Aujourd'hui, toutes les entreprises - quelle que soit leur taille, leur secteur d'activité ou leur emplacement - sont vulnérables aux cyberattaques. Il en va de même pour les gouvernements, les services publics et, les universités, les hôpitaux et les organisations à but non lucratif. En outre, les cybercriminels créent sans cesse de nouveaux outils et de nouvelles méthodes pour exploiter les failles des systèmes et des technologies qui font la force de nos économies et améliorent nos vies.
Fast Fast Forward s'est récemment entretenu avec Carlos Rodriguez Sanz et José Ferreira Costa sur la façon dont É«¶à¶àÊÓƵtravaille avec la société SecurityScorecard afin d’aider les entreprises à identifier où et comment elles pourraient être vulnérables aux cyber-attaques.
Carlos, pourriez-vous nous expliquer ce que les organisations peuvent mettre en place pour combattre cette menace permanente et évolutive ?
Carlos Rodriguez Sanz (CS) : Les professionnels de la cybersécurité recommandent généralement une approche en trois volets :
- Prévention : il s'agit d'évaluer les menaces potentielles et de prendre des mesures appropriées pour se protéger contre d’éventuelles intrusions et les détecter rapidement.
- Réaction : mettre en place des mécanismes permettant de limiter la portée de l'attaque et de restaurer rapidement les données et les systèmes pouvant être affectés.
- Atténuation : souscrire des polices d'assurance adaptées pour transférer les pertes financières.
Comme pour un trépied, chacun de ces trois volets est essentiel ; si vous en enlevez un, il bascule. Il faut savoir que dans le cas de la cybercriminalité, lorsqu'une organisation est victime d'une violation de données, les coûts directs et indirects, y compris les impacts sur la réputation, peuvent être dévastateurs lorsque l'un de ces éléments fait défaut.
La prévention est la première des protections et également la plus importante. Je ne saurais trop insister sur ce point. C'est pourquoi É«¶à¶àÊÓƵs'est associée à SecurityScorecard pour aider les entreprises à évaluer leurs vulnérabilités et à identifier les points critiques sur lesquels leurs défenses doivent être renforcées.
En ce qui concerne la réaction, notre équipe est prête à intervenir si un incident se produit. Nous avons établi un partenariat avec les principaux prestataires de services d'intervention en cas d’incident afin d'offrir un accès à une ligne d'assistance téléphonique 24 heures sur 24 et 7 jours sur 7 pour aider les organisations à gérer ces situations délicates dans les plus brefs délais. Nos couvertures Cyber comprennent également l'accès à des entreprises spécialisées dans l'expertise informatique, les questions juridiques, les relations publiques et la surveillance du système de sécurité et d'identification.
Enfin, l'utilisation de l'assurance pour le transfert de risque. Bien que les avantages et les inconvénients des différentes options de couverture peuvent être sujets à discussion, je voudrais noter qu'É«¶à¶àÊÓƵest prête à évaluer les cyber-expositions des organisations en collaboration avec elles afin de réduire et atténuer les menaces. Notre objectif est d'aider les clients à reprendre leurs activités et à résoudre les sinistres couverts par l’assurance le plus rapidement possible.
J'ajouterais également que ces trois volets - prévention, réaction, atténuation - doivent être régulièrement suivis, revus et mis à jour. Le cyber-risque est en constante évolution et mutation, car les cyber-criminels recherchent continuellement les vulnérabilités des systèmes informatiques des organisations tout en développant de nouveaux outils et tactiques pour mener à bien leurs attaques.
La prévention est la première des protections et également la plus importante. C'est pourquoi É«¶à¶àÊÓƵs'est associé à SecurityScorecard pour aider les entreprises à évaluer leurs vulnérabilités et à identifier les points critiques sur lesquels leurs défenses doivent être renforcées.
José, qu'est-ce que SecurityScorecard, et comment aide-t-il les entreprises à prévenir les cyber-attaques ?
José Costa (JC) : Fondé en 2013, SecurityScorecard est le leader mondial de notation en cybersécurité avec des millions d'organisations notées en continu. Notre mission est de contribuer à rendre le monde plus sûr en transformant la façon dont les organisations comprennent, améliorent et communiquent le risque de cybersécurité à leurs conseils d'administration, leurs employés et leurs fournisseurs. Avec le soutien d'AXA Venture Partners, notre offre comprend désormais une gamme complète de solutions de cybersécurité.
Les notes de cybersécurité sont comparables aux notes de crédit : de même qu'une mauvaise note de crédit est associée à une plus grande probabilité de défaillance, une mauvaise note de cybersécurité indique qu'une organisation est plus susceptible de subir une violation de données ou autre cyberévénement défavorable.
SecurityScorecard recueille et analyse les signes de menace au niveau mondial, ce qui donneaux organisations une visibilité instantanée sur l’état de sécurité de leurs fournisseurs et partenaires commerciaux, ainsi que la capacité d'effectuer une auto-évaluation de leur propre niveau de sécurité. SecurityScorecard surveille en permanence 10 groupes de facteurs de risque pour fournir instantanément une notation de A à F facile à comprendre. Les facteurs de risque comprennent : les expositions en terme de sécurité du réseau, la santé du DNS, la cadence de mise en application des correctifs, la sécurité des points de terminaison, la sécurité des applications, la réputation IP et les indicateurs sociaux tels que les discussions entre pirates informatiques et l'exposition éventuelle des mots de passe ou d'informations d'identification d’une organisation.
Les scores des dix groupes de facteurs sont pondérés en fonction de leur gravité relative, et les scores pondérés sont agrégés pour produire un score global de 0 à 100. Nous attribuons ensuite une note de A à F, qui fournit une indication simple et intuitive sur la probabilité qu'une organisation subisse une cyber-attaque. En même temps, les scores des facteurs individuels aident les équipes informatiques à identifier les vulnérabilités qui nécessitent une analyse plus approfondie et, le cas échéant, des mesures correctives. En d'autres termes, le tableau de bord est d’une grande utilité et exploitable tout autant pour les équipes en charge de la sécurité informatique d'une organisation, que pour le conseil d'administration et les différents responsables.
Comment les entreprises utilisent-elles ces informations ?
CS : Les organisations utilisent nos notations de sécurité de plusieurs façons. Les équipes informatiques ont tendance à se concentrer davantage sur les scores des facteurs en tant qu'outil de diagnostic permanent pour les aider à identifier les vulnérabilités. Parallèlement, les notes sous forme de lettres donnent aux conseils d'administration et aux responsables un aperçu pertinent du niveau de protection de leur organisation contre les cyberattaques, ce qui les aide dans leur prise de décision stratégique.
Les entreprises utilisent également ces notations pour évaluer leurs fournisseurs. Cette application est d'autant plus pertinente que les pirates ciblent de plus en plus de petits acteurs en aval de la chaîne d'approvisionnement, avant de remonter vers la cible principale. Par conséquent, les entreprises élargissent l’analyse de leurs écosystèmes aux fournisseurs ou aux distributeurs car ils représentent également une vulnérabilité supplémentaire qu'elles doivent donc étudier et surveiller.
Enfin, les institutions financières et les investisseurs utilisent ces mêmes notations pour comprendre les types de cyber-risque dont ils peuvent également hériter.
Comment É«¶à¶àÊÓƵutilise-t-elle les scorecards ?
CS : Les scorecards sont un outil inestimable pour nous, et les données de SecurityScorecard sont intégrées dans nos plateformes de souscription. Sans surprise, nous commençons par les notes sous forme de lettres ; elles aident nos souscripteurs à sélectionner les risques. Par exemple, si une entreprise reçoit un C ou un B, cela indique une opportunité de travailler ensemble pour réduire les vulnérabilités et, lorsqu'elles sont appréhendées de manière satisfaisante, de discuter des options de couverture.
SecurityScorecard effectue également une veille permanente des menaces, ce qui nous aide à gérer le risque à plus grande échelle, c'est-à-dire la possibilité qu'un événement unique provoque une perturbation massive. Lorsqu'un cyber-événement de grande ampleur se produit, la SecurityScorecard peut nous aider à identifier les clients qui sont probablement exposés afin de les alerter sur la nécessité de prendre des mesures préventives.
Y a-t-il d'autres points que vous aimeriez soulever ?
JC : Même si notre discussion s’est concentrée sur la prévention, la réponse aux incidents - le deuxième pied du tabouret de Carlos - devient également de plus en plus critique. En cas d’intrusion, l'entreprise doit réagir rapidement et efficacement pour éviter des pertes de données. Et une fois la brèche contenue, elle doit documenter et enregistrer l'incident, effectuer des analyses numériques et, sur la base de ces analyses, corriger les vulnérabilités et mettre en œuvre les mesures nécessaires pour empêcher par la suite de nouvelles attaques.
CS : C'est exact. Une réponse rapide, ciblée et efficace face aux incidents est d'une importance vitale pour les clients et les assureurs. Les clients veulent limiter les impacts et restaurer leurs données aussi rapidement que possible. Toutes actions qui permettent de contenir rapidement et efficacement une intrusion et de réduire d’éventuels dommages aideront les clients à reprendre leurs activités plus rapidement et avec le moins de perturbations possibles.
