Pourquoi le fait de zapper la formation consacrée à la sensibilisation sur la sécurité pourrait invalider votre cyber-assurance ?

Alors que les cybermenaces deviennent de plus en plus sophistiquées, les compagnies d’assurance rehaussent leurs critères d’admissibilité. De plus en plus, la formation à la sensibilisation aux questions de sécurité ne fait plus l’objet d’une simple recommandation, mais devient un élément obligatoire pour bénéficier d’une couverture d’assurance complète. Sans cette formation, votre entreprise pourrait être confrontée à des lacunes dans sa police d’assurance, ce qui l’exposerait à des risques en cas d’attaque.

Dans ce blog, nous allons faire le point sur les raisons pour lesquelles la formation à la sensibilisation en matière de sécurité est non seulement une bonne chose, mais aussi une condition essentielle pour maintenir une cyber-assurance efficace.

L’importance d’une cyber-assurance 

À moins que votre business ne soit une de ces entreprises alimentaires amish qui ne fonctionnent qu’avec du liquide et sans connexion internet, vous avez probablement besoin d’une assurance cyber-responsabilité. L’assurance cyber est un filet de sécurité qui vous protège contre les responsabilités et les pertes financières en cas d’attaque cybernétique contre vous. La question n’est pas si complexe. Ce qui est beaucoup plus important, c’est de savoir si votre entreprise a besoin d’ajouter des dizaines de milliers d’euros à ses dépenses déjà importantes en matière de cybersécurité. De nombreuses entreprises découvrent que le processus d’acquisition d’une cyber-assurance implique finalement de comparer le coût des primes conséquentes à l’ampleur d’une violation.

Lorsqu’une entreprise investit dans une cyber assurance, elle achète essentiellement trois choses :

• Un coussin de sécurité financier pour atténuer l’impact d’une faille de sécurité.
• La preuve d’une diligence raisonnable de la part des instances dirigeantes – montrant que vous avez soigneusement suivi les règles établies par les organismes de réglementation. 
• La tranquillité d’esprit pour l’entreprise et les parties concernées. 

Une politique « cyber-assurance »  peut protéger l’entreprise contre les cyber-événements, y compris les actes de cyberterrorisme (selon la politique), et l’aider à remédier aux incidents de sécurité tels que :

• La restauration des informations personnelles identifiables (PII). 
• Ransomware – Cyber extorsion.
• Perturbation du réseau.

Fuite de données chez Marriott

Un exemple concret de cyber-assurance est survenu quelques mois après que Marriott a subi l’une des plus importantes violations de données de l’histoire, révélant que ses dépenses liées à l’incident ne s’élevaient qu’à 1 million de dollars. Ce montant a pris tout le monde par surprise, car 383 millions d’informations personnelles identifiables (IPI) de clients innocents, y compris des informations non cryptées sur les cartes de paiement, avaient été compromises. 

Comment est-ce possible ? La couverture d’assurance cybersécurité de Marriott a représenté 71 millions de dollars sur un coût total de 72 millions de dollars. Bien que la chaîne hôtelière internationale doive encore faire face à des frais de justice, des amendes et d’autres dépenses, la leçon est évidente : l’assurance cybersécurité a joué un rôle important dans l’atténuation de l’impact financier. 

Formation à la sensibilisation sur la sécurité

La force des mots de passe complexes et sophistiqués de votre entreprise, les multiples pare-feu et les programmes anti-malware peuvent être contournés en exploitant le facteur humain, ce qui constituera toujours un problème pour assurer la sécurité de votre entreprise et la vôtre. Les employés sont souvent les plus vulnérables et ont besoin d’une formation adéquate de sensibilisation en matière de sécurité, qui les transformera en observateurs expérimentés, toujours à l’affût. Les cybercriminels savent qu’il est difficile de contourner les défenses matérielles, mais qu’il est beaucoup plus facile d’exploiter le manque de sensibilisation d’une personne. C’est pourquoi il est essentiel d’équiper vos employés des bons outils, en particulier d’une formation approfondie à la sécurité qui les aide à reconnaître les menaces et à y répondre.

Une enquête menée par le gouvernement britannique a révélé en avril 2024 que la moitié des entreprises et 84 % des grandes entreprises ont signalé une forme ou une autre d’atteinte à la cybersécurité ou d’attaque au cours des 12 derniers mois. Le type de violation ou d’attaque le plus courant est de loin l’hameçonnage (84 % des entreprises et 83 % des organisations caritatives). Mauvaise nouvelle, n’est-ce pas ?

Alors, pourquoi investir dans une formation de sensibilisation en matière de sécurité ? C’est simple : la cyberassurance et la sensibilisation aux risques contribuent toutes deux à réduire les coûts et la responsabilité. Elles ajoutent une couche de protection supplémentaire, évitant ainsi d’avoir à faire appel à votre assurance. Je sais que c’est contradictoire. Mais la logique est claire : une meilleure formation réduit le risque de violations coûteuses et de demandes d’indemnisation. 

Alors que le paysage des cybermenaces ne cesse de se développer, la protection de nos systèmes d’information devient de plus en plus difficile à mesure que les technologies évoluent. Aussi absurde que cela puisse paraître, nous devons tenir compte de notre cerveau, de notre instinct, de notre confiance lorsqu’il s’agit de construire nos cyberdéfenses. Les attaquants savent que le maillon faible est souvent l’être humain et c’est donc là qu’ils concentrent leurs efforts. 

Plus de 90 % des cyberattaques font appel, d’une manière ou d’une autre, à l’ingénierie sociale ou à l’hameçonnage. Il n’est donc pas surprenant qu’en réduisant la probabilité des attaques par ingénierie sociale et hameçonnage, on réduise la possibilité d’une violation, et la formation en matière de sensibilisation à la sécurité est l’outil adéquat pour minimiser ce vecteur d’attaque. Elle peut être bénéfique à plus d’un titre :

Formation des utilisateurs

Se contenter d’alerter vos utilisateurs sur les risques de l’hameçonnage est une chose, mais si vous pouvez constater une diminution du nombre de clics sur les courriels d’hameçonnage, c’est en instaurant des habitudes saines et en ciblant la partie fondamentale du cerveau qui régit l’identification des menaces et la réaction. 

Culture de sécurité positive

Tout d’abord, vous devez comprendre que vous ne pouvez pas dicter, contrôler ou commander une culture. Une politique ne constitue pas une culture. La politique est l’instruction donnée aux employés. La culture est la manière dont ils agissent réellement. De quelle manière avez-vous un impact sur la culture ? Construire une culture de la sécurité dans laquelle les employés sont engagés dans la défense de l’entreprise, sont à l’aise pour s’exprimer lorsque quelque chose ne va pas et comprennent les risques prend du temps et commence par le sommet de la hiérarchie.

Conformité et gouvernance

La formation à la sensibilisation à la sécurité a l’avantage de promouvoir la conformité, mais pour réussir, la conformité ne doit pas être l’objectif principal de l’instruction. Cette stratégie peut fournir un travail et des résultats médiocres, mais un nombre croissant d’entreprises, d’autorités et d’initiatives de conformité commencent à exiger une formation de sensibilisation à la sécurité, qui est déjà requise par plusieurs normes de conformité, notamment : 

• PCI DSS 
• HIPAA
• ISO/IEC 27001  
• FISMA  
• GDPR 

---

Comment Hornetsecurity peut vous aider 

Hornetsecurity est un leader du marché et a été reconnu en 2024, par Fortress Cybersecurity Award, et par Global Infosec Winners pour sa formation en matière de sensibilisation à la sécurité. Voici quelques raisons convaincantes pour lesquelles votre entreprise devrait envisager une cyber-assurance dans le cadre de votre stratégie de gestion des risques :  

• Protection financière : couvre les coûts liés à l’enquête, à l’atténuation et à la récupération d’un cyber incident. 
• Responsabilité juridique : aide à couvrir les frais juridiques et les indemnisations si votre entreprise est confrontée à des violations de la loi sur la protection des données. 
• Continuité des activités : fournit un soutien financier pour maintenir la stabilité et couvrir les pertes de revenus pendant et après une attaque. 
• Services d’assistance : comprend l’accès à des experts en informatique, à des spécialistes des relations publiques en cas de crise et à des avocats spécialisés dans la protection des données pour aider à gérer l’après-attaque. 
• Protection des données : couvre les coûts liés à la perte ou à la compromission des données physiques et numériques.

---

Conclusion

Après une cyberattaque, de nombreuses entreprises estiment qu’il est essentiel de disposer d’un solide plan de cyber assurance pour préserver leur réputation, retrouver leur stabilité financière et être en mesure de poursuivre leurs activités comme si de rien n’était. L’objectif de la cyber assurance est de servir de filet de sécurité et d’atténuer certaines des conséquences d’une attaque. Elle n’est pas une panacée, mais elle peut jouer un rôle crucial dans la guérison d’une entreprise. Au lieu de vous concentrer sur un plan d’assurance cybersécurité, vous devez vous assurer que votre réseau est suffisamment sécurisé et, pour ce faire, former vos pare-feu humains est indispensable.