La notation cyber des entreprises ou cyber rating n’est pas récente mais se généralise très vite aujourd’hui, à défaut de se standardiser. Elle procède d’une démarche similaire à celle, plus ancienne, de la notation financière et répond à des besoins divers, de la part de différents acteurs :
- Auto-évaluation de l’entreprise
- Évaluation des tiers (fournisseurs notamment)
- Valorisation de l’entreprise
- Démarche Assurance Cyber
Nous analyserons dans cet article l’importance du cyber rating dans la mise en place d’un contrat d’assurance cyber.
LES OUTILS D’APPRECIATION DU RISQUE CYBER PAR LES ASSUREURS
Comment un cyber assureur va-t-il évaluer le niveau de cybersécurité de votre entreprise ? Les outils de cyber rating sont ils importants dans l’appréciation du niveau de sécurité des systèmes informatiques par les compagnies d’assurance ?
Analyse de la gouvernance via un questionnaire cyber
Chaque compagnie d’assurance a développé ses propres questionnaires essentiellement en fonction de la taille de l’entreprise interrogée. S’ils sont différents d’une compagnie d'assurance à l’autre, ils visent à analyser la gouvernance cyber de l’entreprise à assurer et en particulier de comprendre si un certain nombre de mesures ont été mises en œuvre ou non :
- Gestion des accès (VPN, Multi Factor Authentification, Privilèges)
- Politiques de mise à jour (fréquence, tests de maj, …)
- Sécurité des réseaux (Firewall, …)
- Existence d’un SOC (interne ou externe)
- Procédures de sauvegarde (déconnectées ou pas, fréquence, …)
- Plan de Reprise d’Activité (PRA) et/ou Plan de Continuité d’Activité (PCA)
- Sensibilisation et éducation du personnel au phishing et aux bons comportements cyber
- …
Les outils de Cyber rating
Leur principe est, à partir d’un domaine maître, d’établir l’inventaire des ressources IP lui correspondant et de capter sur le net les flux qui leurs sont liés. Cela permet, après remédiation des données (élimination des faux positifs/négatifs, pondération des différentes informations, …), validation du périmètre scanné, de noter l’entreprise et de lister de nombreuses vulnérabilités du système informatique exposées sur le web, par exemple :
- Mises à jour effectuées ou pas, ancienneté des versions, …
- Santé DNS
- Faille de sécurité
- Détection de logiciels malvaillants
- Menaces cyber (surveillance du Darkweb)
- Implémentation https
- Sécurité Réseaux (certificats, …)
- Sécurité des applications (Implémentation https par exemple)
- Fuite de données repérées et risques de cyberattaques
- Présence d’adresses emails professionnels sur les réseaux sociaux
- …
Ces outils de scoring ne donnent donc qu’une vue externe de l‘exposition des « assets » du système d’information. Ils sont néanmoins très utilisés car il a été démontré une forte corrélation entre les notes obtenues et la fréquence et l’efficacité des attaques subies. Pour les assureurs ils sont donc un outil de mesure de la vulnérabilité et d’une certaine façon de « l’attractivité » d’un système d’information pour les pirates : eux aussi font, avant de choisir leurs victimes, le même type d’évaluation externe !
Entretien d’évaluation de la cyber gouvernance avec la compagnie d’assurance
Certaines compagnies vont systématiquement accompagner l’analyse des questionnaires et des audits de surface par un entretien réunissant Rssi / DSI et experts de la cyber sécurité. L’objectif de cet entretien est d’approfondir certains points et de valider la bonne compréhension des questions posées par l’assureur et de mesurer la capacité de résistance aux cybercriminels. Il s’agit de se faire une idée globale de la qualité du risque et d’avoir la certitude que l’assuré a mis en place une stratégie de cyber sécurité afin de réduire ses vulnérabilités et son risque de cyberattaque face aux hackers.
CYBER RATING : QUELLES CONSEQUENCES POUR LES ENTREPRISES ?
Le risque cyber est aujourd’hui considéré comme la principale menace pour les entreprises ; une PME/ETI sur trois ne survit pas à une attaque cyber… mais seulement 10% des PME/ETI sont assurées !
L’assurance cyber n’intervient qu’en dernier recours, quand une bonne gouvernance de la sécurité du SI et les technologies mises en place n’ont pas suffi ; elle permettra d’amortir le coût financier de la cyber attaque, d’accompagner l’assuré sur la partie juridique et technique avec des services efficaces 24/7 de « gestion de crise cyber » qui garantissent la remise en état de marche rapide système d’information.
Encore faut-il être assurable et présenter une bon cyber rating et une bonne cyber gouvernance !
Lorsqu'une organisation décide de mettre en oeuvre un chantier cyber assurance, cela implique d’établir un diagnostic sans complaisance de sa posture de cybersécurité, de déterminer quelles sont les vulnérabilités et les faiblesses dans la gouvernance de sa sécurité informatique.
Ce cyber diagnostic étant réalisé, il faudra corriger les défauts les plus graves par la mise en œuvre de process, d’outils et éventuellement de services. Ce n’est qu’après qu’il sera envisageable de s’assurer. Il s’agit là d’une tâche assez lourde dès que l’entreprise a dépassé le stade de la TPE. Elle requiert des outils performants (ceux utilisés par les compagnies d’assurance), une réelle expertise technique et des services adaptés à chaque cas client. Une entreprise aura beaucoup de mal à trouver une bonne offre cyber assurance si elle ne présente pas un bon cyber rating (absence de vulnérabilités fortes constatées).
Cyber Cover est un courtier exclusivement spécialisé dans l’assurance cyber pour les PME et ETI. Notre mission est avant tout le conseil. Ainsi, si vous nous sollicitez, nous commencerons par établir gratuitement un diagnostic de votre posture de cybersécurité qui s'appuie sur une méthodologie, ce en utilisant les mêmes outils et méthodologies que ceux des assureurs. Nous partagerons avec vous ce diagnostic, vous présenterons nos recommandations de mise en conformité au niveau de votre sécurité informatique avant même que nous ne contactions les principales compagnies d’assurance du marché. Nous vous accompagnerons dans l'amélioration de votre cyber rating. De cette façon nous vous permettrons d’être mieux protégé face aux cybercriminels, d’avoir un meilleur dossier assurantiel et donc des propositions d’assurances plus nombreuses, aux meilleures conditions tarifaires.
Intéressés ? N’hésitez pas à nous contacter pour que nous établissions gratuitement votre cyber diagnostic et présentions les devis assurance cyber qui découlent.
