L’augmentation des coûts des violations de données, des ransomwares et d’autres cyberattaques entraîne une augmentation des primes de cyberassurance et une couverture de cyberassurance plus limitée. Cette situation de cyberassurance augmente les risques pour les organisations qui ont du mal à trouver une couverture ou qui font face à de fortes augmentations.
Quelques Akin Gump Strauss Hauer & Feld LLP Les clients des cabinets d’avocats, par exemple, ont signalé une multiplication par trois des tarifs d’assurance, et les assureurs ont fait «un énorme recul» sur les limites de couverture au cours des deux dernières années. Leur co-responsable de la pratique de la cybersécurité, Michelle Reed, ajoute : « Le montant de couverture réduit ne peut plus protéger les assurés contre les cyberpertes. Une police de 10 millions de dollars peut se retrouver avec une limite de 150 000 $ sur les cyberfraudes.
La situation de la cyberassurance est si préoccupante que le département du Trésor américain a récemment publié une demande d’avis du public sur un éventuel programme fédéral d’intervention en matière de cyberassurance. Cette demande s’ajoute à l’évaluation menée conjointement par l’Office fédéral des assurances (FIO) et l’Agence de sécurité de la cybersécurité et des infrastructures (CISA) du Département de la sécurité intérieure pour déterminer « la mesure dans laquelle les risques pour les infrastructures critiques d’incidents cybernétiques catastrophiques et les risques financiers potentiels les expositions justifient une réponse de l’assurance fédérale. »
Ceci est le résultat direct de l’évolution de la nature des cyberattaques qui reflète l’évolution des environnements numériques et l’effet de facilitation de la criminalité liée aux cryptomonnaies. Du côté des cybercriminels, les kits de logiciels malveillants DIY et les plates-formes Malware-as-a-Service ont supprimé la barrière d’entrée de la cybercriminalité et rendu le lancement d’attaques complexes abordable pour les criminels en herbe qui manquent de maîtrise de la technologie.
La couverture de cyberassurance ne couvrait que les interruptions d’activité, la récupération de données et les dommages à l’infrastructure. Aujourd’hui, ils sont également censés couvrir les coûts de cyber-extorsion, les risques de réputation, les amendes pour non-conformité et les risques de responsabilité civile, un domaine en pleine croissance à mesure que l’interconnectivité entre les organisations ne cesse de se développer.
Les outils classiques d’évaluation des primes d’un souscripteur de cyber-assurance sont le respect des meilleures pratiques d’évaluation et les tests d’intrusion. Cependant, les limites inhérentes à ces approches sont problématiques à plusieurs niveaux.
- Limites de l’évaluation basée sur les meilleures pratiques :
- Toutes les meilleures pratiques ne sont pas pertinentes pour chaque organisation.
- Même le respect des meilleures pratiques offre une protection limitée.
- Certaines meilleures pratiques, telles que les correctifs complets, sont inaccessibles. Même limiter les correctifs aux vulnérabilités avec un score CVSS supérieur à 9 est irréaliste. De la 20184 nouvelles vulnérabilités découvertes en 20211165 ont obtenu un score supérieur à 9.
- Limites des tests d’intrusion
- La validité des résultats dépend de la capacité et de l’outillage du testeur.
- Il manque de continuité. En tant que test ponctuel, il fournit un instantané de l’organisation à un moment donné : le développement agile, les menaces émergentes et l’interconnexion limitent la pertinence de la durée de vie des tests de pénétration.
Les techniques de validation de sécurité continues telles que la simulation de violation et d’attaque, la gestion de la surface d’attaque et l’évaluation de l’exposition aux menaces qui optimisent les programmes de sécurité, minimisent l’exposition et fournissent des KPI quantifiés qui peuvent être surveillés au fil du temps changent la donne. Passer d’une perspective défensive et réactive d’évaluation de l’exposition à la menace de la partie assurée implique de passer à l’évaluation des dommages réels que les attaques causeraient sur l’ensemble de la matrice des TTP MITRE ATT&CK.
Lorsque négocier avec un souscripteur de cyber-assuranceune entreprise capable de fournir des évaluations quantifiées et documentées réalisées avec des technologies de validation de la sécurité peut mener la discussion en démontrant comment elle :
- Réduit les risques au-delà des meilleures pratiques – Des évaluations complètes mesurent la posture de sécurité de l’organisation en fonction de sa résilience réelle aux attaques au lieu d’une projection théorique de la sécurité obtenue grâce au respect des meilleures pratiques.
- Quantifie le risque – Les scores de risque quantifiés basés sur le pourcentage d’émulation d’attaque détectée et empêchée par la pile d’outils défensifs fournissent une évaluation instantanée de l’efficacité réelle de la cyberdéfense. Les technologies avancées de validation de la sécurité incluent des évaluations complètes de la chaîne de destruction et des capacités de mouvement latéral qui fournissent une mesure exacte de l’étendue des dommages potentiels qu’une violation réussie entraînerait.
- Empêche la dérive de sécurité – Comme l’automatisation de la simulation d’attaque permet une réévaluation continue de la résilience en contexte, les failles de sécurité résultant de nouveaux déploiements ou de menaces émergentes sont signalées sans délai et peuvent être traitées avant de mettre en péril la posture de sécurité.
- Ouvre de nouvelles voies de souscription en cyber-assurance – Le caractère continu de la validation de la sécurité peut être mis à profit pour définir une politique post-contraignant les phases. Proposer une réévaluation continue ou périodique de la santé de la posture de sécurité déterminée par le score de sécurité pour mesurer l’évolution de la posture de sécurité dans le temps fournit des munitions de négociation valables à l’assuré.
Un contrat d’assurance pourrait inclure des éléments tels que l’exigence de corriger l’écart par rapport aux lignes de base convenues dans un délai raisonnable, l’obligation de partager régulièrement des rapports d’évaluation générés automatiquement ou un lien entre l’étendue de la couverture et le respect de l’écart de base.
La validation de la sécurité devient une voie de conformité pour la réglementation de la conformité, comme la récente mise à jour PCI DSS v4.0. L’intégration de la validation de la sécurité dans les processus de souscription de la cyber-assurance pourrait contribuer grandement à résoudre la situation actuelle de la cyber-assurance et à renforcer la cyber-résilience des organisations qui auraient une incitation supplémentaire à mettre en œuvre une telle approche proactive dans leurs environnements.
Noter – Cet article est rédigé et contribué par Andrew Barnett, directeur de la stratégie chez Cymulate.