Sécuriser les polices de cyberassurance par la sensibilisation

Les attaques de rançongiciels, de virus et d’ingénierie sociale ont atteint des niveaux sans précédent en 2024. Grâce à l’introduction de l’intelligence artificielle (IA) générative, ces menaces sont devenues plus sophistiquées, ce qui rend encore plus difficile pour les entreprises de rester vigilantes contre tous les types de cybermenaces. En conséquence, l’assurance cybersécurité est devenue une priorité absolue pour de nombreuses entreprises numériques.

Investir dans une assurance cybersécurité est certainement judicieux dans le paysage actuel, d’autant plus que même les entreprises disposant de ressources avancées peuvent être victimes de violations. Cependant, la cyberassurance n’est pas une voie à sens unique. Pour que les politiques restent valides, les entreprises sont généralement tenues de mettre en œuvre une formation régulière de sensibilisation à la sécurité pour tous les employés.

Bien qu’elle ait longtemps été considérée comme une mesure préventive, la formation à la sensibilisation à la sécurité est désormais une nécessité absolue pour toute organisation cherchant à se protéger pleinement d’une cyberattaque. Les chefs d’entreprise doivent s’assurer qu’ils disposent d’un programme de formation complet, non seulement pour répondre aux exigences d’assurance, mais aussi pour réduire la probabilité qu’une attaque se produise.

LA VALEUR DE LA CYBERASSURANCE

Les piratages et les brèches de sécurité entraînent souvent des pertes financières importantes, non seulement en termes d’impact immédiat, mais également en matière de coûts indirects, de frais juridiques et d’amendes réglementaires. Selon les recherches, le coût moyen d’une violation de données au Canada jusqu’à présent cette année est supérieur à 6 millions de dollars canadiens — une somme importante que la plupart des entreprises ne peuvent pas assumer sans un filet de sécurité financière.

Cela constitue un argument solide en faveur de la cyberassurance. Au-delà de cela, l’assurance cyberresponsabilité est également un acte de diligence raisonnable de la part des organes directeurs des secteurs réglementés. De nombreuses organisations opérant dans des domaines très sensibles, comme la santé ou les services financiers, doivent adhérer à des lois spécifiques sur la protection des consommateurs telles que la Health Insurance Portability and Accountability Act (HIPAA) ou la Gramm-Leach-Bliley Act (GLBA). Avoir une politique en matière de sécurité démontre que l’organisation est en totale conformité avec les exigences de l’industrie.
Il convient également de noter que la cyberassurance offre une tranquillité d’esprit. Une brèche de sécurité majeure peut être chaotique et stressante, et ne disposer d’aucune protection après une attaque ne fait qu’alourdir le fardeau. Avec une politique en place, les organisations, ainsi que leurs partenaires et clients, peuvent être assurés que tout incident sera correctement résolu. Malgré la valeur de l’assurance cyberresponsabilité sur plusieurs fronts, un récent sondage du Bureau d’assurance du Canada (BAC) a révélé que seulement 18 % des entreprises ont déclaré avoir une police d’assurance.

La violation de données Marriott est un exemple frappant de l’impact de l’assurance cyberresponsabilité. En 2019, Marriott a subi l’une des plus grandes violations de données de l’histoire, compromettant les informations personnelles identifiables (PII) et les détails non cryptés des cartes de paiement de plus de 383 millions de clients. Le coût total de cet incident a été estimé à environ 72 millions de dollars américains, mais Marriott a révélé plus tard que ses dépenses personnelles n’atteignaient qu’un million de dollars. Bien que l’entreprise ait dû faire face à des frais juridiques, des amendes et d’autres dépenses, leur couverture d’assurance a considérablement atténué l’impact financier de cette violation.

MAINTENIR LA COUVERTURE GRÂCE À UNE FORMATION DE SENSIBILISATION À LA SÉCURITÉ

La condition d’éligibilité aux politiques de cyberresponsabilité est que les organisations doivent prendre des mesures pour empêcher les violations de sécurité de se produire. Bien que de nombreuses entreprises disposent d’infrastructures, d’outils de surveillance ou de services gérés sophistiqués pour rester protégées, certaines ne se concentrent pas suffisamment sur un autre élément crucial d’une stratégie de défense solide : disposer d’une main-d’œuvre bien formée.

Les organisations doivent considérer leurs employés comme la première ligne de défense contre les cyberattaques et doivent travailler à la création d’un pare-feu humain. Les auteurs de menaces sont capables de mener des attaques complexes pour atteindre leurs objectifs, mais la plupart savent que le simple fait d’exploiter le manque de sensibilisation des employés peut atteindre le même objectif par des moyens plus simples. En fait, plus de 95 % des cyberattaques sont provoqués par une erreur humaine.

Une formation de sensibilisation à la sécurité peut être une exigence pour la couverture de cyberresponsabilité, mais son objectif ultime est bien plus important : protéger l’organisation contre les menaces. La couverture d’assurance doit être considérée comme une ressource adaptée au « pire des cas », et non comme une véritable mesure de sécurité. Former les employés à reconnaître et à prévenir les attaques est une mesure clé qui évite aux organisations d’avoir à faire appel à leur assurance.

CONSTRUIRE UN PROGRAMME DE FORMATION EFFICACE

Une main-d’œuvre bien formée fait souvent la différence entre les entreprises qui restent protégées et celles qui sont victimes de cyberattaques. Cependant, organiser un séminaire annuel de sensibilisation à la cybersécurité ne suffira pas à rester protégé contre l’évolution du paysage des menaces. Les entreprises doivent disposer de programmes de formation continue personnalisés qui aident les employés à comprendre les types de menaces, à les repérer et à y réagir.

Voici quelques éléments qui devraient être intégrés aux programmes de formation de sensibilisation à la sécurité pour rester conforme aux politiques de cyberresponsabilité et atténuer les menaces :

• Exécuter des simulations d’incidents : demandez aux employés de participer à des simulations réalistes et diversifiées, telles que des simulations de campagnes d’ingénierie sociale, pour comprendre comment reconnaître et gérer une attaque potentielle.
• Analyser les résultats de la formation : collectez des informations sur chaque simulation pour comprendre quels employés sont les plus susceptibles de céder aux attaques, ainsi que les domaines qui doivent être améliorés pour renforcer leur posture de sécurité et améliorer la résilience de l’entreprise.
• Construire une culture centrée sur la sécurité : évitez de faire de la formation à la sécurité un élément de votre liste de choses à faire et intégrez plutôt les meilleures pratiques de sécurité directement dans le tissu de la culture de l’entreprise. De plus, visez une formation continue à l’échelle de l’entreprise, fraîche et engageante pour garantir que leur formation est conservée et que tout le monde reste concentré. La gamification aide également dans ce processus.
• Créer des ressources : fournissez aux employés des ressources de formation et du matériel pédagogique pour élargir leur compréhension. De plus, mettez en place des responsables de la sécurité dédiés afin que les employés puissent poser des questions et informer l’entreprise en cas de violation.

Une formation de sensibilisation à la sécurité est absolument essentielle pour garantir que l’assurance cyberresponsabilité reste active en cas de cyberattaque, mais ses avantages vont au-delà de la conformité. Avoir un programme de formation bien structuré constitue une mesure proactive et préventive qui peut empêcher les organisations d’invoquer leur politique. En formant leurs employés aux meilleures pratiques, les entreprises peuvent poursuivre leurs opérations et éviter des interruptions coûteuses.

* Les opinions émises dans cet article sont celles de son auteur et ne reflètent pas nécessairement les vues de Conseiller.

Alain Constantineau

Alain Constantineau est vice-président pour l’Amérique du Nord de Hornetsecurity.