Ces mythes qui peuvent tuer votre compagnie

Mythe 4 : Mais nous avons déjà une cyber-assurance.

Premièrement, Félicitations. C’était la bonne chose à faire.

Cependant, ce n’est pas une fin en soi. Je vais reprendre ma comparaison habituelle, où je substitut une cyberattaque à un incendie. L’assurance, dans ce cas-ci, ne vous paiera qu’après le sinistre. Est-ce que ce n’est pas un peu tard? Sans calculer que des vies peuvent être détruites en chemin.

C’est comme dire que puisque vous avez une assurance-vie, vous n’avez plus à prendre soins de vous. L’important c’est de rester en vie.

Est-ce que l’assurance est nécessaire, je le crois, est-ce que cela doit constituer l’entièreté de votre stratégie de cyberdéfense. Non.

Le but d’une cyber-assurance

Il est important, lors de la création d’une stratégie de cybersécurité, de bien comprendre la raison d’être de chaque composante.

Dans le cas de l’assurance, le but est de vous servir de filet de sécurité en cas d’incident. Pour vous aider à faire face aux frais imprévus en cas de brèche ou de rançongiciel.

Mais surtout, il est important de bien comprendre qu’en aucun cas, une cyber-assurance n’allège votre responsabilité et votre imputabilité. Dépendant de votre contrat, il se peut même que vous deviez prouver que vous avez tout fait pour vous protéger avant même que la couverture soit approuvée.

Il faut également situer la cyber-assurance dans le temps. Elle interviendra après un cyber-incident. Elle ne vient pas réduire votre risque ou les chances d’être attaqué.

Comme je le dis souvent : l’assurance vous donnera un chèque une fois que la maison aura brûlé. Elle ne préviendra pas la maison de passer au feu ni de vous réveiller si la fumée est détectée.

Les conditions de votre police

Comme je viens de le mentionner, certaines polices vont exiger une analyse en profondeur de votre situation actuelle avant d’accorder une protection cyber.

Parmi ces critères, nous retrouvons :

• Est-ce que les appareils de votre environnement sont protégés par un antivirus, ou par un EDR (Endpoint Detection & Response) ou les deux?
• Est-ce que vos sites sont protégés par des pare-feux?
• Est-ce que vous faites des tests d’intrusions annuels?
• Est-ce que vous avez une équipe de télésurveillance qui collige et analyse les événements de cybersécurité?
• Est-ce que vos services infonuagiques sont protégés?

Comme vous le voyez, avant même d’accepter de vous protéger, les assureurs doivent établir votre niveau de risque. Vous pouvez comparer ceci au processus lors de la mise en place d’une assurance-vie, est-ce que vous êtes en santé, faire un bilan, et est-ce que vous avez de saines habitudes de vie. Même principe.

Le plan en cas de sinistre

Donc, en cas d’incident, votre plan agira en tant que votre guide. À ce moment, vous serez très heureux d’avoir une assurance, car cette dernière sera, dépendant de votre contrat, un soutien important.

À ce point, je vous inviterais donc à valider, qu’est-ce qui est inclus dans votre contrat d’assurance?

Est-ce que vous avez les réponses aux questions suivantes?

• Avez-vous accès à une cellule de gestion de crise?
• Est-ce que votre protection couvre les services de négociateurs?
• Est-ce qu’elle couvre une firme de relation publique pour gérer l’impact à votre réputation?
• Est-ce que le service couvrira les besoins en services professionnels T.I. et du nouveau matériel requis pour reconstruire votre environnement?
• Quel est le budget maximal pour ces services?
• Quelle est la politique de l’assureur concernant le paiement des rançons?
• Quel est le délai entre l’appel à l’aide et l’intervention des équipes tactiques?

Une fois ces questions répondues, vous devez être en mesure d’écrire votre plan, et de le pratiquer, régulièrement, avec votre équipe de gestion. Il faut que les contacts soient connus, que vos gestionnaires sachent ce qui doit être fait en cas de cyber-sinistre.

La réputation de votre assureur

J’espère également que vous avez fait vos devoirs en choisissant votre assureur. La réputation et les commentaires de leurs clients existants peuvent vous en dire beaucoup sur leur façon de faire.

Voici quelques questions, pour être en mesure de vous aiguiller :

• Est-ce qu’il est reconnu comme étant un bon payeur?
• Est-ce qu’il y a beaucoup de recours entre ces anciens clients et l’assureur?
• Est-ce qu’il est reconnu comme réactif et soutenant ces clients en cas de sinistres?
• Est-ce que ces conditions ont changé fréquemment dans les dernières années?
• Lors de l’analyse de ces changements, est-ce que vous jugez que c’est dans l’intérêt des clients, ou pour limiter le risque de l’assureur?
• Est-ce qu’il existe des témoignages clients qui démontrent l’efficacité du service en cas de désastre?

Ces points vous indiqueront à quel point vous pouvez compter sur votre assureur.

Ceci vous indiquera également quel genre de fonds d’urgence vous aurez besoin en cas de désastre. Si vous ne pouvez compter sur un service rapide et un paiement rapide de votre assureur, vous devrez faire face à ces frais seul, et ensuite vous battre pour récupérer votre argent.

Pourquoi prévenir plutôt que guérir

Donc que faire?

Je vous propose donc le remède que nos grands-mères prônent depuis de nombreuses années. Prévenir plutôt que guérir. La meilleure façon de survivre à une crise cardiaque? Ne pas en avoir, faire attention, manger sainement et faire de l’exercice régulièrement.

Comment appliquer ceci à la cybersécurité?

L’idée est d’abord d’obtenir de la visibilité sur ce qui se passe dans votre environnement. Nous recommandons de commencer par protéger vos appareils.

Pourquoi les appareils?

• Parce que si vos identifiants se font dérober, cela arrivera via vos appareils
• Si vos données sont exfiltrées, cela sera fera via un appareil
• Si un cybercriminel découvre votre mot de passe et devient administrateur de vos services, cela se fera également à travers de l’un de vos appareils.

Voici ce que nous offrons, et vous pourrez surement en trouver un équivalent. Notre vision reste Éradiquer la cybercriminalité dans la prochaine décennie, donc que vous arrêtiez les cybercriminels avec nos services ou ceux d’une autre compagnie semblable, peu importe : Tant que vous êtes protégé.

Nous offrons le Garde Sparte, notre offre logiciel + service, qui augmente les solutions de cyberdéfenses de Microsoft, et nous implantés comme votre équipe de cyber-défenseur.

Comme je le répète fréquemment, c’est comme si nous déployons un détecteur de fumée sur chacun de vos appareils, et si l’un d’eux sonne, l’alerte arrive dans notre centrale d’alarmes, nous devenons vos premiers répondants.

Vous souhaitez savoir si vos appareils sont sécuritaires? Je vous offre notre formulaire pour obtenir un score de sécurité de base, en 10 questions. Cela vous prendra moins de 10 minutes et c’est totalement gratuit. Voici le lien : https://bit.ly/InMS-10QFR        

N’hésitez pas à commenter et à me contacter! J’ai très hâte de vous lire.