Une étude internationale, réalisée par la texanne Netwrix, éditrice / auditrice spécialisée dans la gestion des accès, relève que 28 % des entreprises interrogées ont dû procéder à des aménagements pour réduire le montant de leur prime de cyber assurance et 22 % ont dû améliorer leur posture cyber pour, tout simplement, en bénéficier.
Tout comme il est exigé d’un particulier d’équiper sa porte d’entrée d’une serrure trois points, les entreprises doivent montrer patte blanche quant aux dispositifs de sécurité déployés pour protéger leur système d’information et l’ensemble des données qui y circulent. Que ce soit à l’intérieur ou à l’extérieur. Cela d’autant plus avec le mouvement de migration massif vers le cloud que nous connaissons en ce moment. “L’audit mené par l’assureur met en évidence les lacunes de sécurité qui caractérisent l’écosystème informatique de l’entreprise et préconise des mesures permettant d’y remédier. Dans certains cas, la mise en œuvre de contrôles de sécurité supplémentaires est obligatoire pour être éligible à une cyber assurance. En outre, certaines entreprises décident d’investir dans des mesures de sécurité supplémentaires pour réduire le montant de la prime”, explique Dirk Schrader, vice-président security research de Netwrix
L’authentification multifacteurs en tête des exigences à respecter
D’après l’enquête réalisée par Netwrix, 44 % des entreprises ont déjà contracté une assurance cyber, tandis que 15 % prévoient de le faire au cours des 12 prochains mois. Cependant, avant de se voir proposer un contrat, elles doivent généralement se soumettre à une évaluation de sécurité effectuée par la compagnie d’assurance choisie. Les personnes interrogées ont été invitées à spécifier les critères auxquels leur entreprise a dû répondre pour souscrire une assurance cyber. L’authentification multifacteurs (MFA) arrive en première position, avec un taux de 63 %, suivie de près par la gestion des mises à jour (55 %) et la formation régulière des utilisateurs en matière de sécurité (47 %). En outre, 38 % des répondants ont dû respecter des exigences en matière de gestion des accès et des identités (IAM), tandis que 36 % ont été tenus de mettre en place des contrôles de gestion des accès privilégiés (PAM).
Evaluer les dépendances entre les contrôles requis
Selon le cabinet Gartner, il est fréquent que les assureurs cyber demandent aux entreprises de déployer un outil de gestion des accès privilégiés (PAM) en conjonction avec une application d’authentification multifacteurs (MFA) pour l’accès administratif afin de réduire les risques de failles et de compromissions liés aux logiciels malveillants. “Face aux exigences ou aux recommandations d’un cyber assureur, il est essentiel d’évaluer les dépendances entre les contrôles requis. Par exemple, la mise en œuvre de l’authentification multifacteurs pour accéder à certains types de données implique de savoir où résident les données sensibles et règlementées, ainsi que de contrôler les privilèges des utilisateurs et des administrateurs”, précise Ilia Sotnikov, Security Strategist chez Netwrix.