La menace cyber est véritablement le risque numéro 1 d’un trop grand nombre d’entreprises et la pandémie de Coronavirus n’a fait que l’accentuer. La généralisation des technologies cloud n'est pas en reste puisqu’en disséminant les données dans des environnements extérieurs à leur système d'informations, les entreprises ont augmenté leur surface d'exposition aux risques. Alors quelles sont les bonnes pratiques ? Quelle est la réponse assurantielle à ce risque cyber ? Passons en revue les meilleures manières de protéger vos données cloud.
1. Réaliser un audit pour identifier les données critiques et les applications sensibles
Il s’agit en fait de cartographier vos données sensibles afin de faire toute la transparence sur votre patrimoine informationnel. L’enjeu est de savoir où se trouvent les données critiques qui présentent le risque le plus accru en cas de violation. La meilleure approche part de la mise en conformité au RGPD : le cadre réglementaire européen vous imposant de cartographier l'ensemble des traitements de données personnelles et de les consigner dans un registre mis à jour, ces traitements doivent faire l'objet d'une étude d'impact.
Vous pouvez trouver un grand nombre d'outils de data discovery et de gestion des données de référence afin de cataloguer ces données en fonction de leur criticité et d’assurer leur traçabilité.
Il faut également identifier les applications consommant des données critiques. La Cnil indique en effet qu’une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable", (nom, prénom, numéro de téléphone, adresse postale, e-mail, numéro de sécurité sociale...) Les principaux progiciels qui manipulent ce type de données sont les CRM, ERP et SIRH.
2. Recourir à une assurance spécialisée
Il faut rappeler qu’il existe une réponse assurantielle au risque et ce, quelle que soit la taille de votre entreprise. Si les plus grandes entreprises souscrivent massivement à ce type de contrat, les PME imaginent à tort que ces contrats sont trop chers pour elles. C’est une idée fausse car s’il on prend l’exemple s’une société qui réalise 5 millions d’euros de chiffre d’affaires, le montant de ses primes ne dépassera pas 1500 à 2000 euros par an.
Il faut pourtant être vigilants face à 2 tendances :
- La hausse des primes en matière de cyber sécurité. Les contrats cyber seraient déficitaires s’il on en croit les chiffres indiqués car le montant des indemnisations versées ne cesse d’exploser passant, en 2019, de 73 millions d’euros à 217 millions d’euros, en 2020. Cette hausse des primes à prévoir serait donc la logique répercussion de la hausse des indemnisations.
- La complexité que peut revêtir un contrat d’assurance cyber. Les compagnies d'assurance n'offrent pas les mêmes niveaux de garantie et les conditions générales peuvent réclamer des explications, notamment sur la définition du système d'information. Attention, certains contrats excluent les données hébergées dans le cloud. Votre contrat doit couvrir les frais de restauration de données à partir des sauvegardes et les coûts liés au redémarrage ainsi que les pertes d'exploitation, la responsabilité civile et les éventuels préjudices à des tiers.
3. Investir dans des outils de détection de la menace cyber
Il peut être judicieux de recourir aux outils de détection des menaces avancées proposés par les fournisseurs cloud (GuardDuty, Azure Sentinel, Security Command Center) et de mettre en place un SIEM (security information and event management) pour la gestion des informations et des événements de sécurité. Une solution de data loss prevention (DLP) qui classe les données confidentielles afin que les utilisateurs non autorisés ne puissent pas les partager est aussi intéressante. Enfin, un cloud access security broker (CASB) va, lui, étendre la politique de sécurité d'une organisation aux solutions en mode SaaS et permettre de réduire le shadow IT en interdisant le recours à des applications cloud non référencées. Un CASB détècte aussi les menaces et les comportements anormaux.
4. Mettre en place une stratégie de cyber sécurité
Votre assureur exigera que vous appliquiez les bonnes pratiques de sécurité, recommandées par l'Anssi (Agence nationale de la sécurité des systèmes d'information). Il s’agit de mettre en place des protections de type antivirus, antimalware et pare-feu et mener une stratégie de patching et de mises à jour.
Vos données sensibles seront, par exemple, hébergées sur des serveurs chiffrés voire déconnectés d'Internet et les sauvegardes devront être régulières (au minimum hebdomadaires, en mode déconnecté ou externalisé).
Le facteur humain restant le talon d’Achille de toute stratégie de cyber sécurité, il faudra veiller à la formation et à la sensibilisation de vos collaborateurs. Concrètement, l’authentification multi-facteurs et une politique de mots de passe efficace, changés tous les 3 mois est un prérequis. N’oubliez pas que l’assurance cyber s'inscrit dans la politique cyber d'une entreprise et ne se substitue pas à elle.
Chez Antiéea, nous sommes à vos côtés pour réaliser l’audit de votre cyber résilience, définir ensemble les besoins qui sont les vôtres, étudier les propositions des assureurs, évaluer les niveaux de garantie proposés, les plafonds d'indemnisation et les montants des primes afin de trouver le contrat le mieux adapté à votre entreprise.