cyber insurance concept

Avantages de l’authentification multifacteur et de la cyberassurance

En 2022, le coût des violations de données a atteint un record historique, à savoir 4,35 millions de dollars (USD). Les coûts liés à la cybercriminalité devraient augmenter de 15 % par an. Les coûts qui en résultent au niveau mondial devraient atteindre 10,5 mille milliards de dollars d’ici 2025, selon un rapport de Cybersecurity Ventures. Cependant, le coût imposé par une cybersécurité faible va bien au-delà de pertes financières. Outre l’atteinte à la réputation, les entreprises sont également confrontées à une perte de confiance de la part des partenaires commerciaux et des clients, ainsi qu’à un risque juridique potentiel majeur.

Dans cet article du blog, nous aborderons l’importance d’adopter de bonnes pratiques en matière de sécurité et découvrirons comment l’authentification multifacteur (MFA) est utilisée pour lutter contre les cyberattaques, mais aussi comme une stratégie de protection complémentaire ainsi que les avantages de la cyberassurance.

De l’authentification multifacteur à la cyberassurance

La cyberassurance, ou assurance responsabilité civile cybernétique, couvre la responsabilité d’une entreprise en cas d’incident de cybercriminalité. Ce type d’incident n’est généralement pas couvert par une police d’assurance générale d’entreprise ou choses. Les entreprises souscrivent donc généralement une police d’assurance responsabilité cybernétique complémentaire pour couvrir les coûts associés à une violation de données, pouvant englober des perturbations opérationnelles, la perte de données, des frais juridiques et autres.

Tout comme une personne doit remplir certaines conditions pour obtenir une couverture d’assurance vie abordable (p. ex. coût plus élevé pour les fumeurs, que les non-fumeurs en raison des risques connus), la cyberassurance fonctionne de la même manière - c’est là qu’intervient l’authentification multifacteur. L’authentification multifacteur utilise plusieurs méthodes de vérification différentes lorsque les utilisateurs se connectent à leurs comptes et applications. Ainsi, une stratégie de sécurité avec authentification multifacteur aide à prévenir les attaques par prise de contrôle de compte et s’avère très efficace pour arrêter les violations de données relatives aux identités. Étant donné que les identifiants volés sont cités comme la méthode d’attaque initiale la plus courante (et que plus de 80 % des violations de données commencent par un mot de passe compromis), les compagnies de cyberassurance soumettent l’octroi de couvertures à  l’utilisation de l’authentification multifacteur. Autrement dit, les entreprises qui ne se plient pas à cette exigence se verront refuser la couverture d’assurance, tandis que celles qui déploient des méthodes d’authentification telles que les SMS ou les e-mails, plus faibles  que les clés de sécurité ou les notifications push, sont susceptibles d’être soumises à des primes d’assurance plus élevées.  

Une approche collaborative de la cybersécurité offre de nombreux avantages

Avec l’augmentation de la fréquence, de la gravité et du coût des cyberattaques, les cyberassureurs s’efforcent de gérer la situation. Un récent rapport du U.S. Government Accounting Office (GAO) a noté que « la stabilité des taux de prime et l’accès aux polices changent, et les assureurs commencent à prendre des mesures pour limiter leur exposition à ces pertes. » Le résultat de ce dilemme est comparable à une approche « quid pro quo » : en échange d’une cyberassurance (avec une prime raisonnable) qui offre un soutien en cas d’attaque, une organisation est tenue de créer un cadre de sécurité solide et d’appliquer les meilleures pratiques de sécurité. Le résultat est gagnant-gagnant, car il réduit les risques et augmente la probabilité d’efficacité pour les compagnies d’assurance comme pour les entreprises.

Une fois que les organisations commencent à construire un cadre de sécurité solide, les avantages supplémentaires d’une solution d’authentification multifacteur et/ou d’une cyberassurance s’imposent d’eux-mêmes. Par exemple, une tendance croissante dans les accords et les contrats commerciaux est l’exigence pour les entreprises de maintenir un certain niveau d’hygiène en matière de cybersécurité. Les cybercriminels ont tendance à considérer les petites et moyennes entreprises (PME) comme des cibles faciles, s’appuyant sur le fait qu’elles disposent de moins de ressources, de compétences plus lacunaires en matière de sécurité ainsi que de systèmes de cyberdéfense moins robustes que ceux des grandes organisations. Par conséquent, le déploiement de l’authentification multifacteur devient une mesure de sécurité essentielle pour une PME (même lorsqu’une cyberassurance n’est pas requise). Grâce à des méthodes et des politiques d’authentification robustes, l’authentification multifacteur aide à prévenir la grande majorité des attaques et est conçue pour résister aux méthodes inédites et innovantes visant à contourner les contrôles.

Les gouvernements du monde entier s’impliquent par le biais de divers mandats qui contribuent à renforcer les mesures de cybersécurité et à protéger leurs citoyens, leurs entreprises et leurs intérêts nationaux. Cette année, la Securities and Exchange Commission (SEC) américaine envisagera de mettre en œuvre des mandats de divulgation de cybersécurité pour les entreprises publiques afin d’évoluer avec les risques de cybersécurité émergents. Le fait d’exiger des divulgations sur les politiques, les procédures et la couverture de cybersécurité serait un moyen pour les entreprises de démontrer leurs bonnes pratiques de sécurité et leur gestion des risques, ainsi que pour toute personne ou entreprise d’évaluer comment une organisation peut gérer des cyberrisques croissants. Dans une approche similaire aux bonnes pratiques de cybersécurité, la loi allemande sur la sécurité informatique 2.0 adoptée en 2021 obligera légalement toutes les entreprises travaillant dans l’intérêt public particulier à mettre en œuvre des mesures de sécurité renforcées pour la détection des cyberintrusions à partir du 1er mai 2023.

L’ensemble de l’écosystème de sécurité deviendra plus résilient et mieux à même de lutter contre les menaces et d’éradiquer les risques, car les entités travaillent ensemble pour encourager une planification et une gestion plus efficaces de la cybersécurité. Fait optimiste, à mesure que cet écosystème se renforce au gré des mesures incitatives et des mandats, les cyberattaques qui causent des dommages considérables comme l’attaque par ransomware Colonial Pipeline (lancée à partir d’un mot de passe exposé) sont considérées comme les pires scénarios du passé.

Par où commencer lorsque vous réalisez qu’il vous faut l’authentification multifacteur    

Des cadres de sécurité solides sont cruciaux pour tous types et toutes tailles d’entreprises compte tenu des risques encourus, mais certains secteurs sont plus vulnérables aux cyberattaques que d’autres. Les secteurs en tête de la liste sont les services financiers, les services d’État, la santé, l’énergie, l’éducation, la vente au détail et la fabrication. Cependant, toute organisation qui stocke et gère des informations sensibles en ligne, utilise des systèmes numériques ou est hautement réglementée par des agences nationales, fédérales et internationales doit prendre la menace des cyberattaques au sérieux.

Étant donné que trouver la bonne solution MFA et le bon fournisseur peut s’avérer écrasant, une première étape essentielle consiste à évaluer vos pratiques de cybersécurité et à identifier des lacunes, des besoins ou des cas d’utilisation spécifiques à votre organisation. La MFA n’est pas une solution « universelle », il est important de comprendre les différences et de faire le bon choix. Voici les trois domaines clés à prendre en compte lors de la recherche du plus haut niveau de protection et de réduction des risques :

  • Résistance au phishing et à l’ingénierie sociale – Recherchez des méthodes et des politiques d’authentification robustes conçues pour résister au phishing, au spammage par notification push et aux attaques par échange de cartes SIM
  • Diverses préférences utilisateur et exigences d’accès - Envisagez des solutions qui offrent une large gamme de méthodes d’authentification flexibles (par exemple, la plupart des employés de votre organisation utilisent-ils des données biométriques sur leurs appareils mobiles pour s’authentifier, ou votre organisation s’appuie-t-elle davantage sur des cartes à puce d’authentification ou des clés de sécurité pour les utilisateurs, ou une combinaison de tous ces éléments ?)
  • Politiques de contrôle d’accès flexibles - Assurez la facilité d’utilisation au sein de votre organisation en choisissant une solution qui comprend des options de déploiement flexibles qui peuvent être configurées pour répondre aux besoins d’accès basés sur les utilisateurs et/ou les rôles au sein de votre entreprise

Avec l’augmentation massive des cyberattaques dans le monde entier, les organisations doivent envisager d’investir dans une solution MFA solide et sécurisée avec un partenaire spécialisé adapté à toutes les tailles d’organisations dans divers secteurs verticaux. Non seulement il est important d’avoir une solution facile à déployer, à gérer et à utiliser, mais elle doit également répondre aux exigences qualifiantes pour obtenir une cyberassurance et notamment contribuer à maintenir un niveau de primes abordables.

Pour en savoir plus sur le rôle que joue l’authentification multifacteur dans la cybersécurité et son importance dans la sécurisation de la cyberassurance, lisez notre livre blanc :Comment réduire les primes de cyberassurance et améliorer la sécurité grâce à l’authentification multifacteur.

Eric Williams est architecte de solutions senior chez HID Global où il travaille directement avec les clients pour comprendre les meilleures solutions pour leurs besoins. Il a plus de 20 ans d’expérience dans l’industrie dans des entreprises telles que AT&T Research Labs et Yahoo ! Dans la musique, où il a travaillé dans l’ingénierie des systèmes et des réseaux. Avant de rejoindre HID, il a occupé un poste de VP ou d’opérateur pour une start-up basée en Asie. Il a rejoint HID en février 2016 en tant que membre de l’équipe d’ingénierie avant-vente travaillant dans la gestion et l’authentification des identités. Il apporte son expérience directe aux défis du monde réel.