Respectez les exigences de la Cyberassurance et économisez : les 4 meilleures pratiques

L'assurance responsabilité civile cybernétique (également connue sous le nom de cyber-assurance) est à l'origine d'une amélioration attendue depuis longtemps de la sécurité d'accès des utilisateurs. L'authentification multifacteur(MFA) est désormais une exigence de la cyberassurance pour tous les comptes, privilégiés ou non, afin de protéger les accès sur site et à distance. Voici un guide rapide pour comprendre le mandat d'assurance de la MFA.

Bien qu'il ne s'agisse pas d'une exigence dans les précédentes souscriptions ou renouvellements d'assurance cyber, les fournisseurs d'assurance cybersécurité exigent désormais la MFA. Sans elle, la plupart des agences d'assurance refuseront d'accorder une couverture à votre organisation.

Il semble que les assureurs en aient assez de payer des indemnités pour des violations de données et qu'ils aient donc renforcé leur liste d'exigences. Et comme le marché de la cyberassurance se resserre, les assureurs examinent attentivement leurs portefeuilles et recherchent des clients dont les contrôles de sécurité répondent à des normes plus strictes. Pourquoi ? En exigeant la MFA, les assureurs de cyber-responsabilité réduisent considérablement leur exposition.

La MFA n'est pas une solution miracle, mais elle constitue un moyen de défense essentiel contre la menace que représentent les mots de passe compromis. Le rapport d'enquête de Verizon sur les violations de données (DBIR) fait état des nombreuses variantes et des cas d'utilisation des attaques pour les informations d'identification compromises, ainsi que de la grande efficacité de chaque méthode. Le rapport a révélé que 49 % de toutes les infractions commises par des acteurs externes impliquaient l'utilisation d'informations d'identification volées.

Tout simplement, lorsqu'un attaquant utilise des informations d'identification valides (c'est-à-dire volées mais valides), pourquoi votre antivirus, votre pare-feu et d'autres technologies signaleraient-ils quelque chose d'inhabituel ? Vos outils de sécurité supposent que les personnes qui accèdent à votre réseau sont bien celles qu'elles prétendent être.

C'est là que la MFA entre en jeu. L'ajout d'un deuxième facteur (authentification à deux facteurs ou 2FA) signifie généralement que l'on exige « quelque chose que l'on a » ou « quelque chose que l'on est » en plus du mot de passe, « quelque chose que l'on sait ». Si l'un des facteurs est compromis ou rompu, un utilisateur non autorisé doit encore franchir au moins un autre obstacle avant de réussir à s'introduire dans le système cible.

Les assureurs considèrent la MFA comme une pratique exemplaire. Lors de la souscription ou du renouvellement d'une cyberassurance, il faut s'attendre à ce que plusieurs questions soient posées sur la MFA. Si les organisations ne sont pas en mesure de démontrer que l'AMF est en place, les fournisseurs de cyber-assurance refusent.

Voici, par exemple, un exemple de liste de contrôle pour la couverture d'une cyber-assurance. Une organisation doit répondre par l'affirmative à toutes les questions suivantes concernant la MFA.

1. L'authentification multi-facteur est-elle requise pour tous les employés lorsqu'ils accèdent au courrier électronique par l'intermédiaire d'un site web ou d'un service en nuage ?

2. Est-il nécessaire de procéder à une authentification multifactorielle pour tous les accès à distance au réseau fournis aux employés, aux sous-traitants et aux prestataires de services tiers ?

3. Outre l'accès à distance, l'authentification multifactorielle est-elle requise pour les éléments suivants, y compris l'accès fourni à des prestataires de services tiers ?

   tous les accès des administrateurs internes et distants aux services d'annuaire (Active Directory, LDAP, etc.)

   • tous les accès des administrateurs internes et distants aux sauvegardes du réseau

   • tous les accès des administrateurs internes et distants aux composants de l'infrastructure du réseau (commutateurs, routeurs, pare-feu)

   • tous les accès des administrateurs internes et distants aux points de terminaison/serveurs de l'organisation.

   Cela ne veut pas dire que la mise en œuvre de la cybersécurité MFA dans l'ensemble de votre organisation garantisse une remise de prime. Selon Dan Burke, vice-président senior et responsable national de la cyber pratique chez Woodruff Sawyer, l'une des plus grandes sociétés de conseil et de courtage en assurance aux États-Unis

"Les assureurs accordent rarement une réduction substantielle sur la base d'un seul contrôle de sécurité, préférant évaluer la combinaison de contrôles qu'une entreprise déploie contre les cybermenaces, en plus du secteur d'activité, de la taille et des risques spécifiques de l'entreprise. L'adoption de la MFA profitera plutôt à votre programme d'assurance de deux manières potentielles : D'une part, en réduisant le nombre de sinistres, ce qui, à long terme, peut améliorer considérablement la tarification de votre assurance ; d'autre part, en permettant à votre entreprise d'obtenir des devis d'assurance cybernétique auprès de plusieurs assureurs, ce qui garantit une concurrence pour votre entreprise qui produira des conditions avantageuses."

La menace d'une compromission des informations d'identification est bien connue. Pourtant, malgré la poussée des cyber-assureurs, certaines organisations sont encore réticentes à adopter la MFA. Nous pensons que cette réticence est motivée par les 4 mythes de la MFA.

1. La MFA n'est pas réservée aux grandes entreprises. Les données à protéger sont aussi sensibles et les perturbations aussi graves dans n'importe quelle entreprise, quelle que soit sa taille.

2. La MFA n'est pas réservée aux utilisateurs privilégiés. La plupart des employés « non privilégiés » ont également accès à des données sensibles, sans oublier que les cybercriminels ne commencent généralement pas par un compte privilégié, mais profitent de n'importe quel compte pour se déplacer latéralement au sein du réseau.

3. La MFA n'est pas parfaite, mais c'est un grand pas en avant. Aucune mesure de sécurité n'est parfaite. Mais, comme l'affirme le FBI, la MFA est efficace et constitue l'une des mesures les plus simples qu'une organisation puisse prendre pour améliorer la sécurité.

4. La MFA ne doit pas perturber la productivité des utilisateurs. Les administrateurs peuvent éviter de demander aux utilisateurs d'utiliser la MFA à chaque fois qu'ils se connectent. La MFA doit être personnalisée en fonction des besoins de chaque entreprise.