{"id":456315,"date":"2022-11-10T09:17:33","date_gmt":"2022-11-10T11:17:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/reorienter-la-cyberassurance-avec-la-validation-de-la-securite\/"},"modified":"2022-11-10T09:17:35","modified_gmt":"2022-11-10T11:17:35","slug":"reorienter-la-cyberassurance-avec-la-validation-de-la-securite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/reorienter-la-cyberassurance-avec-la-validation-de-la-securite\/","title":{"rendered":"R\u00e9orienter la cyberassurance avec la validation de la s\u00e9curit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;augmentation des co\u00fbts des violations de donn\u00e9es, des ransomwares et d&#8217;autres cyberattaques entra\u00eene une augmentation des primes de cyberassurance et une couverture de cyberassurance plus limit\u00e9e.  Cette situation de cyberassurance augmente les risques pour les organisations qui ont du mal \u00e0 trouver une couverture ou qui font face \u00e0 de fortes augmentations.<\/p>\n<p>Quelques <a rel=\"nofollow noopener\" href=\"https:\/\/news.bloomberglaw.com\/insurance\/as-cyber-insurance-dries-up-treasury-department-eyes-a-backstop\" target=\"_blank\">Akin Gump Strauss Hauer &amp; Feld LLP<\/a> Les clients des cabinets d&#8217;avocats, par exemple, ont signal\u00e9 une multiplication par trois des tarifs d&#8217;assurance, et les assureurs ont fait \u00abun \u00e9norme recul\u00bb sur les limites de couverture au cours des deux derni\u00e8res ann\u00e9es.  Leur co-responsable de la pratique de la cybers\u00e9curit\u00e9, Michelle Reed, ajoute : \u00ab Le montant de couverture r\u00e9duit ne peut plus prot\u00e9ger les assur\u00e9s contre les cyberpertes. Une police de 10 millions de dollars peut se retrouver avec une limite de 150 000 $ sur les cyberfraudes.<\/p>\n<p>La situation de la cyberassurance est si pr\u00e9occupante que le d\u00e9partement du Tr\u00e9sor am\u00e9ricain a r\u00e9cemment publi\u00e9 une <a rel=\"nofollow noopener\" href=\"https:\/\/aboutblaw.com\/5dB\" target=\"_blank\">demande d&#8217;avis du public<\/a> sur un \u00e9ventuel programme f\u00e9d\u00e9ral d&#8217;intervention en mati\u00e8re de cyberassurance.  Cette demande s&#8217;ajoute \u00e0 l&#8217;\u00e9valuation men\u00e9e conjointement par l&#8217;Office f\u00e9d\u00e9ral des assurances (FIO) et l&#8217;Agence de s\u00e9curit\u00e9 de la cybers\u00e9curit\u00e9 et des infrastructures (CISA) du D\u00e9partement de la s\u00e9curit\u00e9 int\u00e9rieure pour d\u00e9terminer &#8220;la mesure dans laquelle les risques pour les infrastructures critiques d&#8217;incidents cybern\u00e9tiques catastrophiques et les risques financiers potentiels les expositions justifient une r\u00e9ponse de l&#8217;assurance f\u00e9d\u00e9rale.&#8221;<\/p>\n<p>Ceci est le r\u00e9sultat direct de l&#8217;\u00e9volution de la nature des cyberattaques qui refl\u00e8te l&#8217;\u00e9volution des environnements num\u00e9riques et l&#8217;effet de facilitation de la criminalit\u00e9 li\u00e9e aux cryptomonnaies.  Du c\u00f4t\u00e9 des cybercriminels, les kits de logiciels malveillants DIY et les plates-formes Malware-as-a-Service ont supprim\u00e9 la barri\u00e8re d&#8217;entr\u00e9e de la cybercriminalit\u00e9 et rendu le lancement d&#8217;attaques complexes abordable pour les criminels en herbe qui manquent de ma\u00eetrise de la technologie.<\/p>\n<p>La couverture de cyberassurance ne couvrait que les interruptions d&#8217;activit\u00e9, la r\u00e9cup\u00e9ration de donn\u00e9es et les dommages \u00e0 l&#8217;infrastructure.  Aujourd&#8217;hui, ils sont \u00e9galement cens\u00e9s couvrir les co\u00fbts de cyber-extorsion, les risques de r\u00e9putation, les amendes pour non-conformit\u00e9 et les risques de responsabilit\u00e9 civile, un domaine en pleine croissance \u00e0 mesure que l&#8217;interconnectivit\u00e9 entre les organisations ne cesse de se d\u00e9velopper. <\/p>\n<p>Les outils classiques d&#8217;\u00e9valuation des primes d&#8217;un souscripteur de cyber-assurance sont le respect des meilleures pratiques d&#8217;\u00e9valuation et les tests d&#8217;intrusion.  Cependant, les limites inh\u00e9rentes \u00e0 ces approches sont probl\u00e9matiques \u00e0 plusieurs niveaux.<\/p>\n<ul>\n<li>Limites de l&#8217;\u00e9valuation bas\u00e9e sur les meilleures pratiques\u00a0:<\/li>\n<li>Toutes les meilleures pratiques ne sont pas pertinentes pour chaque organisation.<\/li>\n<li>M\u00eame le respect des meilleures pratiques <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisecurity.org\/white-papers\/cybersecurity-quarterly-winter-2021\/\" target=\"_blank\">offre une protection limit\u00e9e<\/a>.<\/li>\n<li>Certaines meilleures pratiques, telles que les correctifs complets, sont inaccessibles.  M\u00eame limiter les correctifs aux vuln\u00e9rabilit\u00e9s avec un score CVSS sup\u00e9rieur \u00e0 9 est irr\u00e9aliste.  De la <a rel=\"nofollow noopener\" href=\"https:\/\/www.cvedetails.com\/cvss-score-charts.php?fromform=1&amp;vendor_id=&amp;product_id=&amp;startdate=2021-01-01&amp;enddate=2022-01-01\" target=\"_blank\">20184 nouvelles vuln\u00e9rabilit\u00e9s d\u00e9couvertes en 2021<\/a>1165 ont obtenu un score sup\u00e9rieur \u00e0 9.<\/li>\n<li>Limites des tests d&#8217;intrusion<\/li>\n<li>La validit\u00e9 des r\u00e9sultats d\u00e9pend de la capacit\u00e9 et de l&#8217;outillage du testeur.<\/li>\n<li>Il manque de continuit\u00e9.  En tant que test ponctuel, il fournit un instantan\u00e9 de l&#8217;organisation \u00e0 un moment donn\u00e9\u00a0: le d\u00e9veloppement agile, les menaces \u00e9mergentes et l&#8217;interconnexion limitent la pertinence de la dur\u00e9e de vie des tests de p\u00e9n\u00e9tration.<\/li>\n<\/ul>\n<p>Les techniques de validation de s\u00e9curit\u00e9 continues telles que la simulation de violation et d&#8217;attaque, la gestion de la surface d&#8217;attaque et l&#8217;\u00e9valuation de l&#8217;exposition aux menaces qui optimisent les programmes de s\u00e9curit\u00e9, minimisent l&#8217;exposition et fournissent des KPI quantifi\u00e9s qui peuvent \u00eatre surveill\u00e9s au fil du temps changent la donne.  Passer d&#8217;une perspective d\u00e9fensive et r\u00e9active d&#8217;\u00e9valuation de l&#8217;exposition \u00e0 la menace de la partie assur\u00e9e implique de passer \u00e0 l&#8217;\u00e9valuation des dommages r\u00e9els que les attaques causeraient sur l&#8217;ensemble de la matrice des TTP MITRE ATT&amp;CK.<\/p>\n<p>Lorsque <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/resources\/are-cyber-insurance-models-broken\/\" target=\"_blank\">n\u00e9gocier avec un souscripteur de cyber-assurance<\/a>une entreprise capable de fournir des \u00e9valuations quantifi\u00e9es et document\u00e9es r\u00e9alis\u00e9es avec des technologies de validation de la s\u00e9curit\u00e9 peut mener la discussion en d\u00e9montrant comment elle\u00a0:<\/p>\n<ul>\n<li><strong>R\u00e9duit les risques au-del\u00e0 des meilleures pratiques<\/strong> \u2013 Des \u00e9valuations compl\u00e8tes mesurent la posture de s\u00e9curit\u00e9 de l&#8217;organisation en fonction de sa r\u00e9silience r\u00e9elle aux attaques au lieu d&#8217;une projection th\u00e9orique de la s\u00e9curit\u00e9 obtenue gr\u00e2ce au respect des meilleures pratiques.<\/li>\n<li><strong>Quantifie le risque <\/strong>\u2013 Les scores de risque quantifi\u00e9s bas\u00e9s sur le pourcentage d&#8217;\u00e9mulation d&#8217;attaque d\u00e9tect\u00e9e et emp\u00each\u00e9e par la pile d&#8217;outils d\u00e9fensifs fournissent une \u00e9valuation instantan\u00e9e de l&#8217;efficacit\u00e9 r\u00e9elle de la cyberd\u00e9fense.  Les technologies avanc\u00e9es de validation de la s\u00e9curit\u00e9 incluent des \u00e9valuations compl\u00e8tes de la cha\u00eene de destruction et des capacit\u00e9s de mouvement lat\u00e9ral qui fournissent une mesure exacte de l&#8217;\u00e9tendue des dommages potentiels qu&#8217;une violation r\u00e9ussie entra\u00eenerait. <\/li>\n<li><strong>Emp\u00eache la d\u00e9rive de s\u00e9curit\u00e9 <\/strong>\u2013 Comme l&#8217;automatisation de la simulation d&#8217;attaque permet une r\u00e9\u00e9valuation continue de la r\u00e9silience en contexte, les failles de s\u00e9curit\u00e9 r\u00e9sultant de nouveaux d\u00e9ploiements ou de menaces \u00e9mergentes sont signal\u00e9es sans d\u00e9lai et peuvent \u00eatre trait\u00e9es avant de mettre en p\u00e9ril la posture de s\u00e9curit\u00e9.<\/li>\n<li><strong>Ouvre de nouvelles voies de souscription en cyber-assurance<\/strong> &#8211; Le caract\u00e8re continu de la validation de la s\u00e9curit\u00e9 peut \u00eatre mis \u00e0 profit pour d\u00e9finir une politique post-contraignant les phases.  Proposer une r\u00e9\u00e9valuation continue ou p\u00e9riodique de la sant\u00e9 de la posture de s\u00e9curit\u00e9 d\u00e9termin\u00e9e par le score de s\u00e9curit\u00e9 pour mesurer l&#8217;\u00e9volution de la posture de s\u00e9curit\u00e9 dans le temps fournit des munitions de n\u00e9gociation valables \u00e0 l&#8217;assur\u00e9. <\/li>\n<\/ul>\n<p>Un contrat d&#8217;assurance pourrait inclure des \u00e9l\u00e9ments tels que l&#8217;exigence de corriger l&#8217;\u00e9cart par rapport aux lignes de base convenues dans un d\u00e9lai raisonnable, l&#8217;obligation de partager r\u00e9guli\u00e8rement des rapports d&#8217;\u00e9valuation g\u00e9n\u00e9r\u00e9s automatiquement ou un lien entre l&#8217;\u00e9tendue de la couverture et le respect de l&#8217;\u00e9cart de base. <\/p>\n<p>La validation de la s\u00e9curit\u00e9 devient une voie de conformit\u00e9 pour la r\u00e9glementation de la conformit\u00e9, comme la r\u00e9cente mise \u00e0 jour PCI DSS v4.0.  L&#8217;int\u00e9gration de la validation de la s\u00e9curit\u00e9 dans les processus de souscription de la cyber-assurance pourrait contribuer grandement \u00e0 r\u00e9soudre la situation actuelle de la cyber-assurance et \u00e0 renforcer la cyber-r\u00e9silience des organisations qui auraient une incitation suppl\u00e9mentaire \u00e0 mettre en \u0153uvre une telle approche proactive dans leurs environnements. <\/p>\n<p><i><b><\/p>\n<p>Noter &#8211;<\/b> Cet article est r\u00e9dig\u00e9 et contribu\u00e9 par Andrew Barnett, directeur de la strat\u00e9gie chez Cymulate.<\/i><br \/>\n<\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/re-focusing-cyber-insurance-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;augmentation des co\u00fbts des violations de donn\u00e9es, des ransomwares et d&#8217;autres cyberattaques entra\u00eene une augmentation des primes de cyberassurance et une couverture de cyberassurance plus limit\u00e9e. Cette situation de cyberassurance augmente les risques pour les organisations qui ont du mal \u00e0 trouver une couverture ou qui font face \u00e0 de fortes augmentations. Quelques Akin Gump [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":456316,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4168,4158,4165,4161,117885,4157,4159,4171,4170,4167,4160,4163,4162,1652,1835,4172,4169,74754,4166,4164],"class_list":["post-456315","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberassurance","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-reorienter","tag-securite","tag-securite-informatique","tag-securite-internet","tag-validation","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/456315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=456315"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/456315\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/456316"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=456315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=456315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=456315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}