Beaucoup de choses ont changé depuis 2015, lorsque la cybersécurité était perçue principalement comme un centre de coûts pour la plupart des entreprises. « Chez S&P Global Ratings, nous continuons de considérer le cyberrisque comme l’un des plus grands risques structurels ayant un impact croissant sur le paysage financier dans les années à venir », déclare Simon Ashworth, directeur analytique en assurance chez S&P Global Ratings, lors d’un récent webinaire organisé par l’agence de notation dans le cadre de la quatrième édition de son Annual Cyber Risk Seminar.

Les risques émergents depuis lors incluent les logiciels malveillants NotPetya et WannaCry de 2017, où de nombreuses entreprises ont été touchées par des programmes se propageant de dispositif en dispositif de manière « vermifuge », ce qui n’était pas courant pour les logiciels malveillants auparavant, explique le responsable de la cybersécurité chez Gallagher Re, Ed Pocock.

« Je pense que d’autres acteurs de ce type de menaces ont vu cela et se sont dit que “je peux le faire”. Cela a vraiment lancé une vague de rançongiciels que nous avons observée à partir de 2018 », ajoute-t-il. Selon lui, cette tendance a été encore favorisée par la montée des cryptomonnaies, qui a permis aux groupes de pirates informatique de déplacer de l’argent à distance et avec moins de risques d’être attrapés.

« Tout cela a entraîné d’importants changements. Les investisseurs en sont conscients, les conseils d’administration en sont conscients, la haute direction en est consciente, les chaînes d’approvisionnement en sont conscientes de l’importance de la cybersécurité et, surtout, des dommages qu’elle peut causer aux organisations tant sur le plan financier que sur le plan de la réputation si elle n’est pas bien gérée. »

Votre CISO est probablement épuisé

Et bien que l’investissement dans la cybersécurité augmente toujours globalement, le tableau qu’ils dressent, décrivant les préoccupations et les responsabilités du responsable de la sécurité des systèmes d’information (CISO) ou du directeur de la sécurité (CSO), est intimidant. En effet, ils soulignent que la durée moyenne en poste pour un CISO n’est que de 18 à 24 mois.

« Dans l’ensemble, les CISO ont plutôt du mal, n’est-ce pas ? Non seulement ils ont dû naviguer à travers un changement fondamental de la façon dont les gens travaillent en 2020 », déclare M. Pocock, « mais ils doivent aussi s’adapter à un autre changement fondamental de la manière dont les gens travaillent avec le passage au cloud par rapport aux réseaux traditionnels. Ces deux grandes choses se produisent en même temps et c’est avant même qu’ils commencent à répondre à toutes les questions sur la manière dont l’intelligence artificielle (IA) va influencer l’entreprise à l’avenir. »

Ces cadres se retrouveront également responsables des conséquences lorsque des outils adéquats ne sont pas fournis aux employés — M. Pocock souligne que si ces outils ne sont pas fournis, les employés s’arrangeront pour utiliser les outils qui leur conviennent, qu’ils soient sécurisés ou non. La sécurité des applications mobiles, par exemple, est aujourd’hui la deuxième caractéristique la plus importante du cyberrisque qui influence la probabilité qu’une entreprise dépose une réclamation, dit-il.

Il y a aussi le dilemme perpétuel entre sécurité et facilité d’utilisation. « Les coûts de l’erreur sont plus élevés qu’auparavant », ajoute M. Pocock. « Jusqu’à quel point dois-je assurer la sécurité ? À quel point dois-je le rendre utilisable ? » demande-t-il. « Si vous vous trompez maintenant, il est plus facile que jamais pour les employés de passer outre. »

De plus, ajoute-t-il, il peut y avoir des implications juridiques. « C’est difficile pour les CISO, car ils ne sont pas toujours responsables des choses dont ils devraient être responsables », dit-il. « La haute direction doit en être consciente dans la prise de décision et doit soutenir le CSO et avoir la responsabilité dans l’ensemble de l’organisation pour identifier les processus qui pourraient entraver de bonnes pratiques en matière de sécurité. En assurance, nous allons examiner ces données également. »

Cependant, l’assurance s’est avérée frustrante pour les responsables de l’information et de la sécurité qui sont confrontés à des entreprises qui opèrent aujourd’hui et font des hypothèses basées sur des ensembles d’informations externes qui peuvent être obtenus sans demander l’accès, et qui peuvent être interprétées de manière erronée, disent-ils. Des constatations spécifiques peuvent en réalité ne pas entraîner de changement matériel dans le profil de risque de l’organisation, ou elles ont peut-être déjà été prises en compte et atténuées par des contrôles de telle sorte qu’elles pensent que le risque n’existe plus, par exemple.

« Du point de vue de l’assurance, nous allons bien sûr utiliser tous les outils dont nous disposons pour obtenir les informations dont nous avons besoin pour prendre une bonne décision. Il n’y a qu’un certain nombre de questions que nous pouvons poser dans un questionnaire et il n’y a qu’un certain temps que nous avons lors des réunions de souscription. De plus, c’est un ensemble de données utile, n’est-ce pas ? Car ce sont les mêmes données que les attaquants utilisent pour choisir leurs cibles. »

Pour les compagnies d’assurance, il suggère donc de fournir ces informations aux CISO pour les aider à mieux quantifier les décisions d’investissement qui seraient autrement difficiles à justifier sans elles. Il recommande également d’avoir des directives strictes en matière de souscription et un circuit de rétroaction clair entre la souscription et les réclamations.