La plus grande erreur commise par les entreprises dans la d√©termination du montant de l’assurance cybers√©curit√©

Chaque propri√©taire d’entreprise esp√®re ne jamais subir de faille de s√©curit√© dans son entreprise. Cependant, √† la lumi√®re des r√©centes cyberattaques mondiales qui ont touch√© de grandes entreprises comme JBS et Colonial Pipeline, vous ne pouvez pas vous permettre d’√™tre d√©sinvolte en ce qui concerne les mesures de cybers√©curit√©. Comme le paysage num√©rique change chaque jour qui passe, vous ne savez peut-√™tre pas d’o√Ļ viendra la prochaine attaque et comment elle affectera votre entreprise.

C’est pourquoi vous devez avoir une cyber-assurance pour votre entreprise. Il peut prot√©ger votre entreprise et vous donner la tranquillit√© d’esprit en sachant que vous √™tes couvert en cas de probl√®me.

Malheureusement, les entreprises font plusieurs erreurs lorsqu’elles r√©pondent √† la question “combien d’assurance cybers√©curit√© est suffisante ?” Nous avons donc contact√© des experts en cybers√©curit√© pour savoir ce qu’ils pensent √™tre la plus grande erreur que les entreprises commettent dans la d√©termination du montant d’assurance dont elles ont besoin.

Ignorer les deux éléments de responsabilité dans une cyberviolation

L’assurance cyber devrait √™tre obligatoire pour chaque entreprise, √©tant donn√© que le risque d’attaque est presque trop certain. Cependant, de nombreuses entreprises ne r√©alisent pas que la cyber-violation pr√©sente deux √©l√©ments de responsabilit√©. Premi√®rement, ils souffrent d’une responsabilit√© de r√©putation, et deuxi√®mement, ils font face √† une responsabilit√© r√©elle en justice de la part de leurs clients et clients. Selon Matt Bullock, vice-pr√©sident des ventes techniques chez Accelera IT Solutions, la plus grande erreur que commettent les entreprises est de ne pas comprendre l’aspect r√©putationnel de la cyber-violation.

Lorsqu’une entreprise se fait pirater, elle apprend rapidement √† ses d√©pens qu’elle peut d√©penser environ 20 √† 50 % de plus que le montant du proc√®s pour reconstruire sa r√©putation. Le processus est long et demande du temps et de l’argent. D’une part, l’entreprise doit se recommercialiser et, d’autre part, elle doit expliquer en termes simples comment l’attaque s’est produite et les mesures prises par l’entreprise pour att√©nuer la violation. En outre, il doit d√©finir les mesures qu’il a mises en place pour s’immuniser contre de futures failles de s√©curit√©.

Avec ces facteurs cruciaux √† l’esprit, les entreprises doivent pr√©voir une protection financi√®re totale suppl√©mentaire de 50 % au-del√† de ce qu’elles pensent que les poursuites leur co√Ľteront.

Ne pas tenir compte du co√Ľt des temps d’arr√™t

Nick Martin, directeur des services g√©r√©s chez Mainstreet IT Solutions, affirme que de nombreuses entreprises ratent leurs objectifs financiers lorsqu’elles recherchent une cyberassurance. Ils ne prennent pas le temps de consid√©rer combien ils risquent de perdre pendant les temps d’arr√™t apr√®s une attaque. Au contraire, ils sont prompts √† compter le co√Ľt des op√©rations, les ch√®ques de paie directs des employ√©s et les avantages, sans tenir compte de la perte de ventes et de la confiance des clients.

Par exemple, si une entreprise est en panne pendant une semaine, combien de revenus estime-t-elle perdre¬†? S’ils perdent la confiance des clients, ce qui nuit aux ventes futures, faut-il envisager d’augmenter l’argent de l’assurance pour r√©parer la confiance perdue par divers efforts¬†? Ce sont des co√Ľts difficiles √† quantifier, mais ces co√Ľts ont un impact profond sur la sant√© de l’entreprise si quelque chose devait se produire. Bien que payer une assurance ne soit pas une chose agr√©able √† faire, l’avantage d’avoir cette assurance si quelque chose devait arriver a un impact profond.

Ne pas avoir la vue d’ensemble √† l’esprit

Les r√©flexions de Martin sont soutenues par Michael Anderson, fondateur et pr√©sident de 365 Technologies. Anderson dit que les entreprises oublient d’int√©grer l’image compl√®te du co√Ľt de l’interruption des activit√©s. Les co√Ľts tels que les amendes ou m√™me le paiement d’une ran√ßon, ce qui n’est pas recommand√©, sont clairs et directs.

Cependant, comprendre le co√Ľt r√©el des temps d’arr√™t potentiels peut √™tre plus complexe. Une entreprise doit tenir compte de la perte de productivit√©, du non-respect des obligations contractuelles, de la perte de r√©putation et des co√Ľts de recouvrement. En plus d’assurer une couverture ad√©quate, les entreprises doivent √©galement prendre le temps de comprendre quelles conditions peuvent s’appliquer. Avec l’augmentation des cyberattaques, les assureurs exigent que les entreprises d√©montrent qu’elles disposent de contr√īles de s√©curit√© appropri√©s avant d’√©tendre la couverture.

Troy Driver, pr√©sident de Pure IT, recommande d’aller plus loin dans l’examen des risques encourus. Une entreprise doit consid√©rer :

  • La valeur de ses donn√©es

  • √Ä quel point ces donn√©es sont-elles sensibles¬†?

  • Si le pirate prend une copie des donn√©es et la publie sur Internet, quel genre de probl√®mes cela pourrait-il causer¬†?

  • L’entreprise pourrait-elle √™tre poursuivie ?

En d’autres termes, une entreprise doit d’abord comprendre et quantifier le niveau de risque qu’elle d√©tient. Disposer d’une solide strat√©gie de gestion des risques permettra aux entreprises de d√©cider quels risques √©viter, accepter, contr√īler ou transf√©rer vers une assurance cybers√©curit√©. √Čviter le risque gr√Ęce √† des mesures de pr√©vention de la cybers√©curit√© contribuera grandement √† prot√©ger votre entreprise. Cela contribuera √©galement √† r√©duire le niveau d’assurance de cybers√©curit√© requis, d√©clare Sarah McAvoy, repr√©sentante du d√©veloppement des ventes chez CyberUnlocked.

Se remettre d’une faille de s√©curit√© peut co√Ľter tr√®s cher. En outre, les retomb√©es pourraient √™tre beaucoup plus importantes que ce qui est suppos√©. Par cons√©quent, il est toujours judicieux de parler √† quelqu’un qui comprend les risques li√©s √† la cybers√©curit√©. Ils aideront √† √©valuer quelle couverture d’assurance conviendrait √† une situation particuli√®re avant de souscrire √† une couverture.

Ne pas penser qu’ils ont besoin d’une cyber-assurance

Selon Ashu Singhal, pr√©sident d’Orion Networks, de nombreuses entreprises pensent qu’elles n’ont pas besoin d’une cyber-assurance. Par cons√©quent, ils finissent par g√©rer leurs op√©rations sans couverture, se croyant prot√©g√©s. Bryan Badger, PDG d’Integral Networks, estime √©galement que les entreprises pensent qu’elles ne sont pas la cible de la cybercriminalit√© et qu’elles n’ont donc pas besoin d’assurance.

Parfois, lorsqu’ils souscrivent √† une assurance, ils optent pour des polices qui ne couvrent pas toutes les technologies utilis√©es par leur entreprise. Par exemple, ils oublient les syst√®mes de s√©curit√©, les t√©l√©phones et les frais d’avocat. La meilleure approche pour d√©terminer la couverture dont une entreprise a besoin est de penser √† tout ce qui est li√© √† la technologie. Ensuite, consid√©rez quel serait le co√Ľt de son remplacement en cas d’attaque, dit Singhal.

Pendant ce temps, il est également crucial de calculer la franchise, qui a parfois tendance à être assez élevée, ajoute Ilan Sredni, PDG et président de Palindrome Consulting, Inc.

Mieux vaut prévenir que guérir

McAvoy estime qu’il est utile d’adopter une approche proactive en mati√®re d’assurance de cybers√©curit√©. Elle recommande que m√™me si la conformit√© n’est pas obligatoire, les entreprises devraient se prot√©ger ad√©quatement, surtout si un client d√©cide de les poursuivre pour ne pas avoir emp√™ch√© une violation de donn√©es.

Badger ajoute qu’il y a cinq choses de base que les entreprises devraient faire au minimum, m√™me si elles ne sont pas d√©j√† viol√©es.

  • Trouvez et travaillez avec un fournisseur de services g√©r√©s r√©put√©¬†: recherchez-en un qui a de l’exp√©rience pour aider les entreprises pirat√©es √† se remettre de la perte. Un tel MSP peut vous aider √† naviguer dans ce que vous devez mettre en place en fonction des besoins de votre entreprise.

  • Mettez en place un pare-feu de s√©curit√© appropri√©¬†: si vous ne payez pas d√©j√† un abonnement de licence annuel pour un dispositif de pare-feu qui inclut un service de s√©curit√©, vous n’√™tes pas bien prot√©g√©.

  • Utiliser des services de filtrage de s√©curit√© qui emp√™chent l’empoisonnement des liens

  • Impl√©mentez l’authentification multifacteur pour ajouter une couche de s√©curit√© √† toutes les connexions

  • Cr√©ez un syst√®me de sauvegarde et un plan de r√©cup√©ration √† toute √©preuve qui se concentrent sur l’objectif de point de r√©cup√©ration et l’objectif de temps de r√©cup√©ration afin de minimiser les pertes de donn√©es et les temps d’arr√™t.

Dernières pensées

La cyberassurance est cruciale pour les entreprises, en particulier dans le sillage de l’augmentation de la cybercriminalit√©. Cependant, de nombreuses entreprises n’y accordent pas beaucoup d’importance. Dans le pire des cas, d’autres ne connaissent pas les facteurs √† prendre en compte pour d√©terminer le montant d’assurance dont ils ont besoin.

La bonne chose est que travailler avec un expert exp√©riment√© en cybers√©curit√© peut vous aider √† traverser les cordes. Ils savent tout ce qui entre dans la d√©termination des primes d’assurance pour votre entreprise. Ne souffrez pas seul en silence ou ne faites pas fi de la prudence par frustration.