Business

En quoi votre profil de cyber-risques intéresse les assureurs

Retrouvez cet article dans le CIO FOCUS n°127 !

Rendre la DSI agile et au service des métiers

Mots clés répétés jusqu'à satiété, DevOps et Agilité sont des incontournables pour tout DSI désireux d'être dans l'air du temps. Mais qu'en est-il réellement sur le terrain ? Si l'agilité est une attitude généralisée plus qu'une famille de méthodes effectivement mises en oeuvre, DevOps reste pour...

Découvrir

---

Le but d'un profil de cyber-risques est d'évaluer l'assurabilité de votre organisation. Dès le départ, il faut savoir faire un long travail pour disposer d'une cyber-assurances adaptée et à un tarif avantageux. Voici ce qu'en disent nos confrères de CIO Etats-Unis.

PublicitéUn profil de cyber-risques est une mesure complexe de la posture de sécurité d'une organisation. Il brosse un tableau de vos risques liés aux aspects techniques tels que le réseau, les systèmes de sécurité et les protections contre les interruptions de service du réseau, ainsi que des aspects plus organisationnels tels que la maturité de la défense cybernétique.
Bien que de nombreuses organisations développent leurs profils de risques propres à des usages internes - comme l'amélioration de la sécurité -, les compagnies de cyber-assurances utilisent des profils de cyber-risques comme un outil pour déterminer le risque à couvrir lors de l'écriture des polices (contrats d'assurances). Un courtier prend les résultats des évaluations d'une organisation et crée son propre profil, incorporant des informations supplémentaires qui développent une compréhension plus approfondie du risque de cette organisation.

Création d'un profil de cyber-risques

La première étape dans la création d'un profil consiste en une vérification de base du matériel et du logiciel, puis, en effectuant une analyse d'impact sur l'activité de la firme, de comprendre quelles applications constituent le plus grand risque financier ou de réputation. Ce faisant, les défenses et la puissance des contrôles techniques doivent être examinées, ce qui peut impliquer des évaluations de la vulnérabilité, des tests de pénétration, etc., afin d'évaluer à la fois à l'intérieur et les menaces extérieures. Les organisations doivent également examiner de près leurs politiques de sécurité et la formation des utilisateurs, et comment les aligner avec la conformité et les objectifs opérationnels.

« La première chose à comprendre au sujet des cyber-assurances est que ces deux mots ensemble sont typiques d'un abus de langage » - Julian Waits, PivotPoint Risk Analytics

Selon Julian Waits, PDG du cabinet de conseils en cyber-risques PivotPoint Risk Analytics, « La première chose qu'une compagnie d'assurances fait lors de la construction d'un profil de cyber-risques [pour un prospect] est de déterminer si la maison est en feu ou non. Y a-t-il des choses qui sont de toute évidence mal gérées selon des points de vue de la sécurité, de la formation de l'utilisateur final, de la maturité de la direction, et qui indiquent ainsi que nous devrions nous méfier si on envisage de couvrir un risque dans cet cas ? » Si la maison est en feu, c'est à dire si l'organisation a subi des dommages liées à des failles, les chances qu'elle puisse obtenir une police de cyber-assurances sont évidemment faibles. Le problème est que les intrusions peuvent prendre des semaines ou des mois avant d'être détectées. Une organisation qui pense être en bonne forme pourrait demander une cyber-assurance, quitte à ensuite découvrir au cours du processus de profilage que sa situation est inverse.
Selon l'Enquête sur les assurances informatiques SANS 2016, la plupart des organisations effectuent une évaluation qualitative plutôt que quantitative des risques alors que les assureurs ont besoin de résultats quantitatifs. L'enquête indique que les spécialistes de la sécurité « ne disposent pas de suffisamment de données historiques précises pour calculer les probabilités et l'ampleur des risques de la manière dont une société d'assurances procéderait. » Réaliser une évaluation quantitative des risques est une tâche énorme qui est souvent au-delà des capacités des PME. Celles-ci ne disposent tout simplement pas d'assez de personnel pour traiter les informations ou n'ont pas les compétences nécessaires pour les traduire en probabilités de risque. Et de nombreuses organisations découvrent qu'elles doivent mettre à jour leurs pratiques et / ou les contrôles techniques pour obtenir une couverture adéquate des cyber-risques. L'enquête a révélé que seulement 9% des répondants n'ont fait aucune modification de ces éléments, tandis que 41% l'ont effectivement fait.

PublicitéUne pluralité de modèles

Plusieurs modèles sont disponibles pour guider les organisations à travers le processus d'élaboration d'un profil de cyber-risques. Par exemple, le modèle du National Institute of Standards and Technology (NIST) pour l'amélioration de l'infrastructure critique en cybersécurité utilise un schéma à quatre niveaux qui décrit comment le cyber-risques et la sécurité sont gérés par une organisation. Ce cadre permet aux entreprises de mesurer et hiérarchiser les risques tout en tenant compte des besoins de l'entreprise. L'outil d'évaluation de la cybersécurité du Conseil Fédéral pour l'Examen des Institutions Financière (FFIEC) aide les directeurs des institutions financières à identifier et à atténuer les risques et de déterminer la bonne préparation à adopter pour garantir la cybersécurité. Cet outil prévoit également un plan pour le cadre NIST.
Des informations sur les menaces proviennent également de services de renseignement et peuvent également être utilisées pour comparer les cyber-risques des différentes organisations. Ces services classent les menaces en fonction de la gravité, de la réputation de la source de données et de la pertinence d'une menace sur une organisation spécifique, entre autres facteurs. De nombreux services offrent maintenant des audits si la propriété intellectuelle d'une organisation, sur des cartes de crédit ou sur des informations de santé protégées (PHI) sont échangés et vendus sur le Dark Web. « Les menace liées à l'intelligence économique est une composante de la cyber-hygiène globale et un ensemble de moyens de défense pour garder intact votre environnement professionnel », déclare Julian Waits. Il insiste : « Je pense que c'est crucial. »

De nombreuses cyber-polices, aucune norme commune

Le problème avec les cyber-assurances, aujourd'hui, est qu'il y a beaucoup de différents types de contrats, en fonction du type de perte à couvrir. « La première chose à comprendre au sujet de la cyber-assurances est que ces deux mots sont une sorte de fausse appellation » explique Julian Waits. Il précise : « les compagnies d'assurances découpent le marché en une vingtaine de différents types de risques différents et, pour chaque type de perte, elles créent une boîte sur laquelle il est explicité quels risques sont couverts et lesquels ne le sont pas ». Or cette approche fragmentée ne correspond pas toujours aux besoins d'une organisation.
En outre, il n'y a pas de norme unique que les assureurs peuvent utiliser comme un mètre-étalon. Bien que le cadre de la norme de cybersécurité NIST et de l'outil d'évaluation FFIEC soient d'usages fréquents, plusieurs autres sont disponibles, comme par exemples ISO 27001, le Federal Information Processing Standard (FIPS)... Ni les organisations ni les assurances n'ont statué sur quel cadre utiliser.

Parce que les cyber-assurances sont encore une chose relativement nouvelle dans le secteur de l'assurance, les courtiers ne comprennent pas encore pleinement les différents types de risques auxquels les organisations doivent faire face. Et les assurés ne comprennent pas toujours le jargon employé dans les polices d'assurances, tout comme les implications de leur contrat final.
« Lorsque les clients font des demandes d'indemnisation, moins de la moitié est indemnisée complètement à cause de petits caractères. Mais il incombe bien aux clients de comprendre ce que sont leurs risques et leurs assurances » admet Julian Waits.
Fondamentalement, le client a besoin de comprendre les risques et les types de limites d'assurances dont il a besoin (en montants financiers exposés) avant de conclure avec les compagnies d'assurances. Avec cette information essentielle, le client peut négocier avec les assureurs en position de force. Cette approche est également préférable pour les courtiers pour qu'ils comprennent exactement ce qu'ils assurent. Le problème réside en premier lieu dans la collecte de la bonne information et dans la manière de poser les bonnes questionsFaute de le faire, cela peut entraîner des lacunes de couverture qui sont souvent découvertes seulement après une demande d'indemnisation rejetée.

« Lorsque les clients font des demandes d'indemnisation, moins de la moitié est complètement remboursée, ce à cause de petits caractères » - Julian Waits, PivotPoint Risk Analytics

Des entreprises comme PivotPoint Risk Analytics peuvent éduquer leurs clients sur les questions de cyber-assurances, les aider à concevoir un profil de risques pour leur entreprise et ensuite le traduire en quelque chose que les assureurs peuvent utiliser. Prenons par exemple une entreprise qui accepte les cartes de crédit des clients et qui est à la recherche d'une cyber-assurance. Son risque annualisé d'exposition pour les services financiers est de 1,5 million $. Un montant d'environ 500 000 $ est associé à l'extorsion et 1 million $ pour le piratage de données, due en partie aux exigences PCI DSS pour le stockage des dossiers de carte de crédit. L'entreprise peut alors solliciter un courtier d'assurances, connaître le type d'assurances et les limites cybernétiques dont il a besoin, et négocier de manière plus stratégique sur la façon dont il veut que les polices soient conçues.

Obtenir plus de valeur au fil du temps

La valeur d'un profil de cyber-risques sert non seulement à obtenir les cyber-assurances mais aussi dans le contrôle et l'évolution des politiques sur la vie du contrat. A cet égard, Julian Waits compare les cyber-assurances à l'assurance automobile. Si un pilote peut démontrer un bon dossier de conduite, et que son comportement est en amélioration, le conducteur peut utiliser son profil comme un levier pour obtenir un remboursement ou abaisser sa prime d'assurance au fil du temps. Les organisations devraient appliquer le même principe aux cyber-assurances dans la perspective de retour sur investissement (ROI). L'amélioration de leur posture de sécurité tout en réduisant les risques financiers et de réputation devrait les mettre en mesure de négocier une meilleure entente qu'ils et leurs assureurs se connaître les uns les autres.

Article de Kim Lindros, Ed Tittel / IDG News Service (Traduit et adapté par Bertrand Lemaire)

Article rédigé par

IDG News Service,

Partager cet article