août 2022

La cyber assurance crée un cycle de sécurité vertueux

Il n'y a pas si longtemps, de nombreuses organisations choisissaient de souscrire des polices d'assurance cybernétique pour récupérer les pertes éventuelles liées à une attaque par rançongiciel (ransomware) plutôt que de mettre les investissements supplémentaires nécessaires pour contrer la menace. Aujourd'hui, il semble que les organisations ne pourront pas souscrire de cyber assurance si elles ne font pas ces investissements.

La cyber assurance crée un cycle de sécurité vertueux

 

Après avoir enregistré d'importantes pertes liées à des sinistres de cyber assurance, les assureurs exigent désormais des évaluations de la cybersécurité avant de créer une police ou de renouveler une police existante. Une enquête récente menée par Microsoft et Marsh, un fournisseur de cyber assurance, a révélé que 61 % des organisations ont déjà souscrit une police d'assurance cybernétique.

Bon nombre de ces organisations disposent d'un ensemble de défenses de cybersécurité robuste, toutefois, il y en a certainement autant qui ne le font pas. La police d'assurance cybernétique qu'elles ont initialement souscrite pour couvrir toute perte due à une attaque par rançongiciel (ransomware) est en train de devenir le véhicule qui poussera beaucoup plus d'organisations à améliorer enfin leur posture de cybersécurité. En fait, bon nombre des exigences, telles que l'authentification multifactorielle (MFA), vont bien au-delà du niveau de sécurité de base que les organisations ont pu mettre en œuvre précédemment pour se conformer à l'un ou l'autre mandat.

En effet, la nécessité d'une cyber assurance commence à créer une sorte de cercle vertueux qui conduira à une amélioration générale de la cybersécurité. C'est essentiel car l'une des vérités dérangeantes des rançongiciels (ransomwares) est que les organisations sont trop facilement compromises. Un grand nombre de processus fondamentaux et d'outils de base, tels que des mots de passe forts, des mises à jour logicielles régulières et des sauvegardes testées, qui auraient permis de déjouer une attaque de routine par rançongiciel (ransomware), n'ont tout simplement pas été mis en place pour une raison ou une autre.

La plupart de ces organisations n'ont pas encore pris conscience de l'ampleur de l'entreprise qu'est devenu le rançongiciel. Les entités qui orchestrent ces attaques fonctionnent désormais davantage comme un consortium de plusieurs milliards de dollars, avec des milliers d'employés qui bénéficient d'avantages sociaux et de congés payés, comme s'ils travaillaient pour une entreprise légitime. Non seulement elles étudient méthodiquement les cibles avant de lancer leurs attaques, mais elles ont également en tête des prix de rançon spécifiques avant même que les négociations ne commencent.

Les organisations refusant de négocier se font dire que leurs données sensibles seront bientôt exposées sur le ‘’Dark Web’’. Bien sûr, même après le paiement d'une rançon, il n'est pas rare que les gangs de rançongiciel fassent coup double en lançant une autre attaque ou en demandant simplement plus d'argent pour ne pas divulguer publiquement les données sensibles. Une enquête récente menée auprès de 1 456 professionnels de la cybersécurité et publiée par Cybereason, fournisseur d'une plate-forme de détection et de réponse étendue (XDR), révèle que seuls 22 % des répondants touchés par l'attaque ont admis avoir payé une rançon pour récupérer des données. Cependant, 80 % de ces organisations ont été touchées par un rançongiciel une deuxième fois, 68 % d'entre elles indiquant que la deuxième attaque a eu lieu moins d'un mois après la première.

Il faudra manifestement un certain temps avant que le fléau actuel des rançongiciels ne s'apaise. Dans l'intervalle, l'accent doit être mis, comme toujours, sur la mise en place des mêmes capacités fondamentales de cybersécurité que celles requises pour déjouer une attaque et bénéficier de la cyber assurance nécessaire après la découverte d'une violation.

Par Mike Vizard

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour