Coalition cherche à réconcilier les RSSI avec l’assurance cyber
Bien que les assureurs et les RSSI s’accordent à dire que l’assurance cyber a contribué à améliorer les postures de sécurité, Coalition estime que la relation doit se renforcer à mesure que les menaces évoluent et s’intensifient.
Alors que le paysage des menaces évolue et s’intensifie, un assureur en cyber-risque incite les RSSI à jouer un rôle plus actif dans les politiques et à travailler plus étroitement avec les assureurs.
Catherine Lyle, responsable des réclamations chez Coalition, a présenté une session à Black Hat USA 2023 la semaine dernière, intitulée « Pourquoi l’assurance cyber devrait être la nouvelle meilleure amie de votre SOC ». Elle y a discuté la manière dont la sophistication croissante des acteurs malveillants affecte à la fois les assureurs et les assurés. Bien que de nombreuses menaces pour les entreprises restent constantes, comme le phishing, la fraude au transfert de fonds (FTF), les attaques avec ransomware et la compromission des courriels professionnels (BEC), l’évolution des techniques employées contribue à un taux de réussite plus élevé.
Au cours de la session, Catherine Lyle a souligné que les assureurs, les départements informatiques et les équipes de sécurité d’entreprise ont une mission commune : s’adapter au paysage changeant de la cybercriminalité où les acteurs malveillants exercent une pression accrue avec des tactiques d’extorsion agressives. S’adressant à la rédaction de TechTarget avant la conférence, elle a décrit la session Black Hat USA 2023 comme une « discussion très franche avec les RSSI » : « cela vous incombe à vous [RSSI], et vous devez vraiment être actifs et participer à cela. Il ne s’agit pas de quelque chose dont vous pouvez penser que la sécurité va le résoudre entièrement, car ce n’est pas le cas. Encore et encore, cela a été prouvé ».
Assureurs vs RSSI
Alors qu’il y a eu des tensions entre les assureurs et les RSSI alors que les primes augmentent et que la couverture de certaines polices diminue, Catherine Lyle a énuméré les évaluations de sécurité en cours, les alertes de correctifs et la récupération des fonds volés comme des incitations à l’assurance cyber.
Selon Catherine Lyle, Coalition travaille également à établir des relations forensiques pour aider les organisations assurées à répondre aux incidents : « les RSSI pensent que lorsqu’un événement survient, ils savent exactement quoi faire. Mais je dirais que la majorité ne le sait pas ». Dès lors, pour selle, « il est important d’avoir des exercices de simulation et des plans de réponse aux incidents, et ils n’ont pas besoin d’être super intenses. Il suffit de savoir qui appeler lorsque quelque chose ne va pas. Et ne me dites pas que vous allez simplement envoyer un email à quelqu’un, car votre email est probablement hors service ».
Fawaz Rasheed, RSSI de terrain chez VMware, s’est entretenu avec la rédaction de TechTarget au sujet des problèmes qu’il rencontre avec les politiques de cyberassurance. La principale préoccupation est l’augmentation des primes et la diminution des protections. L’une de ses responsabilités est de tenter de maintenir ces primes aussi basses que possible, car il peut y avoir des réticences de la part de la direction concernant le budget de sécurité.
Il peut également être difficile de justifier la mise en œuvre de toutes les nouvelles exigences posées par les assureurs. Cependant, la couverture dépend de la satisfaction de certaines normes, comme le recours à l’authentification à facteurs multiples (MFA) et à une détection et réponse sur les points d’extrémité (EDR).
« Il est entendu que les primes augmentent et que la couverture diminue proportionnellement, donc je ne peux pas compter autant sur l’assurance cyber que je dois m’assurer que j’ai bien préparé mes défenses en amont et que nous sommes mieux protégés », juge Jawaz Rasheed, ajoutant que l’assurance cyber est actuellement davantage une solution de secours.
Cependant, il a également reconnu que les nouvelles exigences de sécurité des assureurs contribuent à améliorer les postures de sécurité. Il a parlé à d’autres DSI ayant relevé que les fournisseurs de cybersécurité exigent qu’ils aient une couverture d’assurance cyber.
Catherine Lyle a souligné que les compagnies d’assurance sont là pour aider les organisations, de bien plus de façons qu’elles ne le pensent : « beaucoup de DSI pensent que d’une manière ou d’une autre, les compagnies d’assurance vont aggraver la situation et je vous promets que cela l’améliore. Notre travail est de nous assurer qu’ils tirent le meilleur parti de leur produit ».
Dans le cas de Coalition, une partie de cette assistance comprend l’identification des menaces et des tendances d’attaque, tout en conseillant également les clients sur la manière de réduire leur surface d’attaque exposée.
Patcher, encore et toujours
En termes de surface d’attaque en entreprise, Catherine Lyle a déclaré que les logiciels en fin de vie (EOL) restent une préoccupation pour les entreprises. Coalition a déterminé que les organisations utilisant des logiciels EOL étaient trois fois plus susceptibles d’être attaquées : « c’est la manière la plus rapide pour un acteur malveillant d’entrer, alors mettez-le hors ligne ».
La défense la plus importante contre de nombreuses menaces consiste à mettre en œuvre des protocoles efficaces de gestion de correctifs de vulnérabilités, relève-t-elle. L’application des correctifs en temps opportun est un problème constant, car les organisations sont confrontées à un nombre insurmontable de vulnérabilités et ne disposent pas de la main-d’œuvre pour les traiter toutes. Catherine Lyle assure que Coalition facilite la tâche des entreprises avec des alertes et des méthodes de priorisation.
« La gestion des mises à jour n’est pas un sujet super complexe. L’application des correctifs est conçue pour être simple. Ainsi, même si certaines de ces petites et moyennes entreprises n’ont peut-être pas quelqu’un à qui cette tâche est spécifiquement assignée, elles vont le faire. Et c’est super important... s’assurer que les informations de mise à jour et de données parviennent aux bonnes personnes ».
En ce qui concerne les rançongiciels, Catherine Lyle a exhorté les entreprises à maintenir des sauvegardes efficaces pour la récupération et à mettre en œuvre l’authentification multifacteur (MFA), qui devient de plus en plus importante alors que les groupes malveillants partagent et détournent des identifiants volés.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
La gravité des rançongiciels augmente de 68 % au premier semestre 2024 (étude Coalition)
-
Incident CrowdStrike : quel rôle pour les assurances ?
-
Cybersécurité : les demandes d’indemnisation liées à certains équipements réseau ont augmenté
-
Rançons : les sanctions internationales font peser de nouveaux risques