Dans la partie 1 de ce court article, nous avons parlé à Matt Middleton-Leal de Qualys, une société spécialisée dans la sécurité du cloud et les cyber-solutions, de ce qui se passe dans le monde cyber-assurance. Ce fut une discussion décourageante, quoique révélatrice. Lloyds of London n’offrira plus de sécurité contre les ransomwares sur les événements « liés à une guerre » à partir de 2023, et de nombreux autres assureurs sont occupés à sculpter la couverture des ransomwares dans les polices de leurs clients de l’industrie technologique avant un renouvellement imminent de la police.
Donc, si nous nous précipitons vraiment vers un monde dans lequel les politiques sont vidées de leurs défenses contre les ransomwares et les primes augmentent cependant, que doivent faire les entreprises pour s’assurer qu’elles peuvent toujours obtenir une cyber-assurance qui vaut l’écran, c’est écrites, à un prix qui ne les casse pas dans le ralentissement économique qui approche ?
MM-L :
Cela dépend où nous sommes. D’un point de vue britannique, nous n’avons pas de norme de préparation universelle à la cybersécurité par rapport à laquelle les entreprises peuvent se déterminer elles-mêmes – ou être déterminées à dire « C’est X pour cent sûr et sécurisé, ce qui se traduit par un taux de remise de Y pour cent sur son nouvelle prime. » Les États-Unis ont FedRAMP Plus, qui est assez strict, et une méthode de conformité différente de celle qui s’applique de ce côté-ci de l’Atlantique. Ainsi, les entreprises américaines doivent travailler sur la norme FedRAMP Plus si elles souhaitent à la fois être aussi cybersécurisées que possible et utiliser cette sécurité démontrable pour réduire leurs primes à un moment où elles augmenteront sans aucun doute.
Au Royaume-Uni, nous travaillons dans beaucoup plus base consultative ici. Nous déclarons « Tu utiliseras l’authentification à deux facteurs d’une manière ou d’une autre, car cela réduira fortement tes primes ! » C’est simplement un conseil – les entreprises n’ont pas à l’écouter. Lorsqu’une compagnie d’assurance entre et dit « Programme-moi, tu es en sécurité », il n’y a pas vraiment de norme à utiliser.
Le cadre de conseil
Cela implique de nombreux les énormes compagnies d’assurance ont en fait mis en place leurs propres cyber-consultants pour effectuer un travail d’évaluation. Je pense que cela va probablement augmenter, car il n’y a pas de bonne réponse pour le moment.
THQ :
Pourquoi ne pas adopter quelque chose comme le système américain ?
MM- L :
Nous avons déjà une énorme pénurie de capacités, donc si nous avions mandaté de le faire selon la méthode américaine, nous ne serions pas capables de le faire physiquement, je ne pense pas qu’il y ait une main-d’œuvre au Royaume-Uni pour le faire sans puis augmenter les dépenses. Les silos augmenteraient, les consultants seraient produits, et cela produirait une prophétie auto-réalisatrice de hausse des prix, et nous ne nous retrouverons finalement pas avec un bien meilleur produit, donc je préférerais que nous découvrions une méthode pour punir potentiellement les conseils d’administration qui ne maximisent pas leur cybersécurité. Les punir économiquement pour ne pas avoir fait les meilleurs investissements financiers. L’époque où l’on coupait le plan budgétaire pour le cyber, ça ne peut plus durer. D’un autre côté, les individus innovants, les RSSI, où ils se trouvent aujourd’hui, ne sont pas non plus durables. Ils doivent adopter une nouvelle méthode. Et je pense que le conseil d’administration doit s’associer à cela et déclarer « Nous allons vous parrainer pour adopter une nouvelle méthode. Cela peut signifier détruire ce que nous avons aujourd’hui. Puisque 20 000 entreprises cette année ont été touchées par des ransomwares, et ils ont fait à peu près la même chose que nous. »
Ouais. Et ça n’a pas marché. Quelle est cette nouvelle méthode que nous devons prendre? Ce ne sera pas pareil pour tout le monde. Il n’y a pas un seul type d’équipement de base, mais c’est un changement de paradigme en termes de sérieux avec lequel ils prennent les choses. Et ils ne peuvent pas le faire par eux-mêmes. C’est le problème. Puisqu’il indiquera une modification.
THQ :
Quel est le problème avec le changement ?
Mature !
MM-L :
Le Le marché de la technologie est un marché assez immature. Si vous regardez quelque chose comme l’ingénierie, par exemple, et que vous regardez les contrôles, il y a tellement plus d’historique, il y a plus de cas et d’exemples à suivre. Ainsi, le marché de la technologie doit mûrir de manière assez drastique.
Chacun créant ses propres éléments, applications et serveurs a produit plus de complexité, et avec plus de complexité viennent plus de lacunes que les attaquants peuvent exploiter. Nous allons avoir besoin d’un peu plus de conformité. Si les entreprises peuvent montrer par exemple qu’elles ont une protection à 100 % de leurs commandes et qu’elles peuvent le montrer en temps réel à leur assureur, je suis sûr que cela les aidera à l’avenir avec leurs primes.
S’ils ne peuvent pas – s’ils organisent un spectacle de fumée et de miroirs, ce qui s’est produit aujourd’hui, cela n’aidera personne.
L’erreur d’extrapolation
THQ :
Existe-t-il un sens ? Des entreprises utilisent la fumée et les miroirs pour réussir simplement un exercice de vérification des cases sur la cybersécurité ?
MM-L :
Les individus ont tendance à extrapoler. En faisant des vérifications GDPR [GDPR est une exigence européenne de conservation des informations à laquelle les entreprises doivent adhérer], nous avions l’habitude de trouver des personnes approuvées comme conformes, et lorsque vous avez demandé à l’expert qui les signait comment il comprenait que les entreprises étaient certifiées , ils diraient « Eh bien, nous avons inspecté 20 % et extrapolé à partir de cela. »
Faire cela avec la cybersécurité ne laisse que 80 % de vos fenêtres ouvertes à l’ennemi.
MM-L :
Oh, des modifications sont en cours actuellement. Qu’il s’agisse d’un changement à l’échelle du secteur, j’en suis moins sûr, mais il y a certainement des délocalisations dans la bonne direction. Le concept de perte de conformité met un pétard sous certaines entreprises, et elles sont surprises de ce qu’elles peuvent faire en quelques mois face à une conséquence comme celle-là. Ils étaient peut-être bien intentionnés depuis des années, mais un effet concret et une date d’échéance modifient le paradigme de la façon dont les gens fonctionnent.
Ce que les entreprises constatent, c’est qu’il existe un petit nombre de vulnérabilités sur la planète, ce qui la plupart des variantes de ransomware sont vraiment utilisées. Il ressemble à 30 vulnérabilités. Mais les cyberattaques s’accélèrent car les entreprises ne prennent pas le temps de gérer ces 30. Elles ne les repèrent pas, elles n’empêchent pas les agresseurs d’utiliser les vulnérabilités, donc les attaques continuent.
Dial Down Votre profil de danger
MML :
À tout le moins, si vous pouvez signaler ces dangers critiques et révéler à votre assureur que vous l’avez fait, vous avez un dossier à défendre faire pour réduire vos primes d’assurance, puisque vous prenez clairement la menace au sérieux.
Cependant, c’est le début de la construction d’une méthode interne de cybersécurité.
- — trouver découvrez quels actifs vous avez.
- Deuxièmement : découvrez où ils se trouvent et ce qu’ils font.
- Troisièmement : il existe environ 30 vulnérabilités courantes utilisées par les attaquants. Repérez-les, fermez les portes, et vous commencez à ressembler à un meilleur danger, une meilleure perspective de couverture d’assurance que le service B en bas du bloc qui n’a en fait rien fait de tout cela.
L’autre aspect de cela est qu’il fournit une bien meilleure clarté sur la propriété des actifs du système à l’entrepreneur réel. Cela signifie que si vous recevez de manière inattendue un rapport indiquant « Ce sont tous les biens impliqués qui fonctionnent, vous appartenez à une entreprise. C’est le profil de danger, c’est le coût pour modifier ce profil. Souhaitez-vous rester où vous êtes ? Ou voulez-vous le réparer ? » Vous obtiendrez une bien meilleure action des propriétaires d’entreprise avec ce type d’informations à votre portée – cela fait partie de cette procédure croissante que j’ai soulignée.
Conceptions d’organisation inflammables
THQ :
Que dites-vous aux entreprises qui constatent l’augmentation des coûts des primes et la réduction de la couverture des ransomwares, et concluent qu’elles n’ont pas besoin de cyber-assurance ?
MM-L :
En fait, je n’ai jamais eu d’incendie dans ma maison.
.
Je ne crois pas qu’un conseil d’administration permettrait aux entreprises, certainement aux entreprises de plus de 500 travailleurs, de se passer de la cyber-assurance. En dehors de toute autre chose, il y a une rubrique qui dit qu’ils doivent être couverts s’ils choisissent des accords et des contrats plus importants – et il est peu probable que d’autres entreprises avec lesquelles ils tentent de faire des offres acceptent d’inclure cette vulnérabilité à leurs systèmes non plus.
THQ :
Que devraient dire les technologues à leurs conseils d’administration pour que cela soit pris au sérieux et pour que la culture d’entreprise se développe rapidement la cybersécurité ?
MM-L :
Il s’agit de savoir quelle est votre position de risque actuelle. Calculez, mettez un chiffre, le chiffre est X. Ce sont les KPI associés à cela. Voici l’investissement requis pour aborder cela au niveau que nous considérons comme acceptable en tant qu’organisation. Quelles sont les vraies conséquences ? Peut-être un cyber-événement désastreux de 10 jours où ils ne peuvent pas échanger. Rendez cet effet clair. Et dans la mesure du possible, n’entrez pas d’une seule main – ayez un allié au sein du conseil d’administration qui peut plaider la cause lorsque vous partez, car les services informatiques peuvent se décoller en faisant des présentations comme celle-ci sans que quelqu’un à l’intérieur ne soit prêt à continuer à parler à ce sujet lorsque le temps alloué au service informatique avec le conseil d’administration est écoulé.
— La cybersécurité n’a jamais été exactement une préoccupation au travail pour l’industrie technologique. Mais parler à Matt a clairement montré qu’il y a une immaturité sur le marché – une absence de compréhension de ce qui reste dans les silos d’informations d’une entreprise, et un manque d’attention aux vulnérabilités courantes et simples et à la puissance des correctifs, qui nécessiteront de être traités à mesure que le marché de la cyberassurance se resserre, se préparant à utiliser moins pour plus. Pour tirer le meilleur parti des économies sontoffertes dans la cyber-assurance à l’avenir, les services technologiques devront renforcer leur attitude face aux cyberattaques et investir pour améliorer leur plate-forme générale de résistance aux menaces.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
