Keely Wilkins est une évangéliste du Bureau du directeur technique ainsi qu'une ingénieure en sécurité avant-vente en Virginie. Elle travaille dans l'industrie technologique depuis près de trente ans, détient une maîtrise en cybersécurité et diverses certifications. Keely étudie actuellement pour une Maîtrise en études juridiques spécialisée en Droit et politique de la cybersécurité. Elle s'efforce de trouver un équilibre entre transparence, prévisibilité et sécurité.
Dans cet article, Keely discute des récents changements sur le marché de la cyberassurance et de la façon dont l'adoption d'une stratégie de sécurité axée sur la prévention peut vous donner une assise plus solide dans la négociation des tarifs et de la couverture d'assurance. Cet article est la troisième partie d'une série en trois parties. Assurez-vous de lire première partie, et deuxième partie.
Les éléments qui ont retenu mon attention incluent les assureurs déclarant que le cyber n'est pas assurable, leurs dirigeants préconisant une formation technique pour les courtiers, des contrôles plus stricts sur les polices cyber et l'émission d'une obligation catastrophe pour le cyber-risque. Cela a été une période stressante pour les cyberassureurs, mais ils prennent un tournant.
Le secteur de l'assurance n'est pas prompt à changer de cap. Sa réponse à tout est calculée car elle est censée fournir une mesure de stabilité financière pendant de brèves périodes d'instabilité. Le cyber-risque est différent des autres types de risques; il doit être géré différemment. Je suis enthousiasmé par les changements qui se produisent sur le marché de la cyberassurance et par la reconnaissance du fait que la sécurité est l'instrument approprié pour atténuer les cyberrisques.
"Les assureurs d'aujourd'hui ont un rôle qui va au-delà du simple transfert de risques, aidant les clients à s'adapter à l'évolution du paysage des risques et à augmenter leurs niveaux de protection. Le résultat net devrait être moins d'événements cybernétiques – ou moins importants-pour les entreprises et moins de réclamations pour les assureurs."- Rapport Baromètre des Risques Allianz 2023
En termes simples, cela signifie s'engager à réduire les cyberrisques avec la sécurité avant de transférer le risque à l'assurance. J'ai commencé à l'appeler “sécuriser avant d'assurer”.
Il y a un graphique dans le rapport WEF: Global Cybersecurity Outlook 2023 qui offre un aperçu de l'écart entre investir dans la sécurité et l'assurance. La question posée est la suivante: "Votre organisation a-t-elle soumis une réclamation en utilisant votre police d'assurance cybernétique au cours des deux dernières années?”. Pour les organisations de 1 000 à 100 000 employés, près de 60% avaient déposé une réclamation avec succès. ” Avec succès " signifie que la compagnie d'assurance a payé la réclamation. Cela a probablement entraîné l'imposition de contrôles plus stricts à l'avenir. Environ 20% des répondants ont refusé de répondre.
Si ces organisations se concentraient sur une stratégie de sécurité axée sur la prévention, elles subiraient moins de violations et déposeraient moins de réclamations.
Un atelier de sécurité (analyse des lacunes) est la première étape. L'objectif de cette analyse est de s'assurer que les contrôles de sécurité appropriés sont déployés, que le code est à jour, que les systèmes sont corrigés et que les configurations sont correctes. Ce niveau d'évaluation aide également la direction à identifier les opportunités d'économies de coûts qui n'entraveront pas l'efficacité de la posture de sécurité. Un exemple de ceci est la consolidation des fournisseurs. Non seulement cela limite le nombre de contrats à gérer, la formation disparate nécessaire à l'équipe de sécurité et le temps perdu à essayer de gérer plusieurs tableaux de bord, mais cela peut également économiser 290 000 per par violation. Dans le rapport IBM sur le coût d'une violation de données 2022, il était indiqué qu'un environnement de sécurité complexe ajoutait 290 000 dollars de coûts par violation.
Le rapport d'analyse des écarts devrait fournir une liste hiérarchisée des changements à apporter. Cette liste comprend généralement la gestion des correctifs, les mises à niveau du code, les corrections de configuration, la micro-segmentation, la gestion des identités et les diplômés en exigences plus importantes qui prennent du temps et du budget à corriger.
Une fois l'analyse des lacunes digérée, un plan d'action doit être élaboré pour consacrer du temps, du budget et des ressources à chaque élément à traiter.
Ce processus devrait être répété chaque année pour mesurer les progrès et évaluer l'évolution des besoins.
Je ne suis pas un courtier d'assurance, je ne peux donc pas y répondre définitivement. Logiquement, si la compagnie d'assurance couvre un niveau de risque inférieur en raison de son engagement à renforcer la posture de sécurité via des méthodes préventives, je m'attends à ce que le coût soit inférieur. # Sécurisé4uinsure
Post Cyber-risque: Sécurisez avant d'assurer apparu en premier sur CyberTalk.