Il ne s’agit pas de savoir si, mais quand votre entreprise sera confrontée à une cybermenace. De plus en plus d’entreprises font appel à une cyberassurance afin de réduire les coûts éventuels. Mais avec l’augmentation des primes de cyberassurance et des cyberattaques, les cyberassurances sont en passe de devenir encore plus chères ou de couvrir moins de risques, voire les deux.

Le rapport LUCY de l’AMRAE note une augmentation de 44,4% du volume des primes versées par les entreprises et la dynamique n’est pas près de ralentir : Standard & Poor’s Corp. prévoit une augmentation annuelle moyenne continue de 20 à 30 % des primes de cyberassurance au cours des prochaines années.

Autre point important, après la position de l’Etat se disant prêt à agir sur l’indemnisation des cybersauvetage par les compagnies d’assurances début septembre, le Sénat vient de valider l’article 4 de la LOPMI qui permet le remboursement des assurances. le paiement de cyber-rançons. A noter toutefois que cette pratique est contraire aux recommandations de l’ANSSI qui incite fortement les entreprises à ne pas payer afin de ne pas inciter les cybercriminels. N’oubliez pas que même après avoir payé la rançon, rien ne garantit que vous retrouverez vos données.

Alors, comment prouver aux compagnies d’assurance que vous avez un faible risque d’attaque et économiser sur les primes ? Pour vous accompagner, nous partageons quatre bonnes pratiques à suivre.

Gros plan sur votre profil de risque

Le profil de risque de l’assuré et l’appétit pour le risque de l’assureur seront toujours les facteurs les plus importants pour déterminer le coût de la couverture d’assurance. Plus le programme de gestion des risques est faible, plus le coût de l’assurance est élevé et donc plus le coût pour l’assuré est élevé.

Les entreprises à faible profil de risque représentent moins de risque pour l’assurance et bénéficient donc de meilleurs tarifs. Par conséquent, pour économiser sur la cyber-assurance, vous devez réduire vos profils de risque.

4 bonnes pratiques en cybersécurité pour réduire votre profil de risque

Il existe autant de manières de réduire les risques que de risques eux-mêmes, nous ne les détaillerons donc pas toutes.

Mais attardons-nous sur les piliers d’un programme de gestion des risques solide, et les principaux facteurs qui sont pris en compte lorsque les assureurs évaluent votre profil de risque.

1.      Mettre en place la MFA

Les mots de passe sont trop faibles, nous le savons depuis longtemps. MFA n’est pas la solution miracle, mais c’est une ligne de défense importante dans la lutte contre les mots de passe compromis. Dans le Verizon Data Breach Investigations Report (DBIR), nous voyons de nombreuses variantes et méthodes d’attaque pour compromettre les informations d’identification, mais aussi la grande efficacité de chaque méthode. Le rapport indique que les informations d’identification piratées sont à l’origine de 61 % de toutes les violations.

L’ajout de l’authentification à deux facteurs (2FA) signifie exiger « quelque chose que vous avez », « quelque chose que vous êtes » ou « quelque chose que vous connaissez » en plus de votre mot de passe. Si l’un ou l’autre facteur est compromis ou découvert, un utilisateur non autorisé aura au moins un obstacle supplémentaire à surmonter avant d’entrer avec succès dans le système cible.

Où les cyberassureurs souhaitent-ils voir la MFA déployée ?

Alors que le marché de la cyberassurance se resserre, les assureurs examinent les profils et recherchent des clients disposant de contrôles de sécurité à la hauteur de leurs normes élevées. En imposant l’AMF, les assureurs réduisent drastiquement leur exposition. L’authentification multifacteur devient une exigence pour tous les comptes, privilégiés et non privilégiés, sur site, à distance et dans le cloud.

À Lire  Comment assurer sa voiture pour les vacances ?

De manière générale, les conditions préalables à la signature d’un contrat d’assurance cyber sont les mesures d’hygiène de l’ANSSI. Cependant, dans certains cas et selon votre profil d’entreprise, votre assurance peut vous demander de répondre « oui » à toutes les questions suivantes :

Selon Marc-Henri Boydron, fondateur du courtier Cyber ​​​​​​Cover, premier cabinet de courtage en France spécialisé dans les risques cyber et la fraude pour les entreprises, l’une des premières mesures de protection qu’il préconise est la mise en place d’une authentification multifactorielle pour les entreprises. tous les comptes Selon le niveau de protection établi par la compagnie, le montant de la prime peut varier du simple au double.

2.      Augmenter la visibilité et contrôler les accès

Les assureurs cherchent à limiter leurs pertes. Il est également nécessaire de maintenir une politique de confiance zéro vis-à-vis des risques. Vous êtes plus susceptible d’identifier et de prévenir les attaques lorsque vous vous concentrez sur la limitation et la protection de l’accès et sur l’augmentation de la visibilité sur les activités des utilisateurs et les tentatives d’accès.

La gestion des accès aide à résoudre le besoin d’un meilleur contrôle et d’une meilleure surveillance de l’accès aux données en fonction du rôle de l’utilisateur. Il cible également les principaux modes d’attaque plutôt que les indicateurs standard de compromission et examine les actions non autorisées.

3.      Attribuer des actions à des utilisateurs particuliers

Avoir un programme de surveillance robuste et continu aide à démontrer que votre entreprise a une solide culture de cybersécurité. Il s’agit d’un moyen important de justifier la réduction des risques dans une évaluation des risques.

Les rapports sur la cybersécurité évoluent avec les besoins des entreprises et les avancées technologiques. Du côté des entreprises, les chefs d’entreprise reprochent parfois aux rapports d’être trop techniques, décousus et compliqués. Pire encore, les équipes de cybersécurité n’ont pas toujours la visibilité dont elles ont besoin pour avoir une vue d’ensemble. De plus, selon la façon dont les rapports sont rédigés et présentés, ils peuvent ne pas avoir suffisamment de priorité et de cohérence pour démontrer l’efficacité des processus et des investissements technologiques. Bien que nous réalisions l’importance d’avoir une visibilité « de bout en bout », il peut parfois y avoir des angles morts ici et là qui présentent un risque pour l’entreprise.

Essentiellement, les responsables et les équipes de cybersécurité doivent jeter un regard critique sur les graphiques et les rapports pour s’assurer qu’ils aident vraiment l’entreprise à gérer les risques plus efficacement et à prendre les bonnes décisions à ce sujet.

4.      Planifier l’alerte et la réponse automatique en cas de violation

Automatisez autant que possible pour vous assurer que l’ensemble du processus est efficace et efficient, de la surveillance de la surface d’attaque à la gestion des risques tiers, en passant par les contrats avec les assureurs. Idéalement, une entreprise peut gérer en collaboration la sécurité de sa chaîne d’approvisionnement et sa position face aux risques à tout moment. La technologie peut aider les entreprises à atteindre cet objectif. Il a la capacité d’évaluer automatiquement les configurations et les contrôles dans un environnement cloud et de comprendre les risques de la chaîne d’approvisionnement pour comprendre comment une entreprise se comporte du point de vue de la surface d’attaque.

Economiser sur votre prime de cyber assurance grâce à de solides capacités en gestion des accès

Aucune de ces quatre meilleures pratiques ne suffit à elle seule à offrir à votre entreprise une remise sur sa prime de cyberassurance. Mais en implémentant stratégiquement ces quatre pratiques avec une solution logicielle complète comme UserLock, vous pouvez réduire considérablement votre risque et ainsi démontrer votre profil à faible risque lors d’un contrôle des risques. De plus, avec un profil de sécurité renforcé, vous serez mieux en mesure de négocier une prime inférieure pour votre cyber-assurance, ce qui vous fera économiser de l’argent à long terme.