Serez-vous couvert par vos assurances en cas d’incident de cybersécurité?

Écrit par Olivier Brière-Leblanc

Souscrire à une police d’assurance en cybersécurité ne garantit pas une indemnisation en cas d’incident. Le tout est régi par un contrat d’assurance dont il importe de respecter les clauses.

Pour y parvenir, il faut des efforts et de la préparation. La plupart du temps, votre assureur exigera le respect de certaines mesures élémentaires. Par exemple, disposer d'une politique de cybersécurité, mettre en place un mécanisme de sauvegarde de l'information, développer et tenir à jour un plan d'intervention en cas d'incident, ainsi que sensibiliser les employés aux risques.

L'un des pires scénarios serait qu'une posture de sécurité déficiente force l'entreprise à payer une rançon pour sauver son activité. Elle pourrait ensuite se rendre compte que l'assureur ne couvrira pas l'intégralité des pertes en raison de cette négligence.

C'est pour cette raison qu'il est nécessaire de prendre certaines mesures. En voici quelques-unes.

Développer et appliquer une politique de sécurité de l'information

En fonction de l'entreprise et de la nature de ses activités, il est essentiel de développer un ensemble de pratiques et de procédures regroupées dans une politique de sécurité de l'information. Cette politique aborde, entre autres, la gestion des mots de passe, les droits d'administration, la classification de l'information, ainsi que diverses bonnes pratiques.

Si l'on désire réellement que la politique soit appliquée, il faut désigner une personne responsable de superviser sa mise en œuvre. Faute de quoi, ce document continuera de prendre la poussière dans un dossier, sans jamais être appliqué.

Il est également nécessaire de réviser et de mettre à jour cette politique chaque année. L'environnement évolue, tout comme la réalité de l'entreprise. Sans cette mise à jour régulière, la politique devient rapidement désuète et ne permet plus de réduire efficacement la surface d'exposition aux risques.

Avoir des sauvegardes

Avez-vous une sauvegarde de vos informations ? Quelles sont vos données les plus critiques ? Votre sauvegarde est-elle à l'abri d'une attaque ?

Ceci fait partie des premières questions posées lorsqu'une entreprise est victime d'une attaque par rançongiciel (ransomware). Il est d'ailleurs probable que votre assureur s'y intéresse aussi, surtout si, lors de la souscription, vous aviez déclaré vous engager à effectuer une sauvegarde sécurisée de vos données.

Si une entreprise n'a pas de sauvegardes, deux scénarios se profilent généralement : reconstruire entièrement l'environnement ou payer la rançon. Dans les deux cas, cela coûtera cher.

En revanche, si vous disposez de sauvegardes, l'issue peut être plus favorable, et donc moins coûteuse, pour vous comme pour votre assureur.

Si vous avez des sauvegardes, il est également préférable de tester la procédure de restauration à partir de celles-ci. Cela vous permet de valider que vos sauvegardes fonctionnent et de vous assurer que vous savez comment restaurer votre environnement. En cas d'incident, ce ne sera pas le moment d'apprendre à le faire.

Avoir un plan d’intervention en cas d'incident

Même si des politiques de sécurité sont en place, cela ne garantit pas l'absence d'incident. De nos jours, il est fort probable que les entreprises subissent tôt ou tard une forme de cyberattaque au cours de leur existence. Il est donc nécessaire d'être prêt à réagir adéquatement.

Il ne faut pas se contenter de rédiger un plan; il faut également le tester, de préférence une fois par an. En plus d'améliorer la posture de sécurité de l'entreprise, un exercice bien mené permet de tester le leadership de l'équipe et de développer sa cohésion.

Il convient également de développer des « playbooks », c’est-à-dire des plans d'action à suivre pour certains scénarios spécifiques (par exemple : rançongiciel, DDoS, hameçonnage ou exécution de code à distance).

Ce n'est pas tout...

Il y a plusieurs autres éléments à considérer. L'un des premiers vecteurs de compromission reste le facteur humain. C'est pourquoi il est nécessaire d'organiser des ateliers de sensibilisation à la cybersécurité au sein de l'organisation.

Il est recommandé de réaliser ces ateliers au moins une fois par an. Il convient également d'effectuer régulièrement des tests de phishing, car il s'agit de l'un des points d'entrée les plus fréquents. Dans de nombreux cas, c'est l'utilisateur lui-même qui, par négligence, ouvre la porte à l'attaquant.

Il faut également penser à maintenir les systèmes à jour, à déployer une authentification multifacteur, et à supprimer les comptes des anciens employés.

Cela peut sembler beaucoup, et c'est vrai. Il suffit cependant d'y aller une étape à la fois.

En conclusion

Le simple fait d'avoir une police d'assurance en cybersécurité ne vous garantit pas pour autant que votre assureur vous indemnisera en cas d'incident. Vous avez des responsabilités à assumer et devez donc prendre les mesures nécessaires.

Pour ce faire, vous pouvez :

  • Analyser en détail votre police d'assurance afin d'en comprendre toutes les clauses.

  • Identifier les améliorations à apporter.

  • Élaborer un plan de match.

  • Désigner une personne responsable de la mise en œuvre du plan.

  • Effectuer des suivis réguliers pour assurer le bon déroulement des initiatives.

  • Inscrire la cybersécurité à l'ordre du jour de vos comités de gestion.

Si vous avez besoin d'aide pour mettre tout cela en place, écrivez-nous à info@renardblanc.ca.

Astuce en extra !

Conservez votre police d'assurance dans un lieu sûr. Il s'agit de l'un des documents que les attaquants recherchent en priorité lorsqu'ils infiltrent le système de leurs victimes. En effet, cela leur permet de fixer le montant de la rançon en fonction de votre prime d'assurance, maximisant ainsi leurs chances d'obtenir un paiement.

Olivier Brière-Leblanc