Les cinq principales mesures de contrôle des cybersinistres pouvant devenir des conditions préalables à l’assurance

À l’heure où la fréquence et la gravité des cyberattaques augmentent, les mesures de contrôle des cybersinistres deviennent incontournables pour de nombreuses entreprises – de même que pour les assureurs. 
Au cours du 1er semestre de 2021, les cyberattaques dans le monde ont augmenté de 29 % en cette période où les auteurs de menaces continuent à exploiter la pandémie de COVID-19 et la migration vers le télétravail. Pendant ce temps, les attaques par rançongiciels, alimentées par une nouvelle technique d’attaque ciblant les organisations, leurs clients ou leurs partenaires commerciaux, ont bondi de 93 %¹. 
Alors que le nombre de sinistres continue à grimper, les assureurs s’efforcent d’aider leurs clients à prévenir les attaques d’abord et avant tout. Bon nombre évaluent s’il n’y aurait pas lieu d’exiger certaines mesures d’atténuation des risques (comme le cryptage ou le renforcement des autorisations) comme conditions préalables à l’assurance. Certains assureurs ont déjà instauré des normes de souscription plus rigoureuses exigeant la mise en place de certaines mesures de cybersécurité préalablement à l’obtention d’une couverture². On s’attend également à ce qu’à l’avenir, l’industrie de l’assurance adopte collectivement des exigences de base en matière de sécurité comme norme pour la cyberassurance³.

« En fait de cyberattaques, la devise est la suivante : « ce n’est pas si, mais quand, indique Ian Fraser, vice-président associé, Technologie, Cyber et RC professionnelle chez Souveraine Assurance. Cependant, lorsque cela survient, plus l’entreprise est préparée, moins la gravité et les répercussions de l’incident se feront sentir sur l’organisation. C’est là que le concept de contrôle des cybersinistres entre en jeu. Il s’agit de contribuer à renforcer les pratiques de cybersécurité et la position de risque des assurés avant que l’événement ne se produise. »

Voici cinq mesures de contrôle des cybersinistres qui pourraient constituer des conditions préalables à l’obtention d’une assurance à l’avenir, mais qui représentent aussi des pratiques judicieuses que toute entreprise gagnerait à mettre en place dès aujourd’hui.

1.  L’authentification multifactorielle (MFA) : La MFA est une méthode d’authentification qui requiert que l’utilisateur fournisse deux facteurs de vérification ou plus pour accéder à une ressource comme un réseau, une application ou un site Web. Les noms d’utilisateur et les mots de passe étant particulièrement vulnérables aux cyberattaques, l’authentification multifactorielle peut aider les organisations à préserver leur sécurité. « L’authentification multifactorielle peut être facilement mise en œuvre à un coût raisonnable et avoir d’importantes retombées sur les risques », indique Ian. Parmi les méthodes de MFA communément utilisées figurent les réponses à des questions de sécurité personnelles, les empreintes digitales ou la reconnaissance faciale, de même que les mots de passe à usage unique envoyés par messagerie texte ou par courriel.
   
   
2. Le cryptage : Le cryptage rend les données illisibles pour quiconque n’est pas autorisé à les consulter. Les entreprises doivent veiller à la mise en oeuvre d’un niveau de cryptage dans l’architecture de sécurité d’un réseau, de même que lorsque les données circulent sur les réseaux et entre les sites. Ian insiste sur l’importance d’actualiser les méthodes de cryptage. « Comme les technologies évoluent rapidement, il se peut que les anciennes méthodes de cryptage ne soient plus sécuritaires, explique-t-il. Et bien que le sujet puisse être complexe, plusieurs nouveaux dispositifs et solutions logicielles comportent des éléments de cryptage intégrés. »
   
   
3. Les correctifs logiciels et les mises à jour de systèmes : Comme les cybermenaces sont en constante évolution, il est important de rester au fait des correctifs et des mises à jour pouvant rectifier les failles de sécurité. Les systèmes informatiques désuets peuvent également devoir subir une mise à niveau pour assurer un meilleur niveau de protection contre les menaces actuelles. « Cela nécessite des coûts et le défi pour de nombreuses entreprises consiste à déterminer combien elles vont investir pour la cybersécurité, indique Ian. La clé consiste à trouver un juste équilibre entre le réinvestissement dans l’infrastructure informatique et l’investissement dans d’autres domaines de l’entreprise. »
   
   
4. Permissions : Les permissions, ou contrôles d’accès, dictent quelles personnes, dans l’organisation, ont accès à quelles ressources, y compris les réseaux, les fichiers, les applications, etc. L’objectif est de réduire au minimum le risque de sécurité lié à l’accès autorisé aux données sensibles. Ian souligne que dans de nombreuses petites entreprises et entreprises en démarrage, tous les employés ont accès à tout, alors qu’il est important de limiter l’accès dès le départ. « Les entreprises doivent être conscientes qu’elles ne doivent pas attendre d’avoir atteint une certaine taille pour mettre des contrôles en place, indique-t-il. Ce sont des éléments qui doivent être intégrés dès le début et un bon point de départ consiste à recourir au principe d’accès du moindre privilège. » 
   
   
5. Les plans d’intervention en cas d’incident : Un plan d’intervention en cas d’incident est un ensemble d’instructions détaillées destinées à aider les professionnels des TI et le personnel à détecter les événements de sécurité du réseau, à intervenir en conséquence et à s’en rétablir. Ian insiste sur l’importance de disposer d’un plan bien documenté, adéquatement communiqué aux employés et mis en pratique au moins une fois l’an. « C’est le même principe que les exercices d’incendie dans les écoles. Les entreprises doivent s’exercer à intervenir en cas de cyberévénement et apporter des ajustements à leur plan au besoin. »
   
   
6. Pour composer avec le cyberrisque à l’heure actuelle, il faut bien plus qu’une police d’assurance. Il s’agit de mettre en place les bonnes mesures de contrôle des sinistres – et d’avoir les bons fournisseurs et les bons partenaires — pour être prêt à faire face à une atteinte et composer avec les suites d’un cyberévénement. « Je compare cela à un tabouret à trois pieds, indique Ian. Les entreprises doivent constamment gérer et améliorer leur posture en matière de cyberrisque avant toute atteinte, disposer d’un plan bien documenté et dûment mis en pratique pour composer avec les suites d’une atteinte et se procurer une police de cyberassurance pour être bien outillées et bien protégées. »  

Sources

¹ Check Point, Cyber Attack Trends 2021 Mid-Year Report 
² Property Casualty 360, Cyber breaches, regulatory guidance and the insurance market, 17 mai 2021
³ Canadian Underwriter, Should insurers (and others) be banned from making cyber ransom payments? 30 mai 2021