Témoignage de Lynn Lucas, CMO chez Cohesity, spécialiste de la gestion des données de nouvelle génération.

Avez-vous observé une augmentation des cybermenaces ces derniers mois ?

Lynn Lucas, Cohesity : Les menaces évoluent constamment, mais la sophistication croissante des techniques utilisées par les cybercriminels est particulièrement préoccupante. Le ransomware en est l’exemple le plus convaincant.

Fin août, l’hôpital de Corbeil-Essonnes a été victime d’une attaque par ransomware. L’attaque pour beaucoup, qui a décidé le ministère de la Santé à mobiliser deux millions d’euros. Il faut désormais reconstruire toute l’architecture informatique, mais cela pourrait représenter à terme un investissement de plus de 5 millions d’euros sur la seule année à venir…

Les chiffres sont souvent impressionnants. Selon Cybersecurity Ventures, d’ici 2031, les attaques de ransomwares devraient frapper une entreprise, un client ou un appareil toutes les deux secondes, coûtant aux victimes environ 265 milliards de dollars par an.

Comment développer les technologies pour contrer ces menaces ?

Lynn Lucas, Cohesity : La technologie pour empêcher ces attaques et restaurer les systèmes en très peu de temps existe. Cependant, même lorsque les employés sont formés pour identifier ces risques, des incidents peuvent toujours se produire.

Dans ce contexte, les compagnies d’assurances ont mis en place des offres pour accompagner les entreprises qui ne seraient pas en mesure de se remettre d’une attaque. Parallèlement, d’autres entreprises se sont inspirées de ce modèle financier pour développer leurs propres polices d’assurance.

Mais bien sûr, compte tenu des sommes en jeu, ces polices comportent des exclusions de garantie qui peuvent être punitives. C’est assez incroyable ce que certaines entreprises sont prêtes à promettre pour vendre une solution… Et si jamais une victime veut faire appliquer ces garanties, elle doit être prête à lire les petits caractères à la fin du contrat !

À Lire  Ces conseils vous feront économiser des milliers de dollars sur les contrats bancaires

Car dans la plupart des cas ces assurances ne fournissent pas :

• Couverture des logiciels malveillants introduits par un tiers dans les systèmes internes via une faille de sécurité. Par exemple, ils n’incluent pas l’introduction de logiciels malveillants par un cyber-attaquant d’origine étrangère qui a violé la sécurité de l’entreprise.

• Couverture des logiciels malveillants introduits dans les systèmes internes par un employé via une faille de sécurité. Par exemple, via certains types de phishing – alors que 90% des cyberattaques commencent par du phishing !

Et si ces exclusions ne font pas fuir les entreprises, voici une sélection des dizaines de conditions supplémentaires qu’elles doivent remplir pour bénéficier de ces garanties :

• Effectuez une vérification mensuelle et suivez toutes les instructions, peu importe leur lourdeur et leur coût.

• Être mis à jour en permanence avec les dernières versions et corrections.

• Être tenu de suivre à la fois (a) les règles de « renforcement de la sécurité », qui changent fréquemment, et (b) les réglementations « alors en vigueur » de l’industrie pour la protection des informations d’identification, un domaine régulièrement ciblé par les attaquants de phishing (comment ces « meilleures pratiques » sont définies est sujette à interprétation et souvent laissée à la discrétion de l’assureur.) En cas de défaillance à 100%, aucune indemnisation n’est bien entendu possible.

• Mener un audit de gestion de l’expérience client payant et non remboursable.

• Accepter de faire l’objet d’une étude de cas publique sur le compromis en question.

• Demandez l’autorisation de la compagnie d’assurance avant d’engager des frais de recouvrement.