Et si nous avions trouvé la recette parfaite d’accès à la cyber assurance? Avec la CRQ de Citalid, le SIEM de Logpoint et les conseils du courtier en assurance Verspieren, vous avez déjà les bons ingrédients. Ce replay de table ronde va vous apporter quelques informations croustillantes afin de trouver l’alchimie entre ces trois composantes.
Je fêterai mes 20 ans dans la cybersécurité l’année prochaine et depuis tout ce temps je demande à mes clients : “Que va-t-il se passer si vous perdez votre système d’information suite à une attaque virale (à l’époque) ou un rançongiciel (aujourd’hui)? Combien cela va vous coûter ?” Aujourd’hui nous savons quantifier le risque cyber, investir en solutions de cybersécurité qui répondent à de réels risques immédiatement liés à votre secteur d’activité et/ou votre CA. Enfin, quand toutes les solutions techniques sont envisagées, installées, opérationnelles, une cyber assurance pourra vous soutenir en cas de sinistre.
La CRQ selon Citalid
Et si nous commencions à quantifier le risque cyber ? Avec Citalid, il ne s’agit plus de cumuler des risques rouges, verts ou bleus, il s’agit de quantifier les risques financiers. Alors les DSI, RSSI sont capables de présenter des risques financiers au Comex et prendre des décisions pragmatiques.
Les deux bénéfices majeurs de Citalid qui nous intéressent ici sont les suivants :
- Citalid propose des recommandations de cybersécurité en confrontant les modes opératoires d’attaques (MOA) avec la maturité défensive de l’entreprise. Prenons pour exemple que si APTx a pour réputation d’attaquer via “brut force” les entreprises du secteur “tourisme”, basé en “France”, faisant plus “50M€” de CA, alors si vous êtes une de ces entreprises, mettez immédiatement en place du MFA.
- Lorsque les recommandations de sécurité sont appliquées, vous réduisez vos risques, donc vos primes de cyber assurance.
Votre SIEM Logpoint pour négocier votre cyber assurance
Spontanément, je pense à vous qui êtes déjà cyber assuré mais revenons à l’origine de cette table ronde : Votre SIEM Logpoint vous aide à vous rendre cyber assurable, condition indispensable pour commencer à “discuter” avec un assureur. Pendant cette table ronde, nous avons mis en évidence que l’installation d’un SIEM peut grandement réduire votre exposition annuelle moyenne selon la terminologie de Citalid.
Quelques cas d’usage du SIEM pour “rassurer” votre cyber assureur :
- Vous pouvez centraliser tous les logs de votre entreprise et pratiquer de la corrélation d’événements, détecter des signaux faibles et mouvements latéraux.
- Prévenir l’exfiltration de données, quelle soit interne et intentionnelle par un employé soudoyé ou depuis l’extérieur.
- Détecter une attaque de ransomware et y répondre à n’importe quelle heure avec des playbooks SOAR.
- Enrichir vos logs avec des information de CTI de type IoC de différentes sources.
- Et tant d’autres…
De facto votre SIEM + SOAR + UEBA peuvent impacter vos primes d’assurance puisqu’ils adressent les risques évoqués par Diego Sainz ci-après.
Conseils de Verspieren, courtier en cyber assurance
Le constat de Diego Sainz, représentant de Verspieren est sans appel : “Avoir un SIEM aujourd’hui, pour toutes tailles d’entreprises est un critère minimal d’accession à la cyber assurance“.
La première question à se poser est de s’assurer contre quoi ? L’analyse des menaces qui ciblent nos organisations est essentielle. Quelles menaces sont connues et prises en compte par les assureurs :
- Cyber-extorsion, aussi appelé ransomware.
- Compromission des emails d’entreprise.
- Applications web externes.
- Supply chain : Compromission des sous-traitants.
- Sécurisation du Cloud, 7 entreprises sur 10 ont subis un problème de sécurité avec le Cloud en 2022.
- Menaces internes, des employés corrompus ou des erreurs de manipulation.
- Géopolitique.
Le contexte commerciale est à prendre en compte dans votre négociation. Si vous avez plusieurs contrats d’assurance chez votre assureur, RC Pro, véhicules d’entreprises, etc, l’ensemble pèsera dans la balance.
Contacts et ressources
- Citalid : https://citalid.com/ – Sébastien Hippias – 07 45 09 85 42
- Logpoint : https://www.logpoint.com/fr/ – Jérôme Vosgien – 06 75 31 82 81
- Verspieren : https://www.verspieren.com/fr – Diego Sainz – 07 88 49 65 18
- Rapport de la Direction générale du Trésor, sept. 2022.
Lexique
- CRQ – Cyber Risk Quantification, quantification financière du risque cyber.
- MOA – Mode Opératoire d’Attaque. Il s’agit d’une terminologie de l’ANSSI (il me semble) qui désigne les attaquants ou groupes d’attaquants tels que LockBit, Lazarus, APT29, etc.
- APTx – Une APT est littéralement une Advanced Persistent Threat (une menace avancée persistante). Dans l’exemple ci-dessus, APT29 est l’APT associée à Cozy Bear, un groupe d’attaquants attribué à la Russie.
- MFA – Multi Factor Authentication. C’est un système qui permet de s’authentifier sur un système ou un service avec plusieurs méthodes : 1. le mot de passe, 2. un code provenant d’une application d’authentification (par exemple). Si un robot tente des milliers de mots de passe (brut force) pour entrer sur un système, même s’il trouve le mot de passe un deuxième niveau d’authentification sera requis.