Cybersécurité : six conseils pour assurer financièrement des données cloud
Avec la multiplication des attaques, notamment par ransomwares, la menace cyber est devenue le risque numéro un pour un grand nombre d'organisations. Assurés contre les incendies ou les dégâts des eaux, les chefs d'entreprise oublient trop souvent qu'il existe une réponse assurantielle aux risques cyber. Si les grands comptes souscrivent massivement à ce type de contrat, c'est moins le cas des ETI et des PME. "Les patrons de PME imaginent à tort que ces contrats sont inaccessibles", observe Marc-Henri Boydron, fondateur de Cyber Cover, un courtier qui accompagne les entreprises dans la mise en conformité assurantielle. "Pour une société réalisant 5 millions d'euros de chiffre d'affaires, la prime s'élève à environ 1 500 euros par an." La tendance est toutefois haussière. La forte augmentation des cyber-sinistres conduit, en effet, les compagnies d'assurance à augmenter leurs primes, à réduire les garanties et à se montrer plus sélectives sur les dossiers qui leur sont présentés.
A raison puisque ces contrats cyber sont déficitaires. Selon une étude de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE), le montant des indemnisations versées a été multiplié par trois entre 2019 et 2020, passant de 73 à 217 millions d'euros. Sur la même période, le ratio sinistres sur primes a, lui, augmenté de 84% à 167%. La généralisation des technologies cloud n'est pas étrangère à cette tendance. En disséminant ses données dans un grand nombre d'environnements extérieurs à son système d'informations, une organisation augmente mécaniquement sa surface d'exposition aux risques. Voici quelques conseils pour assurer ses données cloud.
1. Cartographier les données à assurer
Les assureurs ont une approche par le risque. Une entreprise se doit donc de faire toute la transparence sur son patrimoine informationnel. Où se trouvent ses données critiques présentant un risque accru en cas de violation ? L'entreprise peut s'appuyer sur le travail déjà accompli lors de la mise en conformité au RGPD. Le cadre réglementaire européen oblige à cartographier l'ensemble des traitements de données personnelles et les consignés dans un registre régulièrement mis à jour. Les traitements présentant des risques élevés devant faire l'objet d'une étude d'impact (privacy impact assessment en anglais, ou PIA).
L'entreprise doit démontrer à l'assureur qu'elle a pris toutes les mesures organisationnelles (droits d'accès restreints) et techniques (anonymisation, chiffrement) nécessaires. Du côté du marché, il existe un grand nombre d'outils de data discovery et de gestion des données de référence (master data management ou MDM) pour cataloguer les données en fonction de leur criticité et assurer leur traçabilité.
2. Identifier les applications sensibles
Il convient également d'identifier les applications consommant des données critiques. Comme le rappelle la Cnil, "une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable", comme un nom et prénom, un numéro de téléphone, une adresse postale, un e-mail ou encore un numéro de sécurité sociale. Parmi les principaux progiciels manipulant ce type de données, on pense spontanément au CRM, à l'ERP et au SIRH.
Pour monter son dossier d'assurance cyber, il convient d'inventorier les solutions en mode SaaS utilisées qui relèvent de cette famille mais aussi le type de contrat qui régit la relation avec leur éditeur. Une revue des contrats fournisseurs permettra de montrer à l'assurance l'existence de clause d'audit ou de pénalités financières en cas de manquements aux engagements de qualité et de sécurité.
Si aux yeux du RGPD, l'éditeur n'est qu'un sous-traitant au service du responsable du traitement, il est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données. Il peut aussi être tenu pour responsable d'un dommage causé par un traitement s'il a agi en dehors ou contrairement aux instructions de son client.
3. Outiller le monitoring des données
Pour garantir la supervision des données sensibles, l'entreprise peut recourir aux outils de détection des menaces avancées proposés par les fournisseurs cloud. Des solutions qui ont pour nom GuardDuty chez AWS, Azure Sentinel chez Microsoft ou encore Security Command Center chez Google Cloud.
De son côté, une entreprise peut mettre en place un SIEM (pour security information and event management) dédié à la gestion des informations et des événements de sécurité. Ce dispositif peut être complété par une solution de data loss prevention (DLP) qui classe les données confidentielles afin que les utilisateurs non autorisés ne puissent pas les partager.
Un cloud access security broker (CASB) va, lui, étendre la politique de sécurité d'une organisation aux solutions en mode SaaS. Il permet de réduire le shadow IT en interdisant le recours à des applications cloud non référencées et sécurise de bout en bout celles qui sont approuvées. Un CASB permet, par ailleurs, de détecter les menaces et les comportements anormaux.
4. Définir les critères de sélection du contrat
"Les compagnies d'assurance n'offrent pas les mêmes niveaux de garantie", observe Marc-Henri Boydron. "Il faut bien lire les conditions générales et s'attarder notamment sur la définition du système d'information. S'agit-il d'un SI restreint aux périmètres de l'entreprise ou étendu aux données et applications dans le cloud ? Certains contrats excluent les données hébergées dans le cloud. D'autres interdisent la souscription auprès d'éditeurs de solutions en mode SaaS."
Après avoir opéré ce premier filtre, il s'agit d'évaluer le rapport entre le niveau de garantie proposé, le plafond d'indemnisation et le montant de la prime. Normalement, "une assurance cyber couvre les dommages subis à la suite d'une attaque malfaisante ou d'une fuite accidentelle de données", poursuit Marc-Henri Boydron. "Elle peut aller jusqu'à couvrir une erreur humaine comme un port réseau laissé ouvert par les équipes IT après une migration." La destruction des données consécutive à l'incendie des data centers d'OVHCloud le 10 mars dernier à Strasbourg ne rentre théoriquement pas dans ce cas car elle a pour origine un dommage matériel.
Prêchant pour sa paroisse, l'expert rappelle qu'un courtier peut proposer un audit et mettre en relation l'entreprise avec son réseau de partenaires experts. "Sur des organisations 'simples', réalisant moins de 50 millions d'euros de chiffre d'affaires, il est assez facile de trouver des solutions. Pour d'autres, c'est plus compliqué. Si l'entreprise est exposée à un risque trop important et si elle n'a pas mis en place une gouvernance adéquate, elle peut se voir opposer un refus."
Reassurez-Moi.fr propose un comparateur d'assurances en cyber-risques. Outre-Atlantique, le site Coalition propose à la fois des produits d'assurance cyber et une gamme d'outils de cybersécurité. En analysant les données remontées par ses sondes, cette société californienne estime pouvoir prédire la probabilité qu'une organisation subisse une cyberattaque, la nature de cette menace, et ainsi évaluer plus justement le risque.
5. Bien négocier
Au moment de la souscription, l'assureur va chercher à connaitre la cyber résilience d'une organisation à travers un questionnaire rempli par le DSI ou le RSSI. Les questions tournent autour de la présence d'antivirus, de firewall, de procédures de sauvegarde et de leur contrôle. En complément, la compagnie d'assurance peut utiliser un outil de cyber hacking pour auditer le système d'informations et identifier les principales zones de risques. "En fonction de cette évaluation, le montant de la prime peut aller du simple au double", note Marc-Henri Boydron.
Un contrat doit couvrir les frais de restauration de données à partir des sauvegardes et les coûts liés au redémarrage mais aussi les pertes d'exploitation, la responsabilité civile et les éventuels préjudices à des tiers. Les coûts liés aux personnes concernées par une violation des données - obligation introduite par le RGPD – doivent être également pris en charge. Au-delà de ce volet indemnisation, un assureur peut, en cas d'incident, dépêcher auprès de l'entreprise des experts informatiques, juridiques voire des spécialistes en communication de crise si l'attaque est médiatisée.
Parmi les points de vigilance, il faudra s'assurer que le contrat couvre bien les éventuelles attaques dites par rebond, de plus en plus fréquentes. Pour s'introduire dans un système d'informations, elle consiste à passer par un sous-traitant qui y a accès et pour lesquels les mesures de protection sont moindres. C'est ce qui est arrivé à la chaîne américaine de magasins Target fin 2013. Le cheval de Troie était un prestataire chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Target a estimé le coût du vol de données personnelles à 148 millions de dollars dont 38 millions ont été couverts par sa cyber-assurance.
6. Mettre en place les mesures exigées
L'assureur exigera de l'entreprise qu'elle applique les bonnes pratiques de sécurité, notamment recommandées par l'Anssi (pour Agence nationale de la sécurité des systèmes d'information). "Elle doit mettre en place des protections de type antivirus, antimalware et pare-feu et mener une stratégie de patching et de mises à jour dont le rythme est laissé à appréciation de l'assuré ou précisé contractuellement", développe Marc-Henri Boydron.
Les données sensibles seront, par exemple, hébergées sur des serveurs chiffrés voire déconnectés d'Internet. En ce qui concerne les sauvegardes – élément clé pour redémarrer un SI après une attaque par ransomware –, elles doivent être a minima hebdomadaires en mode déconnecté ou externalisé. L'assureur veillera aussi à la mise en place d'un plan de continuité et de reprise d'activité (PCA / PRA).
Le facteur humain étant le maillon faible de toute stratégie de cybersécurité, le prestataire s'assura de la présence d'une authentification multi-facteurs ou d'une politique de mots de passe efficace (renouvellement tous les 3 ou 6 mois). Un assureur peut aller jusqu'à imposer des actions de formation et de sensibilisation des collaborateurs. "En fonction du profil de l'entreprise, de la criticité de son activité, l'assureur élèvera ou non son niveau d'exigences", précise Marc-Henri Boydron. "Une assurance cyber doit s'inscrire dans la politique cyber d'une entreprise et ne pas se substituer à elle."