Alors qu’il peut être difficile pour les entreprises françaises d’ obtenir une police d’assurance cyber, Amanda Maréchal, souscriptrice cyber de QBE France, donne ses meilleurs conseils sur la façon dont les entreprises peuvent améliorer leur profil de sécurité.
Il existe cinq domaines clés sur lesquels les assureurs vont se concentrer :
Sécurité informatique générale
- Êtes-vous sûr que tous vos systèmes sont mis à jour régulièrement ? Cela ne signifie pas simplement compter sur la mise à jour de votre antivirus. Il est important de comprendre le processus de gestion des vulnérabilités et des mises à jour logicielles, même si un fournisseur informatique externe offre le service.
- Avez-vous mis en place une authentification multifacteur (MFA) pour tous les accès à distance et pour les comptes à privilège ? Il est nécessaire que l’utilisateur dispose d’au moins deux facteurs d’authentification pour accéder au système, de sorte que si l’une est compromise (par exemple, le mot de passe est deviné), une deuxième étape est nécessaire (par exemple, un code envoyé à un téléphone mobile ou à une adresse e-mail, reconnaissance biométrique) avant que l’accès ne soit fourni.
- Vous assurez-vous que vous n’utilisez pas de systèmes obsolètes, et lorsque ceux-ci sont inévitables, êtes-vous sûr qu’ils sont isolés d’Internet et du reste de votre réseau ?
- Connaissez-vous la différence entre les scans de vulnérabilité et les tests d’intrusion et à quelle fréquence les faites-vous ? En termes simples, les scans de vulnérabilité analysent et évaluent les faiblesses de vos systèmes informatiques, alors que les tests d’intrusion prennent la forme d’une cyberattaque (simulation) contre ces faiblesses identifiées pour voir à quel point la situation pourrait être grave.
Employés
- Vos employés peuvent être votre maillon faible en matière de cybersécurité. Il est important d’avoir un programme de sensibilisation en place qui rappelle aux employés les risques, comment repérer une activité suspecte, ce qu’il faut faire, et surtout ce qu’il ne faut pas faire.
- Des simulations de phishing sporadiques sont également recommandées pour mettre en évidence les domaines de votre entreprise où vous pensez que votre personnel a besoin de plus d’éducation sur les risques.
Continuité des activités
La continuité des activités doit être un objectif clé pour toutes les entreprises, avec des processus et des priorités bien définis pour aider à la protection de vos données, votre réputation, vos revenus et finalement, votre reprise d’activité. Voici quelques questions clés à considérer :
- Effectuez-vous régulièrement des sauvegardes hors ligne des données critiques ?
- Séparez-vous votre IT (la technologie frontale de votre entreprise) de votre OT (la technologie back-end, telle que les machines) en utilisant par exemple des pare-feux ou un entrefer (air gapping) ?)
- Isolez-vous les différents sites ? (par exemple y a-t-il une segmentation géographique ?)
- Disposez-vous d’un plan de continuité des activités et/ou de reprise après sinistre en cas de panne de votre réseau ? Avez-vous testé ces plans et à quelle fréquence ?
Données personnelles
- Comment gérez-vous les données que vous détenez ?
- Les données sensibles sont-elles correctement sécurisées avec des mesures de protection appropriées ? (par exemple cryptage)
- Conservez-vous uniquement les données dont vous avez besoin et éliminez-vous correctement les données non essentielles ? (respect des règles de collecte, de traitement et de purge des données liées au respect du RGPD)
- Limitez-vous le nombre d’employés ayant accès aux données sensibles ?
Réglementation
- Votre entreprise est-elle tenue d’être conforme à la norme PCI-DSS ? Les entreprises qui détiennent, utilisent ou transmettent des données de titulaire de carte bancaire doivent être en conformité avec ces normes.
Lors de l’étude votre risque cyber, les souscripteurs prendront en considération les facteurs ci-dessus afin de de répondre favorablement ou non à votre demande. Et même si votre entreprise ne recherche pas actuellement à souscrire une police d’assurance cyber, la prise en compte de ces éléments clés en terme de sécurité fait déjà partie d’une bonne gestion des risques de votre entreprise.
