in Avis d'experts

Qui dit cybercrime dit cyber-assurance – Par Sylvain Defix, Senior Solutions & Alliances Manager chez NTT Com Security France

Si la technologie a indéniablement transformé la gestion d’une entreprise et les interactions avec les clients, elle ouvre aussi la porte aux cyberattaques.

Selon une étude récente(1), un simple champ de formulaire Web non protégé serait à l’origine d’un incident de sécurité dont la neutralisation aurait coûté 196 000$ à une entreprise. Une dépense qui aurait pu être facilement évitée si des techniques de protection avaient été mises en oeuvre. Les pirates découvrent sans cesse de nouvelles failles de sécurité. Or, malgré tous les efforts déployés, les développeurs de technologies de cybersécurité ne pourront jamais contrecarrer toutes les attaques potentielles.

« La cybersécurité arrive en troisième position des risques auxquels sont confrontés les dirigeants d’entreprises dans le monde. » Lloyds Risk Index 2013

Face à ce constat, de nombreuses organisations cherchent à souscrire des contrats de cyber-assurance pour transférer les risques financiers d’une telle attaque. De leur côté, les assureurs sont tenus d’offrir des polices qu’ils pourront garantir, tout en remplissant leur devoir de conseil.

La cyber-assurance constitue un terrain miné et complexe. Ainsi, si certains assureurs peuvent refuser des indemnisations sur la base de clauses en petits caractères, cela tient principalement au fait que le cybercrime est une forme nouvelle et méconnue de risque commercial.

De fait, les assureurs cherchent à poser des questions claires sur la sécurité de l’assuré avant de s’engager. De leur côté, les organisations en phase de souscription ont souvent une connaissance trop approximative de leur sécurité pour répondre précisément aux questions de l’assureur. Or, une information erronée peut invalider un contrat. Comment mieux se préparer à souscrire un contrat de cyber-assurance?

Mettre la protection au coeur des enjeux

Chiffrer le coût du cybercrime est ardu. Les estimations mondiales varient considérablement et de nombreuses statistiques publiées dans le passé ont été remises en question depuis. Pour commencer, il n’existe aucune définition standard car les menaces prennent de multiples aspects : attaques DDoS (Déni de Service Distribué), malwares, cyber-extorsion par botnets, vol de données, vol de revenus, etc. D’après le Rapport 2014 sur l’état des menaces dans le monde, les botnets arrivent en tête avec 34% du nombre d’attaques commises en 2013, tous secteurs et zones.

Quelle que soit la nature de l’attaque, elle se ressent sur les comptes des entreprises victimes d’où la nécessité d’investir dans la protection de leurs ressources d’une part et dans le transfert des risques via une cyber-assurance d’autre part.

Les entreprises à risque doivent évaluer leur exposition et prendre les mesures de protection nécessaires. Les technologies apporteront certains éléments de réponse mais ne pourront jamais assurer une protection totale des ressources de l’entreprise dans un environnement où l’innovation technologique est constamment prise de vitesse par les nouvelles menaces.

Si le transfert des risques via un contrat de cyber-assurance peut paraître sage, l’immaturité de ce marché et le manque de courtiers et d’assureurs dotés des compétences en technologies et en cybersécurité ne facilite pas la quantification des risques, ni leur capacité à les couvrir.

Une entreprise doit prouver à son assureur que des mesures de protection ont été prises – dans une double optique d’évaluation et de réduction des risques – et qu’un système de cyberveille est également en place. Seules ces informations permettront à l’assureur de bien cerner le niveau d’exposition du client.

En cas de panne ou d’immobilisation de leurs systèmes, les entreprises s’exposent à des risques d’interruption de leur activité, de perte de revenus, de chute du cours de leur action et d’atteinte à leur image de marque. Malgré cela, les entreprises ne s’assurent pas correctement contre ces attaques. Ainsi, ces dernières années, le refus de certains assureurs d’indemniser des clients dans le cadre de contrats usuels ont donné lieu à un certain nombre de procès retentissants. Dans ces litiges, les tribunaux se sont rangés du côté des assureurs.

En pratique, le coût des spécialistes et de la gestion de crise représenterait jusqu’à 50 % des indemnisations versées. Un contrat en responsabilité civile ne couvrira pas l’ensemble des coûts d’une violation de données : cela ne sera vraisemblablement pas le cas.

« Bien que le coût mondial du cybercrime et du cyber-espionnage se chiffre probablement en milliards de dollars chaque année, ce simple montant ne reflète pas complètement les dommages subis par l’économie dans son ensemble.» The Economic Impact of Cybercrime and Cyber Espionage

Les 10 bonnes pratiques de protection contre le cybercrime

  1. Connaissance des risques – procéder à un bilan-risque annuel pour évaluer et remettre à jour l’exposition aux risques. S’assurer que la cybersécurité est une priorité pour les dirigeants
  2. Configuration sécurisée – assurer la mise à jour régulière des matériels et logiciels de sécurité, car c’est à force de persévérance que le cybercriminel atteint son but. Maintenir l’efficacité des protections de base
  3. Télétravail et mobilité – définir des directives strictes d’accès aux données. À mesure que les appareils personnels investissent la sphère professionnelle (BYOD), il faut protéger le réseau indépendamment du périphérique d’accès
  4. Sensibilisation et formation de vos collaborateurs – former les salariés aux politiques et processus d’intervention
  5. Gestion des incidents – établir, exécuter et tester régulièrement les plans d’intervention
  6. Veille – surveiller en permanence tous les systèmes d’information et de communication, ainsi que les journaux associés, pour détecter des attaques potentielles
  7. Sécurisation du réseau – gérer le périmètre du réseau et filtrer les accès non autorisés
  8. Protection anti-malware – établir des défenses anti-malware et effectuer en permanence des analyses de détection
  9. Gestion des privilèges des utilisateurs – limiter les privilèges des utilisateurs et surveiller leurs activités
  10. Établissement d’un règlement intérieur pour l’utilisation des réseaux sociaux – les réseaux sociaux deviennent peu à peu l’un des principaux vecteurs du cybercrime. Sensibiliser les collaborateurs aux règles de base d’une utilisation acceptable au travail

Pour réduire son exposition aux risques, il faut se glisser dans la peau d’un hacker

Les tests de vos dispositifs de protection doivent évoluer au rythme des menaces, au premier rang desquels on trouve les APT (Advanced Persistent Threats). Ces processus de hacking insidieux et persistants demandent un travail de longue haleine qui s’opère totalement à couvert. Les APT sont ainsi à l’origine de nombreuses violations de sécurité médiatisées dont ont été victimes de grands groupes mondiaux pourtant bien protégés. Or, si on peut observer son organisation telle qu’un pirate la voit, on fait déjà un grand pas vers la protection des ressources informatiques. Là encore, on apporte à son assureur la preuve concrète des mesures de sécurité renforcées en place. La prévention des attaques APT fait appel à des tests différents des méthodes traditionnelles, notamment des tests d’intrusion qui portent sur un point ciblé de l’infrastructure ou d’une application Web. C’est pourquoi des entreprises procèdent régulièrement à des simulations APT pour limiter ce risque.

Cette simulation emprunte le parcours type d’un hacker cherchant à profiler votre entreprise en vue de déjouer ses défenses : collecte d’informations personnelles et professionnelles, lancement de l’attaque sur un point de moindre résistance, infiltration du réseau de l’entreprise et exfiltration clandestine de données. Cette simulation APT permet d’accéder à une connaissance exhaustive des vulnérabilités potentielles : collaborateurs, processus et technologies.

Gestion des risques : faites la distinction entre le bon et le mauvais.

Les attaques APT se déroulent sur de longues périodes et font appel à toute une panoplie de techniques pour percer vos défenses réseau. Les liens et les pièces jointes d’e-mails restent de loin le principal vecteur de ces attaques, avec pas moins de 94 % des attaques ciblées pour les seules pièces jointes malveillantes(2). Une étude récente(3) indique que 54 % des malwares conçus pour prendre le contrôle d’un système compromis sont passés à travers les mailles des solutions antivirus en place. De même, il est désormais établi que les logiciels antivirus, bien que très utiles pour combattre certains malwares, ne sont efficaces que dans environ 50 % des cas et détectent difficilement l’ensemble des malwares en circulation. C’est pourquoi des dispositifs complémentaires s’imposent pour intercepter, inspecter et authentifier les fichiers infectés, tout en transmettant les fichiers légitimes en temps réel à vos utilisateurs pour éviter toute perturbation de l’activité.

Soyez proactif.

Les risques d’attaque ne diminueront jamais. Leur fréquence et leur sophistication sont au contraire appelées à s’intensifier. Face à cette menace, il est désormais prouvé que les contrats en responsabilité civile n’offrent pas une couverture suffisamment efficace compte tenu de la gravité de l’impact en termes financiers, d’image et de perte de clientèle. Un risque qu’une organisation ne peut pas se permettre de prendre.

En souscrivant une assurance adaptée, l’entreprise transfère les risques et, au final, réduit le coût d’une éventuelle attaque. Malgré tout, la garantie de ces contrats reste un défi pour les assureurs. C’est pourquoi les entreprises souscriptrices doivent faire tout leur possible pour déterminer leur exposition et prendre les mesures nécessaires pour limiter les risques et démontrer à leur assureur que la sécurité de l’information et la gestion des risques font partie de leurs priorités.

Assurer ses ressources contre le cybercrime ne dispense nullement de la mise en oeuvre et de l’application des protocoles informatiques appropriés. De fait, la souscription d’un contrat d’assurance doit s’accompagner d’une stratégie robuste de prévention des failles de sécurité.

 

(1) NTT Com Security, Solutionary, Dimension Data, NTT Innovation Institute and NTT Data collaborated to deliver NTT Group Security’s 2014 Global Threat Intelligence Report géographiques confondus. Viennent ensuite les comportements anormaux (15%), les manipulations réseaux (10%) et les attaques d’applications Web (8%).

(2) Bloor Research: The need to protect against file based attacks

(3) Trend Micro: Spear-Phishing Email: Most Favored APT Attack Bait

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.