Assurance cybersécurité – Qu’est-ce que c’est et pourquoi en ai-je besoin?

La cybercriminalité coûte aux entreprises mondiales 450 milliards de dollars par an, selon une étude récente de Hiscox Insurance basée sur des données de 2016. Cependant, de nombreuses entreprises n'ont pas encore réalisé la gravité de cette menace.

Dans ce guide d'assurance cybersécurité, je vais vous expliquer ce que c'est, pourquoi vous en avez besoin et d'autres conseils utiles que vous pouvez utiliser pour vous protéger et protéger votre entreprise.

Qu'est-ce que la cybersécurité?

La cybersécurité est une protection contre l'utilisation criminelle ou non autorisée des données, et les mesures prises pour y parvenir.

En outre, la cybersécurité englobe les techniques contre la sécurité de l'ensemble du réseau informatique; ce sont des logiciels et des données des dommages susmentionnés et des accès non autorisés.

Le coût de la cybercriminalité

Comme mentionné, la cybercriminalité coûte aux entreprises mondiales 450 milliards de dollars par an. Ce chiffre est si important qu'il peut sembler au-delà de la compréhension de la plupart des gens. Pour rendre l'ampleur du problème plus facile à comprendre, il est peut-être plus facile de considérer l'impact d'une des nombreuses cyberattaques récentes de haut niveau - celle qui a frappé l'agence de référence de crédit Equifax aux États-Unis..

Cette violation de la sécurité a conduit 143 millions d'Américains à exposer leurs données personnelles à des pirates. Informations personnelles qui comprenaient leurs dates de naissance, adresses personnelles et numéros de sécurité sociale. Plus de 200 000 consommateurs touchés par la violation ont également vu leur numéro de carte de crédit dévoilé.

À lui seul, le nombre de citoyens américains touchés par cette violation est devenu très proche de la moitié de la population américaine. En outre, il ne s’agit pas de la première cyberattaque de cette ampleur et il est très peu probable que ce soit la dernière.

On a parfois l'impression que les gens deviennent insensibles à de tels événements de sécurité informatique. La couverture médiatique après l'attentat d'Equifax a laissé entendre que malgré les inquiétudes concernant l'impact de la cyberattaque, moins d'une personne sur cinq a fait quoi que ce soit pour renforcer la sécurité de ses informations personnelles. Cependant, nous pouvons être sûrs que dès que les personnes concernées se retrouvent victimes d'usurpation d'identité ou de perte financière en conséquence, elles chercheront immédiatement à obtenir un recours.

C’est pourquoi, dans un monde où la cybercriminalité est en plein essor (rappelons-nous encore une fois ce chiffre de 450 milliards de dollars), l’assurance cybersécurité gagne également en popularité auprès des entreprises de toutes tailles. À juste titre, ils cherchent à se protéger des pertes financières et des problèmes juridiques s'ils deviennent le prochain Equifax.

La croissance de l'assurance de cybersécurité

L'assurance de la cybersécurité est un produit d'assurance qui a été historiquement lent à sortir des blocs de départ, principalement en raison de la difficulté d'éliminer les risques associés et de la nature en constante évolution des menaces pesant sur les systèmes informatiques des entreprises. L'entrée de Wikipedia pour la cyber-assurance fait référence au marché de cette assurance qui croît beaucoup plus lentement que prévu il y a une dizaine d'années.

Le chiffre d'affaires premium a bondi 35% entre 2015 et 2016

Malgré cela, les rapports montrent que plus de 130 compagnies d'assurance ont ajouté la cyberassurance à leurs gammes de produits l'année dernière. C’est de plus en plus un type de couverture que les entreprises de toutes tailles doivent prendre en compte, pour les protéger si et quand, malgré tous leurs efforts, elles sont la prochaine victime de l’armée mondiale croissante de hackers et de cybercriminels.

Vous vous demandez peut-être, à ce stade, si Equifax avait une assurance de cybersécurité. Peu de temps après la violation, un représentant de l'entreprise a déclaré que «Equifax propose des services de cybersécurité, de criminalité, de responsabilité civile générale et d'autres assurances. malheureusement insuffisant pour les protéger du plein impact financier de leur violation de la sécurité informatique. Les recours collectifs continueront probablement de se poursuivre dans les années à venir.

Ai-je besoin d'une assurance de cybersécurité?

La réponse «TL; DR» pour savoir si vous avez besoin d'une assurance Cybersécurité est probablement un «oui» retentissant si vous gérez n'importe quel type d'entreprise connectée et souhaitez dormir plus profondément la nuit..

L'assureur britannique, Hiscox, fournit une liste de raisons pour lesquelles une entreprise peut vouloir une assurance de cybersécurité, et ils comprennent «être tributaire des systèmes informatiques pour mener vos affaires» et «avoir un site Web». De nos jours, cela ne laisse pas place pour de nombreuses exceptions!

Alors que ce sont les événements de cybercriminalité à grande échelle tels que le piratage d'Equifax qui ont fait la une des journaux, et des événements similaires sur Yahoo! et le National Health Service du Royaume-Uni, ce ne sont certainement pas seulement les grandes organisations qui font face à des attaques de pirates informatiques et doivent faire face aux conséquences. Il s'agit d'une conséquence qui peut souvent inclure un impact financier, des dommages à la réputation et une opération de nettoyage qui perturbe énormément les activités quotidiennes..

Considérez ceci: 60% de toutes les petites entreprises sont piratées chaque année. Non seulement cela, ces petites entreprises n'ont pas tendance à avoir les ressources que leurs homologues plus grandes ont pour les aider à se remettre d'un incident de cybercriminalité. Ces ressources peuvent inclure n'importe quoi, d'une équipe informatique bien équipée pour éponger les dégâts, au tampon financier nécessaire pour traverser la crise. Ainsi, on pourrait soutenir que les petites entreprises ont besoin d'une assurance de cybersécurité autant, sinon plus, que les grandes entreprises.

Bien qu'ils ne puissent pas faire la une des journaux nationaux, il ne manque pas d'exemples en ligne de cas où les petites entreprises ont été ciblées avec succès par des cybercriminels. Il s'agit notamment d'incidents où des PME ont trouvé leurs comptes bancaires vidés de sommes allant d'environ 20 000 $ à plus d'un million de dollars. Selon la taille de l'entreprise, l'une ou l'autre des sommes pourrait suffire à mettre l'entreprise en faillite.

Une statistique de cybercriminalité souvent mentionnée est que 60% des petites entreprises qui sont victimes d'une cyberattaque ne s'en remettent jamais et sont en faillite dans les six mois. Bien que les degrés de gravité des attaques varient naturellement, il est juste de dire que les entreprises de toutes tailles devraient prendre les cybermenaces au sérieux et souscrire une assurance pour se protéger.

Mon entreprise est-elle admissible?

Une recherche rapide de Google sur la cyber-assurance propose de nombreuses options, dont de nombreuses destinées aux petites entreprises. Dans de nombreux cas, ces politiques sont peu coûteuses, n'atteignant même pas une somme à trois chiffres pour chaque paiement de prime mensuel. Il faut se demander exactement quel niveau de couverture cela va réellement obtenir, donc la lecture des petits caractères est évidemment fondamentale.

Comme pour de nombreux types d'assurance, il est logique de parler à un courtier qui comprend vraiment votre entreprise. Bien que le type de polices «à taille unique» avec des primes peu élevées qui apparaissent sur une recherche Google typique puisse vous permettre de cocher une case indiquant que vous avez une assurance de cybersécurité, avoir la pleine confiance qu'elle protégera réellement votre entreprise est une tout autre affaire..

Si vous y réfléchissez, il devient rapidement clair pourquoi il est essentiel d'opter pour une police souscrite de manière adéquate si vous décidez de souscrire une cyberassurance. Si vous trouvez un fournisseur en ligne qui est heureux d'offrir la même police d'assurance cybernétique générique à des entreprises ayant des modèles commerciaux très différents, il y a de fortes chances que vous ne recherchiez pas une excellente police. Une entreprise avec un ordinateur qui ne stocke pas beaucoup de données personnelles est clairement beaucoup moins à risque qu'une entreprise qui vend en ligne et traite et stocke les détails de carte de crédit. L'impact d'une attaque serait également très différent.

Donc, il s'agit peut-être moins de savoir si votre entreprise est admissible à la cyber-assurance, et plus de trouver une assurance qui vaut réellement le papier sur lequel elle est écrite. Vous n'aurez aucun mal à trouver une entreprise pour vous vendre de la cyber-assurance, mais vous pourriez avoir plus de difficulté à en trouver une qui vous remboursera de manière fiable en cas de sinistre. Bien sûr, cela vaut pour tous les types d'assurance

S'assurer que votre police est valide

Comme pour toutes les polices d'assurance, vous devrez généralement vous conformer à une série de conditions générales pour garantir que votre assurance reste valide..

Une analogie appropriée (quoique légèrement inhabituelle) concerne ici l'assurance pour les vélos. Les polices de protection contre le vol de vélos sont faciles à obtenir, mais leurs petits caractères révèlent souvent une multitude d'obligations que le preneur d'assurance doit respecter pour être protégé. Cela comprend généralement l'utilisation d'un verrou de cycle standard et s'assurer que le vélo est attaché à un objet inamovible, même lorsqu'il est rangé à la maison.

C'est souvent le cas avec l'assurance que le respect des obligations d'une police s'avère aussi coûteux et long que l'achat de la police elle-même, et ce n'est pas différent avec l'assurance de cybersécurité. Une étude récente sur le marché de l'assurance de cybersécurité en Suède a montré que de nombreux assureurs «imposent des exigences en matière de sécurité informatique et informatique à leurs clients».

Il est donc inutile d'acheter l'assurance et de ne pas lire les petits caractères - ce qui est vrai pour tout type d'assurance. Si vous ne remplissez pas vos obligations, l'assurance peut devenir invalide.

Quand vaut l'assurance de la cybersécurité?

Comme pour toute assurance d'entreprise, une règle générale raisonnable à suivre est que si l'assurance de cybersécurité est abordable et protège contre les risques financiers importants, il vaut la peine.

Cependant, il est raisonnable de mentionner que certaines entreprises en ont probablement plus besoin que d’autres. Si vous stockez et traitez les détails financiers des clients, il est sans doute très stupide de ne pas s’assurer contre les cyberrisques. Les entreprises avec une petite présence en ligne et sans exposition financière peuvent souhaiter adopter une approche plus détendue. Cependant, même le plus petit des comptes bancaires d'entreprise pourrait devenir la cible d'un pirate informatique. En outre, les primes des entreprises à risque moins perçu devraient, du moins en théorie, être considérablement plus faibles.

Il y a aussi un aspect politique potentiel à considérer. Si votre entreprise évolue dans le genre de cercles que les pirates et les cybercriminels n'aiment pas - tels que tout ce qui est considéré comme trop proche de «l'établissement» ou tout ce qui pourrait être lié à la restriction de la liberté, les pirates pourraient établir une ligne de conduite spécifique pour vous - c'est donc quelque chose garder toujours à l'esprit.

Une statistique récente intéressante à relever à ce stade est que seulement 10% des PME britanniques ont souscrit une cyberassurance au moment de la rédaction du présent rapport. Cependant, les prévisions de croissance pour cette industrie suggèrent que la marée tourne et que de plus en plus de gens en prennent conscience..

La couverture incluse avec une police d'assurance cyber typique peut souvent sembler très impressionnante. Il comprend généralement des éléments tels que:

  • Paiement d'une rançon en cas d'attaque de ransomware.
  • Couverture pour interruption d'activité.
  • Couverture des frais juridiques liés à toute violation.
  • Perte de protection du revenu pendant que votre entreprise répare les dommages.
  • Couverture des amendes infligées par les régulateurs pour les violations de données.
  • Coûts d'analyse judiciaire.
  • Frais de surveillance du crédit. (Equifax a financé la surveillance de crédit gratuite pour tous les clients concernés après leur violation en 2017).

Si impressionnant que cela puisse paraître, la nature de la cyberassurance signifie que tout cela ne se met pas en vigueur automatiquement dès qu'un type de violation se produit. Habituellement, en cas de sinistre, votre compagnie d'assurance travaillera avec vous pour évaluer les dommages et vous aider à «gérer la crise».

En règle générale, les polices ont également des paiements excédentaires en place. Ainsi, par exemple, il pourrait s'avérer plus rentable de payer une demande de ransomware de 350 $ que l'excédent de la politique de 2000 $ pour une réclamation. Donc, il vaut la peine de garder à l'esprit le fait que la cyber-assurance est vraiment là pour vous protéger si quelque chose tourne mal, malgré que vous preniez les bonnes précautions et que vous fassiez tout bien. Il n’est pas là pour vous sauver de chaque minuscule petit incident lié à la sécurité informatique. Cependant, cela ne signifie pas que ce n'est pas quelque chose qui vaut la peine d'être mis en place.

Si vous dirigez une entreprise, vous devrez faire votre propre analyse des coûts par rapport aux avantages à ce sujet, et lire tous les petits caractères de toute politique qui vous tente..

Vérification de votre assurance existante

Avant d'engager des dépenses régulières pour une autre police d'assurance, il vaut la peine de regarder quelles assurances vous avez déjà en place.

De nombreuses petites entreprises achètent des forfaits d'assurance entreprise «tout en un», couvrant souvent diverses responsabilités et indemnités. Parfois, celles-ci peuvent inclure des assurances informatiques, telles que des assurances pour aider à se remettre des attaques de virus.

Il est peu probable qu'une telle police d'assurance «packagée» inclue une cyberassurance complète, mais cela vaut quand même la peine de vérifier ce pour quoi vous êtes déjà couvert. Vous pouvez décider que vous disposez déjà d'une couverture adéquate pour votre situation personnelle et votre attitude face au risque. Vous pouvez également réduire le coût d'un produit d'assurance cybersécurité si vous êtes déjà couvert pour certaines situations potentielles.

La vérification des contrats d'assurance prend du temps, et il peut parfois s'avérer difficile de trouver un courtier qui n'est pas uniquement après sa commission. Cependant, le temps passé à faire les bonnes recherches et à s'assurer que votre police est correctement souscrite est meilleur et moins stressant que le temps passé à courir après une réclamation qui pourrait ne pas être payée en cas de catastrophe..

Autres moyens de rendre votre entreprise «cyber sécurisée»

Bien sûr, il ne s'agit jamais de simplement acheter une assurance cybersécurité appropriée, puis de se détendre et de se détendre. Il est également essentiel de minimiser les risques de devenir victime de cyberattaques et d'atteintes à la sécurité de l'information en premier lieu.

Il existe une série d'étapes techniques que toutes les entreprises sensées devraient prendre pour protéger leurs systèmes. Comme mentionné précédemment, certains d'entre eux peuvent être obligatoires pour que votre police d'assurance cyber conserve sa validité. Nous allons passer à ces précautions sous peu. Mais d'abord, parlons de la première chose sur laquelle les entreprises devraient se concentrer pour réduire leurs risques d'être victimes d'une cyberattaque:

Éducation des utilisateurs

Le plus gros point d'échec en matière de cybersécurité n'est pas un logiciel antivirus obsolète, un pare-feu mal configuré ou un service informatique inefficace. Les erreurs commises par les employés utilisant les systèmes informatiques sont la principale raison pour laquelle les entreprises sont victimes de pirates.

Un rapport récent indique que plus de 90% «de toutes les cyberattaques sont exécutées avec succès avec des informations volées à des employés qui donnent involontairement (…) des informations d'identification à des pirates».

Il s'agit d'un chiffre stupéfiant qui vous fait regarder deux fois pour confirmer qu'il est correct. Malheureusement, ça l'est. Ce que cela ne signifie clairement pas, c'est que les employés distribuent volontiers leurs noms d'utilisateur et mots de passe. Au lieu de cela, les pirates utilisent des techniques d'ingénierie sociale et des attaques de phishing pour inciter les gens à leur transmettre ces informations sans le savoir..

Les techniques de phishing peuvent aller du brut à l'ingénieux. Parfois, il suffit d'un e-mail convaincant qui semble provenir du service informatique pour convaincre un membre du personnel de remettre ses informations de connexion. Un seul nom d'utilisateur et mot de passe est souvent tout ce dont un pirate a besoin pour accéder à distance à un réseau, et à partir de là, il peut exploiter d'autres vulnérabilités et utiliser d'autres techniques de piratage pour creuser de plus en plus - une technique souvent appelée «spear phishing».

Le phishing est parfois beaucoup plus sophistiqué, impliquant des e-mails qui convainquent les utilisateurs que leurs comptes bancaires ou PayPal ont été compromis. Ces e-mails conduisent ensuite à des pages de connexion d'aspect plausible qui ressemblent à l'article authentique. Tout ce que l'utilisateur doit faire, c'est essayer de se connecter et ils ont immédiatement remis leur adresse e-mail et leur mot de passe.

Quiconque a besoin de convaincre de l'omniprésence de ces e-mails de phishing n'a qu'à regarder dans le dossier de courrier indésirable d'un compte de messagerie bien établi. Ces messages sont envoyés avec une régularité alarmante.

Le phishing continue d'être une «arme de choix» pour les pirates pour le simple fait qu'il fonctionne. Que ce soit sous la forme d'un appel téléphonique, d'un e-mail ou d'une page de connexion convaincante au site Web, tous les pirates informatiques doivent constamment affiner leurs méthodes et les rendre suffisamment crédibles pour tromper les gens..

L'intérêt de cette explication est de souligner le rôle essentiel de la formation des utilisateurs pour assurer la sécurité des systèmes informatiques. Malheureusement, les preuves semblent suggérer que de nombreuses personnes ignorent volontairement de tels conseils. Pas plus tard qu'en janvier 2017, il a été révélé que plus de 50% des personnes utilisaient des mots de passe faciles à deviner tels que «123456» - et il semble donc probable que de nombreuses personnes ferment aussi leurs oreilles aux conseils sur l'utilisation de mots de passe uniques pour différents comptes.

Tout cela rend la vie beaucoup plus facile que nécessaire pour les pirates.

La réponse à la formation des utilisateurs sur la cybersécurité est d'en faire quelque chose qui n'est pas facultatif. Au lieu de simplement insister sur des mots de passe complexes, imposez-en l'utilisation également, en configurant les systèmes pour les exiger. Au besoin, utilisez une procédure disciplinaire lorsque les employés refusent de prendre leur rôle au sérieux.

Il est également essentiel de former le personnel à la manière dont les pirates vont essayer de les déjouer. Montrez-leur des exemples de fausses pages de connexion PayPal et d'e-mails de phishing (ils ne sont pas difficiles à trouver.) Dites-leur les statistiques à ce sujet. Plus important encore, assurez-vous que tout le monde est conscient qu'il n'est pas possible pour le service informatique de rendre les systèmes de l'entreprise "à l'épreuve des balles" simplement en installant le bon logiciel.

Beaucoup trop d'utilisateurs non techniques pensent que c'est aux logiciels antivirus et aux pare-feu de les protéger des réalités de la cybersécurité. Dans une certaine mesure, cela est vrai, mais ces produits ne peuvent pas protéger les gens contre eux-mêmes. Il est absolument essentiel que toute personne utilisant les systèmes de votre entreprise le comprenne - d'où la longueur de cette section.

Mesures techniques

Lorsqu'il s'agit de protéger vos services informatiques d'un point de vue technique, de nombreuses étapes sont évidentes mais méritent d'être soulignées. Le logiciel antivirus est bien sûr un incontournable. Et avec une incidence de 230% des logiciels malveillants sur la plate-forme Mac d'Apple en 2017, il devient désormais difficile d'affirmer que les Mac n'ont pas autant besoin d'antivirus que les plates-formes Microsoft Windows..

Les logiciels antivirus ne sont pas tous égaux, il vaut donc la peine de les rechercher en détail pour choisir le bon produit. Ce n'est pas non plus quelque chose à «régler et à oublier». Pour une protection efficace, les logiciels antivirus doivent toujours être tenus à jour, avec des analyses complètes du système configurées pour s'exécuter régulièrement. Selon la culture de votre entreprise, cela pourrait être la responsabilité des utilisateurs individuels ou de votre service informatique. Peu importe qui, tant que quelqu'un le fait.

Les bons produits antivirus et Internet Security incluent souvent un certain niveau de protection contre les e-mails de phishing et les sites Web malhonnêtes. Bien qu'il s'agisse évidemment de fonctionnalités utiles, elles doivent être traitées comme un complément à la formation des utilisateurs et non comme une alternative..

Les pare-feu se présentent sous diverses formes; Certains sont des périphériques matériels qui protègent les réseaux de bureaux ou les centres de données, d'autres sont des logiciels ou des produits basés sur le cloud qui peuvent protéger des machines individuelles ou des applications Web. Il n’existe pas de règle stricte et rapide qui dicte le type de protection par pare-feu dont vous avez besoin, mais un ou plusieurs de ces produits constituent généralement un élément du puzzle de sécurité Internet de votre entreprise..

L'authentification à deux facteurs est décrite ici et est un excellent moyen d'ajouter un niveau de sécurité à tout ce qui nécessite un identifiant et un mot de passe. En ajoutant une deuxième exigence de connexion, comme un code unique envoyé par SMS au téléphone d'un utilisateur, 2FA rend la vie beaucoup plus difficile pour les pirates opportunistes. Il existe des moyens d'ajouter une telle authentification à n'importe quoi, des réseaux de domaine Windows aux sites Web individuels. L'implémentation de l'authentification à deux facteurs est souvent un moyen relativement peu coûteux d'ajouter un niveau de sécurité supplémentaire substantiel aux systèmes critiques.

Les VPN (Virtual Private Networks) sont un excellent moyen de renforcer la confidentialité en ligne et peuvent protéger les données de l'entreprise lorsque les travailleurs sont loin de votre bureau central. Par exemple, insister pour que le personnel utilise des VPN pour les réseaux Wi-Fi publics est une excellente mesure à prendre pour les empêcher de divulguer par inadvertance d'importants détails de connexion d'entreprise. Notre guide VPN pour débutants est un guide utile et détaillé pour une lecture plus approfondie.

Le chiffrement des données est quelque chose que les entreprises pensent souvent peu et qui peut immédiatement améliorer la sécurité des données de l'entreprise. Si un membre du personnel laisse un ordinateur portable non chiffré dans les transports en commun, c'est un jeu d'enfant d'accéder aux données qu'il contient, même s'il y a un mot de passe en place. Il suffit de retirer le disque dur et de le connecter à une autre machine.

Le chiffrement complet du disque est facile à mettre en œuvre (et particulièrement facile sur un Apple Mac, avec une seule case à cocher), et vaut donc la peine d'envisager de combler cette faille de sécurité.

Les mises à jour logicielles sont un autre détail essentiel qui est souvent ignoré, les gens étant souvent beaucoup trop contents pour appuyer sur le bouton «me rappeler plus tard» pendant des semaines. Cependant, dans de nombreux cas, ces mises à jour sont publiées en réponse spécifique à des failles de sécurité dans les systèmes d'exploitation ou les logiciels.

Un exemple très médiatisé de l'importance des mises à jour logicielles a été lorsqu'il a été révélé qu'une grande partie de l'impact de la cyberattaque qui faisait la une des journaux sur le National Health Service du Royaume-Uni aurait pu être évitée si le personnel informatique avait installé un correctif mis à disposition. semaines avant. Plus récemment, Apple a lui-même causé de graves dommages à la réputation avec un bogue qui a rendu incroyablement facile le piratage de n'importe quel Mac avec le système d'exploitation le plus récent. Le correctif n'est pas quelque chose que n'importe quel utilisateur voudrait retarder l'installation.

Le SSL pour le site Web de votre entreprise devient de plus en plus un incontournable, en particulier avec Google maintenant les sites non SSL comme «non sécurisés». Le HTTPS est expliqué ici. La mise à niveau d'un site Web non sécurisé vers HTTP est peu coûteuse (voire gratuite). Il y a quelques précautions à prendre, mais c'est quelque chose que tout le monde devrait faire.

Parcourez à nouveau la liste ci-dessus et voyez combien de choses vous pensez que votre entreprise est vraiment «au-dessus». S'il y a des lacunes, chacune de celles que vous traitez rendra vos systèmes plus sûrs. Il convient également de souligner que le fait de cocher une partie ou la totalité de ces cases peut être une condition préalable pour garantir la validité de toute couverture de cyberassurance. Vous devrez vérifier vos propres documents d’assurance pour le savoir.

Dangers en ligne

Nous avons déjà évoqué certains des cyber-dangers auxquels sont confrontées les entreprises de toutes tailles. Ce sont les dangers contre lesquels l'assurance Cybersécurité vise à se protéger. Dans cette section, nous examinons certains des dangers les plus importants plus en détail.

Hameçonnage

Comme indiqué ci-dessus, le phishing est un risque énorme pour les entreprises. En outre, un «incident» de phishing initial par lequel un pirate parvient à s'emparer ou un nom d'utilisateur et un mot de passe, ou d'autres informations qui facilitent une «entrée» dans les systèmes de l'entreprise, peuvent marquer le début d'une attaque qui pourrait également impliquer d'autres techniques de cybercriminalité. . Par exemple, un pirate pourrait utiliser le phishing pour trouver un mot de passe, puis lancer une attaque de rançongiciel une fois l'accès au système obtenu.

La mesure dans laquelle le phishing est couvert par une police d'assurance cybernétique peut pour le moins varier. Un compte en ligne assez effrayant d'une réclamation connexe peut être trouvé ici. Dans cet exemple, la compagnie d'assurance a refusé de payer parce que «la police ne couvrait pas la fraude du PDG ou la compromission des courriels commerciaux».

Cela nous ramène à la section sur la formation des utilisateurs ci-dessus. Si un membre du personnel est amené à remettre un pirate informatique directement dans les systèmes de l'entreprise, les réclamations sur une police d'assurance cybernétique pourraient s'avérer problématiques. Le seul conseil que nous pouvons vraiment fournir ici est de demander ce qui se passerait dans un tel scénario (et de l'obtenir par écrit) avant de souscrire une politique - et non pas quand le pire se produit.

Ransomware

Tout le monde a entendu parler de ransomware ces jours-ci. Il s'agissait d'un ransomware au centre d'un énorme hack mondial qui a perturbé de nombreuses sociétés de premier ordre au début de 2017, ainsi que le National Health Service du Royaume-Uni..

Les gens ont allumé leur ordinateur pour constater qu'ils n'avaient pas accès à leurs applications et fichiers; Au lieu de cela, ils ont été confrontés à un écran leur demandant de remettre une «rançon» pour accéder à leurs fichiers de données désormais cryptés. La rançon spécifique à cette occasion variait entre 300 et 600 dollars de la crypto-monnaie, Bitcoin. Finalement, les pirates auraient réussi à retirer plus de 130 000 $ en Bitcoin à la suite.

Les attaques de ransomwares ont une particularité spécifique: elles ne doivent causer aucun dommage au-delà de la perturbation tant que vous avez une sauvegarde. Les systèmes peuvent être réinstallés, et tant qu'il y a une sauvegarde des données, il n'est pas nécessaire de payer une rançon.

Les problèmes de ransomware peuvent également toucher des entreprises de toutes tailles - souvent parce que grâce à une attaque de phishing, un membre du personnel sans méfiance est amené à installer quelque chose qu'il ne devrait pas. Les ransomwares peuvent, par conséquent, être autant de problèmes pour une grande entreprise, où ils peuvent voler autour d'un réseau local infectant de manière croisée plusieurs machines, que pour un pigiste sans sauvegarde qui perd l'accès à tous leurs documents clients..

Les polices d'assurance cybernétique comprennent généralement des dispositions pour les rançongiciels, qui peuvent s'étendre au paiement d'une rançon aux pirates. Cependant, la protection la plus efficace contre les rançongiciels se présente sous la forme d'un régime de sauvegarde solide comme le roc. Si vous êtes en mesure de restaurer vos données, les pirates ne peuvent que vous gêner.

Les ransomwares ne vont nulle part. De nombreuses études montrent que le taux d'infection par les ransomwares poursuit une augmentation stratosphérique, dont une qui indique qu'une entreprise quelque part est nouvellement infectée par des ransomwares toutes les 40 secondes.

Violation des données

Alors que parfois les cyberattaques peuvent «simplement» vous bloquer sur vos données ou compromettre votre sécurité numérique, les choses deviennent vraiment graves lorsqu'elles entraînent une violation des données client. Si vous devez admettre à vos clients que vous avez manqué à votre devoir de protéger leurs informations personnelles, les atteintes à la réputation sont pratiquement garanties. En outre, il existe des ramifications juridiques potentielles, ainsi que la forte possibilité que cet abus de confiance vous fasse perdre des affaires.

De nombreuses cyberattaques très médiatisées qui ont fait la une des journaux impliquent une perte de données clients. La violation d'Equifax à laquelle nous nous référons ci-dessus est la plus récente au moment de la rédaction, mais il y a eu beaucoup plus d'incidents ces dernières années.

En 2013, Yahoo! a été victime d'une violation de données. Tous les détails ont mis des années à émerger, mais il est finalement devenu clair que l'ampleur de la violation était énorme, avec trois milliards de comptes d'utilisateurs affectés. Parmi les autres énormes violations de données, citons un piratage en 2011 sur le PlayStation Network de Sony, qui, pour certains clients, comprenait la divulgation des détails de leur carte de crédit. Puis, en 2016, il y a eu une violation des informations client pour 57 millions d'utilisateurs d'Uber. Uber a fait beaucoup pour aggraver leurs dommages à la réputation en couvrant le hack pendant une période prolongée.

Les polices d'assurance cybernétique incluent généralement une couverture pour exactement ce type d'événement, y compris une aide à la «maîtrise des crises», qui peut inclure une assistance avec les relations publiques et la gestion de la relation client. Lorsqu'un système est violé et que les détails des clients sont révélés aux pirates, il y a des implications de grande envergure, y compris la perspective de problèmes juridiques avec les régulateurs gouvernementaux. Avec ce type d'incident, la cyberassurance peut s'avérer aussi précieuse pour le soutien expert auquel une compagnie d'assurance peut faire appel que pour le filet de sécurité financière..

Et ce filet de sécurité est également important; Comme discuté précédemment, les conséquences du piratage d'Equifax ne font que commencer, et il existe déjà des recours collectifs. Selon les dommages causés, l'impact financier peut être énorme dans ces situations.

Interruption de travail

L'interruption des activités va souvent de pair avec un ou plusieurs des autres impacts possibles d'une cyberattaque. Par exemple, une entreprise qui passe son temps à pacifier les clients qui se sont fait voler ses données personnelles ou à restaurer des sauvegardes après une attaque de rançongiciel, a peu de chances d'avoir le temps et les ressources nécessaires pour se concentrer sur le fonctionnement quotidien de la affaires correctement et faire de l'argent.

Pour les petites entreprises aux ressources humaines limitées, c'est cette interruption qui peut ruiner une entreprise. Les clients peuvent disparaître du jour au lendemain si vous ne pouvez pas les servir. En tant que tel, une fin soudaine et inattendue du flux du «robinet d'argent» peut s'avérer désastreuse.

Un courtier pour la couverture d'assurance des entreprises en Australie a publié une foule d'exemples en ligne de cas où les compagnies d'assurance ont payé pour une interruption d'activité et une perte de revenus - impliquant souvent des sommes à six et sept chiffres. L'interruption d'activité peut s'avérer être l'un des impacts les plus importants d'une cyberattaque. Il n'est donc pas surprenant que la plupart des polices de cyberassurance incluent des dispositions pour cela. Si vous ne pouvez pas gagner de revenus, la bonne politique peut remplacer cette perte de revenu pendant que la crise est résolue.

Les principaux types d'assurance de cybersécurité

Tout comme les polices d'assurance automobile ont souvent des dispositions différentes pour tout, de la responsabilité civile à la protection juridique, en passant par des détails plus petits tels que la protection contre les pertes de clés et la couverture en cas de panne, les polices d'assurance cybernétique ont de nombreux composants.

Dans certains cas, diverses protections sont disponibles en tant que produits d'assurance distincts ou en tant que compléments à un produit central. Si vous êtes responsable de l'approvisionnement en cyber-assurance pour une grande entreprise, vous constaterez peut-être que vous avez besoin de plusieurs polices pour couvrir tous les risques. Les petites entreprises peuvent constater qu'une police d'assurance de cybersécurité «tout en un» couvre toutes les bases requises. Comme c'est toujours le cas, la lecture de tous les petits caractères est primordiale.

Pour vous aider à comprendre certaines des parties typiques d'une police de cyberassurance, voici quelques-unes des sections que vous verrez généralement dans ces produits. Comme mentionné, il peut arriver que vous ayez besoin de plusieurs polices pour couvrir tous les risques dont vous avez besoin.

Contentieux et couverture réglementaire

Ce type de couverture concerne les ramifications juridiques de la récupération après une cyberattaque. Il peut s'agir des frais de défense d'une ou plusieurs affaires judiciaires ou du paiement d'une amende à un régulateur gouvernemental en cas de violation de données.

La couverture «réponse réglementaire» pourrait en faire partie, ou peut-être offerte séparément. Cela couvre les coûts supplémentaires par rapport aux responsabilités réglementaires de votre entreprise. Par exemple, vous devrez peut-être entreprendre une enquête médico-légale pour découvrir les détails de la façon dont une cyberattaque a eu lieu. La «protection de la vie privée» est également liée à cela, s'il devient nécessaire d'indemniser les clients pour la perte de leurs données.

Gestion de crise / Confinement

Comme indiqué dans la section «violations de données» ci-dessus, la maîtrise des crises implique généralement que la compagnie d'assurance joue un rôle actif pour se remettre des conséquences d'une cyberattaque. Cela peut inclure la gestion des interactions de votre entreprise avec des clients mécontents ou la presse et l'établissement d'une stratégie de communication.

Ce type de couverture peut offrir des avantages au-delà des aspects financiers, car les petites entreprises ont peu de chances d'avoir une équipe de communication interne ayant l'expérience de faire face à de tels événements.

Couverture des frais de violation / dommages

Réparer les dommages causés par les pirates peut souvent coûter cher. Les systèmes peuvent devoir être réparés ou remplacés, ce qui entraîne des dépenses imprévues contre lesquelles vous voudrez vous assurer..

Le coût de récupération d'un incident pourrait également inclure la mise à disposition de certains services aux clients concernés. Revenant, encore une fois, à la violation à grande échelle d'Equifax, la société a dû mettre des services de surveillance du crédit à la disposition des clients concernés. Ceci est assez standard dans les situations où les détails personnels (notamment financiers) ont été compromis.

Couverture d'extorsion

Personne n'aime penser que parfois les hackers s'en tirent avec leurs crimes au point de se faire payer la rançon désirée! Cependant, les rapports suggèrent que même le FBI recommande parfois le paiement d'une rançon dans certains scénarios de piratage.

Une couverture d'extorsion est là pour financer le paiement d'une telle rançon si la situation l'exige, c'est la meilleure solution.

Responsabilité multimédia

Bien que la couverture de responsabilité multimédia ne soit pas vraiment liée à des scénarios de piratage, elle est souvent incluse ou proposée en tant que «complément» aux polices de cyberassurance..

Ce type de couverture protège votre entreprise dans les situations où quelqu'un viole accidentellement le droit d'auteur, par exemple en utilisant par erreur une image protégée par le droit d'auteur en ligne.

Comment obtenir une cyber-assurance?

Trouver le bon produit d'assurance cybersécurité peut être un processus complexe. Ce n'est pas non plus à prendre à la légère, car avoir une assurance qui ne paie pas n'est pas mieux que de ne pas avoir d'assurance du tout.

Avant d'examiner certaines options, il est important de souligner que les polices d'assurance et les lois connexes peuvent varier considérablement d'un pays à l'autre. En recherchant cet article, nous avons principalement examiné les marchés de l'assurance aux États-Unis et aux États-Unis, qui présentent de nombreuses similitudes, mais de nombreux pays ont leurs particularités individuelles..

Alors qu'une recherche Google sur la «cyberassurance» donnera de nombreux résultats instantanés et la proposition tentante de «couverture instantanée», il est rarement sage de simplement «trouver et acheter». Comme pour toutes les assurances, il est essentiel de s'assurer que la compagnie d'assurance comprend parfaitement votre entreprise et cite en conséquence. Idéalement, vous devriez viser une police entièrement souscrite par un assureur qui comprend votre entreprise, ce qu'elle fait et quels sont vos cyber-risques probables. Pour ceux qui ne savourent pas la perspective de passer du temps au téléphone à répondre à des questions, c'est peut-être une mauvaise nouvelle, mais aussi une réalité inévitable.

Un détail particulier à garantir est clair: celui des pays dans lesquels vous travaillez. Par exemple, une police d'un assureur britannique peut ne couvrir que le travail effectué au Royaume-Uni, ou peut-être en Europe. Si vous faites également des affaires plus internationales, vous devez être certain que l'assureur est au courant. Malheureusement, ce détail fait souvent monter le prix!

Un courtier d'assurance de confiance peut s'avérer utile ici, tant que l'accent est mis sur la «confiance»! Certains courtiers ne sont guère plus que des vendeurs qui poussent leurs clients vers les polices qui leur rapportent le plus de commissions. De plus, la cyberassurance est un produit relativement nouveau sur le marché, donc tous les courtiers d'assurance «taille unique» n'en auront pas une bonne connaissance..

Si vous vous approvisionnez en cyberassurance pour une grande entreprise, il est probable que vous souhaitiez impliquer votre équipe juridique et faire preuve de diligence raisonnable avant de vous inscrire. Les petites entreprises et les «groupes individuels» devront se contenter de la meilleure combinaison possible de soutien aux courtiers, d'une lecture détaillée des conditions générales de la politique, de comparaisons de produits et de poser beaucoup de questions pertinentes. Inutile de dire que si vous souhaitez obtenir des éclaircissements sur de petits détails, appuyez pour obtenir les réponses par écrit..

Comme point de départ pour savoir quoi rechercher, voici les détails des polices d'assurance cyber typiques des petites entreprises de Hiscox au Royaume-Uni et Hiscox aux États-Unis. Veuillez noter que ce ne sont pas des recommandations, mais qu'elles ont simplement été incluses ici car ce sont des exemples assez clairs de ce à quoi s'attendre.

Les représentants des grandes entreprises devront s'adresser directement aux compagnies d'assurance ou passer par un courtier. Comme nous l'avons mentionné, un courtier de confiance est également un atout pour une petite entreprise, tant qu'il ne s'agit pas simplement de colporter des produits pour le compte d'une seule compagnie d'assurance..

Il n'y a rien non plus à dire que les produits de cyberassurance qui apparaissent sur une recherche Google ne valent pas le papier sur lequel ils sont écrits. Tant que vous lisez les petits caractères et sélectionnez une entreprise connue et de confiance, ils pourraient bien convenir. Cependant, méfiez-vous de simplement saisir une politique pour en avoir une. Les compagnies d'assurance n'ont aucun problème à accepter les paiements de primes de nouveaux clients - les questions se poseront toutefois au moment de la réclamation. Il est beaucoup plus logique de répondre à autant de questions que possible avant de souscrire à une politique.

Conclusion de l'assurance de cybersécurité

Parfois, dans la vie, il est sage d’être un peu paranoïaque. En ce qui concerne la cybersécurité dans les entreprises, il est logique d’être ainsi. Cela est particulièrement vrai dans un monde où nous recevons constamment des statistiques qui prouvent que des choses comme le phishing et les ransomwares deviennent de plus en plus un problème et pas moins d'un.

Chez ProPrivacy.com, nous avons une multitude de ressources disponibles pour vous aider à en savoir plus sur la cybersécurité et protéger votre vie privée en ligne, allant des vérificateurs de mots de passe aux articles détaillés sur le type de menaces à la vie privée que vous devez rechercher. Nous encourageons activement tout le monde à rester au courant des derniers développements dans le monde de la cybersécurité, car nous pouvons être sûrs que d'ici un an, de nombreux incidents de type Equifax et Yahoo auront fait les gros titres..

Si vous dirigez une petite entreprise et que vous êtes frappé par une cyberattaque, cela n'atteindra probablement pas les nouvelles nationales, mais cela ne signifie pas que cela ne détruira pas votre entreprise, ou au moins vous coûtera cher en termes de finances et de réputation. La cyberassurance ne vous protège pas de tous les hackers opportunistes, mais elle vous assure une certaine tranquillité d'esprit, ainsi qu'une assistance et une sauvegarde financière en cas de pire.

Un récent rapport de CNBC a révélé que 87% des propriétaires de PME "ne se sentent pas menacés d'une attaque de cybersécurité". Le même rapport montre que 14 millions d'entreprises américaines ont été piratées au cours des 12 derniers mois. Cela représente environ la moitié des petites entreprises du pays, et le même nombre ou plus peuvent s’attendre à leur tour dans l’année à venir. Quelle que soit la façon dont vous voyez les choses, il y a énormément de propriétaires d'entreprises pour un réveil brutal en 2018 et au-delà.

Dans cet esprit, nous vous laisserons décider si la cyber-assurance vaut la peine d'investir dans.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me