Voici ce que votre organisation doit savoir sur la cyberassurance

Actuellement, 4,7 millions d’experts dans le monde travaillent dans le domaine de la cybersécurité tenter de limiter les coûts mondiaux de la cybercriminalité. Les pertes dues à la cybercriminalité devraient augmenter au cours des cinq prochaines années, passant de 8,44 billions de dollars en 2022 à environ 11 billions de dollars en 2023 et éventuellement atteindre environ 24 000 milliards de dollars d’ici 2027.Les assureurs fournissent des recommandations en matière de cybersécurité et les assurés se tournent vers les assureurs pour comprendre les besoins d’assurance. En tant que tel, il est essentiel de combler l’écart entre les connaissances techniques des assureurs en matière de cybersécurité et leur connaissance de la façon dont l’organisation de l’assuré est structurée numériquement pour comprendre ce qui est déjà déployé et ce qui est nécessaire pour accroître la sécurité.

La réponse aux incidents (RI) est le processus par lequel une organisation gère une violation de données ou une cyberattaque. À mesure que les assureurs s’associent à des fournisseurs de technologie et de services, souvent pour minimiser les coûts, les clients perdent le pouvoir de choisir les sociétés de RI avec lesquelles ils peuvent travailler et les fournisseurs de technologie qu’ils peuvent mettre en œuvre.

De plus, la façon dont ces technologies recommandées sont mises en œuvre n’est souvent pas surveillée de manière continue, ce qui signifie que la sécurité des actifs critiques peut ne pas être continue. De nombreuses équipes de sinistres de compagnies d’assurance font appel à des cabinets d’investigation numérique à volume élevé qui, par conséquent, ne sont pas nécessairement en train d’imaginer toutes les preuves d’une affaire. Les ramifications des lacunes créées par ce programme d’investigation numérique à haut volume n’ont pas encore été vues dans cet espace en évolution rapide. La cybercriminalité a continué à augmenter rapidement en 2023 et les augmentations des coûts de la cyberassurance ont suivi le rythme. Selon une étude récente auprès de 3 000 professionnels de la cybersécurité et de l’informatique95 % des organisations ayant souscrit une police d’assurance cyber au cours de l’année écoulée ont signalé un impact direct de cette tendance sur leur couverture cyber :

  • 60 % ont déclaré que cela avait eu un impact sur leur capacité à obtenir une couverture ; 62 % ont déclaré que cela avait eu un impact sur le coût de leur couverture ; et 28 % ont déclaré que cela avait eu un impact sur les conditions de leur police.

Alors que la cyber-assurance est un élément essentiel d’une stratégie de gestion des risques et des pertes, le rapport coût-bénéfice devient plus difficile à analyser en raison de la poursuite des cyberattaques et de l’augmentation des primes. Alors que le coût des primes augmente et que les organisations apprennent à mettre en œuvre de meilleures sauvegardes du système, certaines ont choisi d’investir davantage dans les procédures de récupération du système plutôt que dans la cyberassurance.

Les pertes dues à la cybercriminalité devraient augmenter au cours des cinq prochaines annéesImage: Statista

En plus de la hausse des tarifs, les assureurs ont introduit des clauses d’exclusion dans les polices afin de minimiser l’exposition au risque. Au cours des deux dernières années, de nombreux cyber-assureurs se sont concentrés sur les cyber-risques potentiellement catastrophiques, y compris les retombées des conflits géopolitiques et l’activité correspondante des États-nations. Par exemple, Lloyd’s de Londres a imposé une nouvelle formulation d’exclusion de guerre, tandis que le marais continue d’interroger les assureurs pour le compte de leurs clients sur leur approche face au risque de guerre et cyber catastrophique. défi auquel sont confrontées les compagnies d’assurance quantifie le risque et la complexité de la mesure de l’impact en cascade d’une cyberattaque. Cette tâche monumentale est compliquée par un paysage de menaces en évolution rapide. Sans une surveillance et des réévaluations continues pour analyser l’environnement interne de l’assuré, la quantification des risques est considérée comme statique et difficile à prédire. l’absence d’un inventaire des actifs critiques. De plus, un contrôle d’accès interne et tiers approprié continue d’être un défi pour toutes les organisations et quelque chose qui ne peut pas être mis en évidence par des questionnaires et des listes de contrôle.

Gestion du cyber-risque est stimulé par les progrès des modèles d’agrégation prédictifs, l’amélioration de la cyber-hygiène, les moyens de hiérarchiser les investissements, un plus grand partage d’informations entre les entités privées et publiques et l’augmentation des actions et des réglementations gouvernementales en faveur d’une société cyber-résiliente.

Bien que ces avancées puissent améliorer la gestion interne des risques, elles s’appuient sur des données détaillées, fiables et continues. Il existe souvent un écart entre la qualité et la quantité d’informations disponibles pour les assureurs et les assurés. Par conséquent, les questionnaires deviennent de plus en plus longs et compliqués à remplir pour les assurés potentiels, perturbant souvent la compréhension de la couverture cyber finale pour l’assuré.

Les organisations peuvent minimiser et même simplifier les évaluations des risques en se concentrant sur quatre domaines principaux. Celles-ci peuvent être résumées en quatre questions fondamentales qui seront posées par l’équipe IR en cas de violation :

Quel type de pare-feu est utilisé ?

  • Il est absolument essentiel qu’un pare-feu soit en place dans toute structure de cyberdéfense. C’est le pont-levis et la porte fortifiée qui gardent le château. Tout aussi critique est le besoin d’au moins 60 jours de journaux de pare-feu, six mois si possible. Tout comme les images des caméras de sécurité, les journaux de pare-feu sont des preuves essentielles d’un cyberincident potentiel.
  • Comment l’environnement est-il sauvegardé ?

  • Dépenser de l’argent pour des sauvegardes de qualité est aussi important que les primes de cyber-assurance. Assurez-vous que vos sauvegardes sont configurées pour être à l’abri de toute intrusion ou infection possible du réseau. La durée de la sauvegarde doit être adaptée à l’industrie pour le calendrier et le budget que votre industrie exige.
  • Existe-t-il une authentification multifacteur (MFA) en place pour tous les utilisateurs ?

  • Une exigence MFA pour l’accès à n’importe quel système de l’entreprise n’est pas facultative et doit être mise en œuvre afin qu’elle ne puisse pas être compromise sans négligence grave. Cela doit s’appliquer à tous les départements et niveaux d’employés de l’entreprise avec une politique de zéro exception.
  • Vérifiez-vous régulièrement qui a accès à vos systèmes ?

  • Avoir un système de changement de mots de passe ne suffit pas ; vous devez vérifier qui a accès à quels systèmes et logiciels au moins une fois par trimestre. Le niveau le plus bas de politiques d’accès doit être obligatoire pour garantir une atténuation appropriée des risques. Le modèle du principe du moindre privilège (POLP) est obligatoire pour garantir une atténuation appropriée des risques. POLP est un concept qui limite les droits d’accès des utilisateurs à ce qui est strictement nécessaire pour faire leur travail. Avoir un outil qui envoie des alertes lorsque de nouveaux comptes sont créés est un coût nécessaire pour garantir que les utilisateurs non autorisés peuvent être identifiés immédiatement dans l’environnement.
  • Malgré la complexité croissante de la cyberassurance et l’émergence et l’évolution rapides des cybermenaces, répondre à ces questions peut aider les responsables de la sécurité et les fournisseurs de cyberassurance à combler le déficit de connaissances.

    entre assureurs et assurés.