AVIS D’EXPERT – Poussées par la multiplication des ransomwares, brèches et cyberattaques – et l’intensification des risques associés d’atteinte à la réputation, de non-conformités, de pénalités et de perte de propriété intellectuelle, beaucoup d’entreprises s’intéressent à l’assurance cyber pour se protéger des répercussions financières d’une cyberattaque. D’autres peinent à faire face au coût croissant des assurances cyber et à maintenir leur posture de sécurité. Matthieu Trivier, directeur pré-vente chez Semperis, nous aide à y voir plus clair.
Les indemnités parfois exorbitantes et les écosystèmes numériques complexes difficiles à sécuriser font gonfler les cotisations d’assurance. D’autre part, les critères d’éligibilité sont stricts. Même les entreprises ayant souscrit une assurance peuvent voir leur demande d’indemnité refusée car leur posture de sécurité n’était pas irréprochable lorsqu’une cyberattaque a frappé. C’est risqué de se reposer pleinement sur une assurance cyber pour protéger votre propriété intellectuelle, vos données clients et votre réputation. Heureusement, de nombreux critères d’éligibilité aux assurances cyber coïncident avec les bonnes pratiques à appliquer en matière de détection et réponse aux menaces des systèmes d’identité (ITDR). En adoptant des mesures visant à protéger les ressources du Tier 0 – comme Active Directory (AD) par exemple – vous pouvez renforcer votre éligibilité auprès des assureurs, tout en réduisant vos chances de devoir faire appel à une assurance cyber.
Comment remplir les critères d’éligibilité à une assurance cyber ?
La multiplication rapide des cyberattaques, quelle que soit l’entreprise visée, est source d’inquiétude. Une cyberviolation peut donner lieu à un arrêt des activités, une atteinte à votre réputation, voire même des amendes non négligeables, sans oublier le coût financier directement lié à l’attaque. L’assurance cyber a pour objectif d’aider les entreprises à amortir leurs pertes financières suite à une cyberattaque ou violation de sécurité. Voici une liste non exhaustive des pertes typiquement encourues :
- Dommages aux systèmes
- Interruption de l’activité
- Confidentialité, pénalités et demandes d’indemnité
- Manquements contractuels
- Récupération des données
- Frais d’expertise
Toutefois, pour être éligible (ou même réduire sa cotisation), une entreprise doit se plier à un nombre croissant de critères. De plus, les taux, durées de conservation et autres mesures de contrôle dépendent de votre profil de risque. Même si vous êtes éligible et avez souscrit à une assurance, votre assureur peut refuser de vous indemniser suite à un incident si vous n’avez pas su maintenir une défense assez solide. Un simple clic ou la moindre erreur de configuration peut laisser le champ libre à une violation. Et si votre entreprise ne respecte pas l’ensemble des critères de sécurité définis par l’assureur, vous pouvez vous voir refuser le contrat d’assurance. Pour autant, une assurance cyber ne vous met pas complètement à l’abri.
Quelles exigences de la part des assurances ?
Outre le critère quasi universel de l’authentification multifacteur (MFA), les assureurs demandent également aux entreprises d’adopter les processus suivants :
- Sauvegarde et reprise après sinistre. Sauvegarde régulière des données et vérification de leur disponibilité en cas d’attaque.
- Détection et gestion des postes de travail (EDR). Installation de solutions antivirus pour assurer la protection des postes de travail contre les malware, virus et autres attaques.
- Gestion des identités et des accès (IAM). Autorisation et authentification des utilisateurs, adoption du « principe du moindre privilège » pour restreindre les accès des attaquants.
- Gestion des accès à privilèges (PAM). Suivi des comptes avec privilèges pour détecter les comportements suspicieux et identifier les comptes compromis.
- Gestion des correctifs. Mise en œuvre régulière des correctifs et mises à jour.
Qu’en est-il d’Active Directory, votre ressource du Tier 0 la plus importante ?
Pour la plupart des entreprises, les identités forment le nouveau périmètre de sécurité entourant AD. Étant donné le contrôle et les capacités considérables que détient AD sur vos autres ressources numériques (notamment vos applications critiques), c’est souvent la cible ultime des cybercriminels. En visant AD, les cyberattaquants cherchent à obtenir des privilèges qui leur permettront ensuite de planifier et de réaliser d’autres attaques. Assurer la protection d’AD est une composante fondamentale d’une bonne posture de sécurité et de la mitigation des risques. Pourtant, AD ne constitue pas souvent une priorité pour les entreprises qui cherchent à renforcer leur posture de sécurité, bien que ce système contienne tant d’informations. De surcroit, beaucoup d’applications clés reposent sur AD pour l’identification. Quand AD est à l’arrêt, c’est donc tout un éventail d’applications qui devient inutilisable. Par ailleurs, l’ITDR est plus délicate dans les environnements qui exploitent à la fois AD et Azure AD. En effet, malgré leur nom similaire, les deux solutions d’identité reposent sur des modèles de sécurité très différents.
Protection d’Active Directory et assurance cyber
La sécurité doit être un processus continu. Les solutions préventives comme correctives ont leur importance : vous vous devez de choisir celles qui sont les plus adaptées pour mitiger ou réduire les risques de sécurité avant, pendant et après une attaque. Les solutions de sécurité comme la EDR et la MFA sont utiles mais ne protègent pas AD à chaque étape du cycle de vie d’une cyberattaque. Une fois qu’un attaquant a trouvé comment les contourner, AD est vulnérable – à moins que vous n’ayez une protection des identités dédiée à AD. Plusieurs critères d’éligibilité mentionnés ci-dessus s’inscrivent également dans une approche efficace de sécurité dédiée à AD, notamment : des sauvegardes reconnaissant AD, l’application scrupuleuse du principe du moindre privilège et la capacité à détecter et résoudre rapidement les montées en privilèges suspicieuses.
Sauvegardes
L’existence de sauvegardes est un prérequis imposé par de nombreuses compagnies d’assurance cyber. Elles vous permettent de redevenir opérationnel rapidement après une attaque, de ransomware par exemple. Mais que faire si la sauvegarde est infectée par le même logiciel malveillant qui a atteint votre environnement ? Si vos contrôleurs de domaine étaient déjà infectés au moment de la sauvegarde, alors deux solutions perdantes-perdantes s’offrent à vous : restaurer une sauvegarde infectée puis recommencer le cycle entier, ou perdre du temps et des données en restaurant une sauvegarde réalisée avant l’introduction du malware. Réaliser et régulièrement tester des sauvegardes saines reconnaissant AD : l’effort le plus efficace pour mitiger les risques. Un plan de sauvegarde et récupération dédié à AD distinct de votre processus de sauvegarde et récupération du système d’exploitation pourra vous sortir de l’embarras le jour où un attaquant vous barre l’accès aux systèmes.
IAM et PAM
D’après Gartner, « Les entreprises ont fait beaucoup d’efforts pour renforcer leurs capacités d’IAM, mais ont choisi d’améliorer l’authentification utilisateur grâce à la technologie, ce qui étend la surface d’attaque pour cet aspect fondamental de l’infrastructure de cybersécurité… Les outils d’ITDR permettent de protéger les systèmes d’identité, de détecter les compromissions et d’assurer une remédiation efficace. » Appliquer un contrôle d’accès basé sur les rôles (RBAC) qui respecte le principe du moindre privilège, d’une part, et assurer le suivi des comptes à haut niveau de privilège, d’autre part, est vital pour garantir la sécurité d’AD. Dans les grandes entreprises notamment, la quantité inouïe de données intégrées dans les journaux de sécurité peut rendre difficile l’identification des failles – qu’elles soient humaines ou proviennent d’une erreur de configuration – que les attaquants pourront exploiter pour obtenir des privilèges et semer le chaos. La capacité à détecter automatiquement les activités suspicieuses et leur provenance pour les annuler (en remplacement de la simple surveillance des journaux) permet de bloquer les déplacements latéraux adoptés par les attaquants.
Remplir les critères d’éligibilité à une assurance cyber tout en assurant la protection d’AD
Même dans un environnement contrôlé, bien géré et reposant sur un socle de sécurité fiable, les cyberattaques changeantes sont une menace constante. Une assurance cyber peut vous aider à vous remettre financièrement, mais ne rétablira pas les atteintes à votre réputation ou vos données. En adoptant une approche de sécurité d’AD proactive, vous pouvez réduire les risques et renforcer votre posture de sécurité globale – une solution gagnante-gagnante – que vous pouvez souscrir à une assurance cyber ou non.
Matthieu Trivier directeur pré-vente chez Semperis