Dans l’environnement actuel, les organisations s'appuient de plus en plus sur des solutions informatiques tierces. Bien que la technologie joue un rôle central dans les entreprises d’aujourd’hui, il faut aussi reconnaître qu'il est souvent impossible de contrôler totalement tous les systèmes informatiques que les entreprises utilisent.
Pour relever les défis de la cybersécurité, il est nécessaire d’aller au-delà de la technologie et des formations de sensibilisation. Alors comment lutter efficacement contre les cyberattaques ? Et comment l’assurance cyber peut-elle vous aider ?
Récemment, un groupe de cybercriminels a réussi à exploiter une vulnérabilité dans une application de transfert de fichiers appelée MOVEit[1]. Cette application est utilisée par des milliers d'entreprises dans le monde entier comme solution de transfert de fichiers.
L'attaque a touché de nombreux secteurs, notamment la banque, l'assurance, les services professionnels, les compagnies aériennes, les produits pharmaceutiques, la technologie, les services publics, les loisirs, le retail, les médias, l'éducation et bien d'autres encore. Toutes les entreprises touchées par l'attaque, indépendamment de leur taille, de leur sensibilisation à la cybersécurité, de leur budget en matière de contrôle des risques et de leur niveau général de sophistication digitale, avaient une chose en commun : elles dépendaient toutes d'un système fourni par un tiers et aucune d'entre elles n'a pu se défendre avant qu'il ne soit trop tard.
Ce type d’attaque (l’exploitation d'une vulnérabilité dans un logiciel fourni par une entreprise tierce) est loin d’être une nouvelle tactique utilisée par les cybercriminels. Un scénario similaire s'est produit en décembre 2021, lorsqu'une vulnérabilité a été découverte dans le logiciel Log4J[2], un outil de journalisation largement utilisé par les particuliers, les entreprises et même les gouvernements. Cette vulnérabilité avait permis à des pirates d'accéder aux systèmes concernés, ce qui aurait pu avoir de graves conséquences.
Bien sûr, ces vulnérabilités ont été corrigées mais dans de nombreux cas, le correctif arrive trop tard pour être d'une quelconque importance pour la victime d'un piratage déjà exécuté.
L'une des solutions consiste à investir dans un autre type de protection sous la forme d'une assurance cyber. Conscientes que le risque cyber ne peut être entièrement éliminé, quel que soit le budget consacré à la formation et à la technologie, les entreprises peuvent investir dans l'assurance pour combler les lacunes de leur sécurité au moyen d'une police d'assurance cyber.
Une police d'assurance cyber couvrira les attaques cyber (y compris les tentatives de cyber-extorsion) ayant un impact sur le système informatique d'une entreprise, que les cybercriminels aient attaqué ce système directement ou qu'ils y aient accédé en utilisant une vulnérabilité dans un logiciel fourni par un prestataire. En outre, l'assurance cyber prend en compte la question de la responsabilité de l'entreprise en cas de violation de données confiées sur les systèmes d'un tiers ou même les pertes financières de l'entreprise résultant d'une interruption d'activité causée par ses fournisseurs informatiques ou non informatiques touchés par un incident cyber.
La police d'assurance cyber n’est là pour remplacer la technologie ou la formation des salariés. La mise en place de ces contrôles améliore la qualité du risque aux yeux des assureurs et peut avoir une incidence sur les conditions de la police d’assurance et sa tarification. En résumé, l'assurance cyber est un autre type de protection qui peut aider l'entreprise à surmonter à un incident cyber.
