Cyber assurance : respecter les exigences lorsque toutes les identités sont en danger

La généralisation des attaques par ransomware ont fait de la cyberassurance une priorité pour les dirigeants et les conseils d'administration des entreprises.

Selon les estimations de Statista, le coût mondial de la cybercriminalité devrait exploser au cours des quatre prochaines années, passant de 9,22 billions de dollars en 2024 à 13,82 billions de dollars en 2028. Ainsi, face à la fréquence et la sophistication accrues des cyberattaques, en particulier des ransomwares, un nombre croissant d’entreprises recherchent une couverture de cyber assurance. Or, plus le besoin en couverture augmente, plus les complexités se multiplient. De plus, le fait que plus de la moitié des failles de sécurité découleront d’actions humaines d’ici 2025, constitue un défi majeur pour les entreprises en quête de couverture cyber. Cette augmentation des profils de risque conduisant les assureurs à se montrer de plus en plus stricts dans leurs évaluations et leurs exigences de souscription.

Principaux défis du marché mondial de la cyber assurance

Ces dernières années, de nombreux fournisseurs de services de cyber assurance ont signalé d’importants ratios de pertes directes pour leurs polices autonomes ainsi que leurs difficultés à couvrir de manière adéquate les coûts croissants, face à l’évolution rapide des conditions. Ainsi, selon IBM le coût total moyen d’une attaque par ransomware a augmenté de 15 % pour atteindre 4,45 millions de dollars depuis 2020. Nos recherches ont également démontré que près de neuf décideurs de sécurité sur dix déclarent que leur entreprise a été la cible d’au moins une attaque par ransomware au cours de l’année écoulée, et près des trois quarts des entreprises ont dû payer au moins une rançon au cours des 12 derniers mois. En résultent des exigences de plus en plus strictes à mesure que les opérateurs cherchent à réduire les risques.

Il y a plusieurs années, il suffisait de remplir une courte demande de cyber assurance et un rapide questionnaire. Aujourd’hui, alors qu’ils renforcent leurs critères d’éligibilité, les assureurs ne tiennent donc pas uniquement compte du risque lié aux ransomwares, mais également de la volatilité actuelle des marchés et des tensions géopolitiques persistantes. De leur côté, des incidents très médiatisés tels que MoveIt Transfer, Accellion, SolarWinds et Log4j ont exacerbé les inquiétudes concernant les risques liés à la chaîne d’approvisionnement logicielle, soulevant par la même occasion de nouvelles questions sur l’exposition à l’agrégation et les pertes systémiques. Pendant ce temps, des réglementations centrées sur la confidentialité telles que le RGPD, continuent d’évoluer de manière disparate, tandis que les litiges et les amendes se multiplient. Le coût moyen d’une compromission pour les entreprises présentant des niveaux élevés de non-conformité réglementaire a ainsi augmenté de 12,6 % pour atteindre 5,05 millions de dollars. Soit autant de variables qui soulèvent davantage de questions en matière de souscription.

Des contrôles solides pour répondre à des exigences plus strictes

Si les conditions d’obtention d’une police de cyberassurance ou d’un renouvellement sont strictes, cela n’est toutefois pas impossible. Les opérateurs et les assureurs réagissent favorablement aux entreprises qui mettent en place des contrôles de sécurité et des plans de réponse aux incidents robustes, en particulier celles prêtes à aller plus loin dans leurs architectures de cybersécurité et leurs feuilles de route planifiées.

Lorsqu’ils évaluent les systèmes et les pratiques de sécurité, les assureurs se servent souvent d’outils d’analyse open source, de services d’évaluation de la sécurité pour estimer les risques ou encore s’associer à des entreprises externes de cybersécurité pour effectuer des contrôles auprès de leurs clients.

Domaines d’audits

Lors de ces évaluations, les assureurs recherchent des preuves de contrôles et de pratiques de cybersécurité spécifiques, là ou des audits ultérieurs se pencheront plus attentivement sur d’autres domaines plus techniques :

1. Sécurité des privilèges des terminaux : les attaques par ransomware débutant généralement sur des postes de travail et des serveurs, la sécurité des accès à privilèges des terminaux sera scrutée à la loupe. À l’origine, les assureurs s’attendaient à ce qu’une entreprise forme ses collaborateurs aux techniques de phishing et de vol d’identifiants, et utilise des solutions de détection et de réponse sur les terminaux (EDR/XDR) pour identifier et stopper les activités suspectes. Or, ces essentielles sont considérées insuffisantes à elles seules, les attaquants renouvelant constamment leurs techniques d’attaques. Ce constat a incité à un examen plus minutieux des contrôles des privilèges des terminaux, en particulier la possibilité donnée à une entreprise de supprimer les droits d’administrateur local de l’ensemble des utilisateurs, des administrateurs système senior aux développeurs, en passant par les utilisateurs d’applications d’ancienne génération nécessitant des droits d’administrateur.

2. Authentification multifacteur (MFA) et gestion des accès à privilèges (PAM) : les assureurs se sont mis à creuser davantage depuis qu’un nombre croissant d’analyses post-remboursements ont révélé que la MFA n’était pas pleinement utilisée. Ces analyses leur ont permis de constater d’importantes lacunes dans la couverture des comptes à privilèges qui ne sont pas souvent liés à une personne spécifique, à savoir le compte administrateur sur chaque serveur, mais sont utilisés par des administrateurs système et d’autres utilisateurs avec accès à privilèges pour protéger les données sensibles.

Ainsi, suite à ces observations, les assureurs ont commencé à rendre la gestion des accès à privilèges (PAM) obligatoire pour les comptes à privilèges non liés à des utilisateurs spécifiques (c’est-à-dire les comptes d’administrateur local, racine et de service), afin de veiller à l’application de la MFA et d’isoler les actifs de grande valeur. Ils encouragent notamment les approches de défense en profondeur consistant en l’application de plusieurs niveaux de contrôle : accès basés sur le principe du moindre privilège sur les terminaux et dans les environnements de cloud hybride, rotation par programmation des identifiants et des secrets, vérification de toutes les tentatives d’accès à l’aide de la MFA, ou encore surveillance des accès à haut risque. Cela limite ainsi les frictions sur les utilisateurs et favorise l’adoption de contrôles de sécurité en phase avec les attentes des auditeurs et des assureurs.

4. Contrôles d’accès des utilisateurs tiers : alors que les entreprises dépendent de plus en plus de fournisseurs et de sous-traitants, l’intervention de tiers augmente le coût total moyen d’une compromission d’environ 5 %, pour atteindre près de 4,7 millions de dollars. Si les fournisseurs exigent le même niveau de protection, ils bénéficient rarement du même niveau d’attention que les employés. De plus, les entreprises doivent pouvoir isoler et surveiller l’ensemble des sessions privilégiées à l’aide de fonctionnalités d’audit complètes – de la même manière qu’elles sécurisent les accès et les actions des utilisateurs disposant d’accès à privilèges internes.

5. Sécurité des identités non humaines : l’accent accru placé sur la gestion des accès à privilèges s’étend au-delà des utilisateurs pour inclure les identités non humaines, dont le nombre est aujourd’hui 45 fois plus élevé que celui des identités humaines. Il peut s’agir de comptes de service, de secrets codés en dur, de solutions prêtes à l’emploi ou développées en interne dont le fonctionnement nécessite des identifiants forts, ainsi que de processus automatisés tels que l’automatisation robotisée des processus (RPA). Ici, les assureurs recherchent des contrôles plus draconiens des privilèges autour de systèmes automatisés de gestion des correctifs, de scanners de vulnérabilités et d’autres outils de sécurité existants que les attaquants pourraient tenter de désactiver.

6. Personnes et processus : au-delà des mesures de protection technologiques, les compagnies d’assurance souhaitent toujours voir les entreprises adopter des pratiques humaines saines, comme organiser des formations continues de sensibilisation à la cybersécurité. Elles évalueront également les pratiques de sauvegarde des données et les plans de réponse aux incidents afin de cerner la vitesse à laquelle une entreprise est capable de reprendre ses opérations après une attaque. Tout programme de sécurité repose sur des personnes, des pratiques et des technologies – et ça, les assureurs le savent.

Alors que les entreprises se préparent à renouveler leur police de cyber assurance, elles doivent avoir conscience des exigences de contrôle de sécurité évoluent en réponse à la mutation rapide du monde numérique – et à la nature sans cesse changeante des menaces actuelles. À mesure que des contrôles plus stricts sont mis en œuvre et utilisés plus efficacement, les pertes enregistrées par les assureurs commencent à se stabiliser et à adoucir quelque peu le marché. Alors que les entreprises s’appliquent à répondre aux exigences actuelles tout en gardant un œil tourné vers l’avenir, elles doivent concentrer leurs efforts à réduire efficacement les cyber-risques sans ralentir leurs activités.

Aujourd’hui, toute identité compromise (humaine ou machine) peut constituer une passerelle vers les ressources que les attaquants ciblent en s’appuyant sur des tactiques telles que les ransomwares. Et la protection des entreprises s’effectue désormais dans un contexte où trois réalités – les nouvelles identités, les nouveaux environnements et les nouvelles menaces – complexifient davantage cette tâche. Face aux menaces actuelles, une stratégie intégrée de sécurité des identités, associée à une approche unifiée basée sur le principe du moindre privilège et sur une démarche Zero Trust, constitue la meilleure ligne de défense contre les attaques.