorations pour diminuer, voire supprimer tout risque de compromission ;
Application de protocoles de sécurité à tous les niveaux : pare-feu, antivirus, cryptage, double authentification…
Sécurisation des données : segmentation et limitation des accès aux données, sauvegardes sécurisées, redondantes et chiffrées. Stockage des sauvegardes en dehors du réseau interne…
Cet état des lieux permanent de son système d’information permet d’introduire dans le personnel des réflexes de précaution indispensables.
L’intégration de la cybersécurité dans la culture même de l’entreprise ne peut pas se faire en un jour. C’est un processus long qui peut aussi imposer une réorganisation acceptée de l’entreprise et de ses flux d’information.
Ce n’est, en tous cas, qu’une étape vers l’objectif final que constitue la cyber résilience, seul moyen de permettre la poursuite de l’activité, même en cas d’attaque.
La cyber-résilience, une démarche proactive de survie
Vu l’impossibilité de garantir à 100 % la sécurité des données dans une entreprise, il faut accepter d’être exposé et s’organiser pour maintenir l’activité. C’est le concept de cyber résilience.
Ce concept désigne bien cette démarche, désormais indispensable à la survie de notre économie : anticiper, résister, récupérer et s’adapter.
La cybersécurité ayant montré ses limites, la cyber résilience pousse l’entreprise à savoir comment continuer de fonctionner, même en cas d’attaque, plus ou moins importante. Chaque membre de l’entreprise sait ce qu’il doit faire pour protéger son travail et les données, et poursuivre l’activité.
Cette démarche proactive d’anticipation des risques limite les conséquences d’une cyberattaque et aide l’entreprise à rebondir :
L’anticipation permet l’identification des vulnérabilités et la mise en place de mesures pour réduire la surface d’attaque ;
La résistance aide à détecter et identifier les comportements anormaux ;
La récupération dépend de la rapidité de la réaction, donc de la définition des meilleures procédures d’interventions et de traitement des attaques. La circulation des informations est alors indispensable ;
L’adaptation analyse les conditions de rétablissement de l’activité, pour améliorer les plans de reprises après sinistre, et l’efficacité des tests réguliers de sécurité.
Aujourd’hui, la cyberrésilience est aussi indispensable qu’une cyberassurance. Souscrire une assurance cyber aide l’entreprise à couvrir les dépenses de gestion de crise. Elle peut aussi financer d’éventuelles actions nécessaires en termes de relations publiques.
A La Réunion, le Groupe Gesco Assurances a l’habitude de nouer une relation de confiance avec les entreprises assurées. La grande expérience de ce courtier en assurances lui permet de conseiller la couverture la plus adaptée aux risques et besoins de ses clients. Son rôle est d’aider surtout les petites et moyennes entreprises à comprendre qu’elles peuvent se protéger, quelque soit leur taille.