COUVERTURE D’ASSURANCE
L’assurance en cybersécurité
existe depuis un bon moment et
continue d’évoluer. Elle devient
assez coûteuse, mais lorsqu’on
considère les frais liés à une brèche
ou un incident de sécurité, elle peut
compenser une grande partie de
l’impact financier.
Avec la bonne police et une
couverture appropriée, vous
pourriez récupérer une partie des
coûts nécessaires pour remettre vos
opérations en marche. Toutefois, il
faut aussi tenir compte des données
qui ne peuvent pas être remplacées
en raison de dommages, de
chiffrement ou de vol.
Fait intéressant : les compagnies
d’assurance sont bien conscientes
des risques qu’elles prennent en
assurant des entreprises. C’est
pourquoi elles exigent maintenant
que les entreprises remplissent de
longues listes de vérification sur
les mesures de sécurité cherchant
à savoir ce que les entreprises
assurées ont ou n’ont pas en place
pour réduire les risques d’attaque.
En fonction des réponses au
questionnaire, la prime que vous
payez variera.
Les compagnies d’assurance
savent parfaitement que le
maillon le plus faible dans la
chaîne de cybersécurité est
l’humain. Elles savent que les
attaques d’hameçonnage ne se
produisent pas toutes seules.
Elles savent que les gens, parfois
négligents, peuvent commettre
des erreurs critiques menant à une
cyberattaque. Cela inclut tout le
monde, du propriétaire jusqu’au
personnel administratif.
C’est pourquoi les compagnies
d’assurance veulent savoir si des
programmes de formation ou de
simulation d’hameçonnage sont
en place dans l’entreprise qu’elles
8
Golf Business Canada
assurent. Elles savent que le moyen
le plus efficace de réduire ou de
limiter la probabilité d’une attaque
est de dispenser une formation
aux membres du personnel et
de la faire suivre de simulations
d’hameçonnage en situation réelle
qui testent la prise de conscience
des membres du personnel. Ces
outils sont les moins coûteux et
les plus efficaces pour réduire les
attaques, et figurent en tête de liste
des mesures préventives fortement
recommandées par les assureurs.
SOLUTIONS PRATIQUES QUI
FONCTIONNENT
Formation en cybersécurité (form-
ation en sécurité de l’information)
La sensibilisation à la sécurité de
l’information (InfoSec Awareness)
est une formation axée sur la
sécurité des ordinateurs et des
réseaux. Elle peut couvrir de
nombreux sujets, notamment
l’identification et la prévention
des attaques d’hameçonnage. Elle
traite aussi des rançongiciels, de
leur détection, de prévention et
des mesures de récupération. Elle
aborde également le vol d’identité,
l’ingénierie sociale, le télétravail
sécurisé, la sécurité physique, les
logiciels espions, les maliciels, et
autres.
Les employés doivent être
conscients que leurs actions,
lorsqu’ils utilisent un ordinateur,
peuvent entraîner une fuite de
données, un arrêt complet des
opérations ou une attaque par
rançongiciel. Sans formation de
sensibilisation, ils ne peuvent
pas savoir comment défendre les
réseaux et systèmes informatiques
de votre entreprise. Cette formation
est une méthode peu coûteuse,
mais à forte valeur pour réduire le
risque de cyberattaque, sans parler
de la réduction possible de vos
primes d’assurance.
Simulations d’hameçonnage gérées
Les pirates informatiques
deviennent de plus en plus
sophistiqués dans les méthodes
qu’ils utilisent pour lancer une
attaque d’hameçonnage. Ils
exploitent la cupidité, la peur et
la curiosité pour provoquer une
réaction chez un membre du
personnel qui ne se doute de rien
ou qui n’a pas été sensibilisé. Ils
jouent sur les émotions humaines
pour faire passer leurs attaques.
Il existe des courriels d’hame-
çonnage classiques, comme les
fameux « courriels du prince
nigérian », mais aussi des techniques
beaucoup plus élaborées telles
que le spear phishing, le whaling,
la compromission de courriels
professionnels (Business Email
Compromise), le vishing, le smish-
ing et le quishing.
Comme il existe tant de variantes
d’attaques, il est déraisonnable
de s’attendre à ce qu’un employé
puisse toutes les détecter et les
prévenir sans formation et sans être
mis à l’épreuve. C’est justement là
l’objectif de la gestion des attaques
d’hameçonnage.
Une simulation d’hameçonnage
est une technique proactive de
cybersécurité conçue pour tester la
résilience d’une organisation face
à ce type d’attaque. Elle consiste à
créer des courriels d’hameçonnage
simulés qui imitent des tentatives
réelles, dans le but de mesurer la
vigilance des employés et leurs
réactions.
Offrir une formation et des
simulations d’hameçonnage gérées,
de manière régulière et récurrente,
représente l’un des moyens les
plus efficaces et abordables pour
réduire les risques de cyberattaque
contre votre club.