Petite entreprise. Gros risques de cybersécurité. Nous continuons de voir les cybermenaces affecter les entreprises en croissance à un rythme alarmant. Selon le rapport d’enquête sur les violations de données de Verizon, 46 % de toutes les cyberattaques affectent désormais les entreprises de moins de 1 000 employés. Combiné avec le rapport surprenant d’IBM qui a noté que 60% de ces entreprises ferment leurs portes dans les six mois suivant une attaque, nous savons que le cyber est un type de risque où le gagnant prend tout. Pourtant, de nombreuses petites entreprises font peu ou rien pour se protéger avec une cyber-assurance.
Si c’est toi, j’ai un plan.
Pourquoi les petites entreprises sont-elles de grandes cibles ?
Il est utile de comprendre la réalité derrière les statistiques. Petites et moyennes entreprises sont une cible populaire car ils ont tendance à avoir une cybersécurité médiocre par rapport à leurs homologues plus grands. De nombreux attaquants veulent de l’argent, de sorte que les petites entreprises sont plus susceptibles de payer pour récupérer. D’autres veulent accéder aux données – et les petites entreprises l’ont, ainsi que l’accès à des partenaires et fournisseurs plus importants.
De nombreux propriétaires de petites entreprises pensent qu’ils volent sous le radar et qu’ils sont trop petits pour être ciblés, mais les programmes de phishing et les ransomwares sont des crimes d’opportunité et même quelques centaines de dollars de rançon sont rentables pour les cybercriminels.
Le cas de la cyberassurance
Avec de nouvelles attaques de nouvelle génération utilisant des technologies d’intelligence artificielle pour étudier et reproduire le comportement humain pour des schémas de phishing sophistiqués, les entreprises de toutes tailles sont obligées de protéger leur entreprise, leurs employés et leurs données. Et un point de départ naturel pour de nombreuses petites et moyennes entreprises est la cyberassurance.
L’assurance cyber-responsabilité protège l’entreprise des coûts élevés associés à la récupération après une violation de données ou une attaque de logiciel malveillant à un prix relativement bas. Les frais de recouvrement peuvent inclure le paiement d’une rançon. Mais également les ressources techniques nécessaires pour récupérer les données perdues et restaurer l’accès au système, la communication avec les parties prenantes, la perte de productivité due à la violation et les atteintes à la réputation.
Bien que l’assurance puisse faire la différence entre fermer vos portes et survivre à une cyberattaque, ce n’est pas une solution complète.
Le seul problème de la cyberassurance
La cyberassurance peut aider votre entreprise à se remettre d’une attaque. Mais cela ne fait pas grand-chose pour combattre les attaquants en premier lieu.
Aujourd’hui, la plupart des polices d’assurance exigent une cyber-hygiène de base pour être admissible à la couverture, comme avoir des pratiques et des plans pour garder les données sensibles organisées, sûres et sécurisées, avec une sécurité plus avancée aidant à réduire les taux. Les entreprises sont autorisées à auto-certifier leur cyberprotection. Mais les compagnies d’assurance commencent à demander des preuves objectives que les contrôles sont respectés s’ils sont marqués mis en œuvre sur un questionnaire.
Une récente article après Journal des assurances explique comment une compagnie d’assurance a refusé de payer la police après avoir déterminé que l’entreprise déposant la réclamation n’avait pas suivi ses plans de cybersécurité, permettant à une attaque de se produire.
Une solution complète pour les entreprises de toute taille comprend la cyberassurance, la protection de la cybersécurité et la formation des employés.
Un plan en trois étapes
Quiconque dirige une entreprise sait qu’il existe certaines exigences opérationnelles. La cybersécurité rejoint désormais les tâches traditionnelles telles que la gestion de la paie, l’accès à Internet et l’achat de fournitures de bureau. Développer et maintenir des pratiques de cybersécurité complètes est un must pour toute entreprise qui a des clients, des données ou des employés. En d’autres termes, chaque entreprise.
Parce que les propriétaires de petites entreprises ont tendance à porter plusieurs chapeaux et à s’impliquer dans les activités commerciales de base, ils considèrent souvent la cybersécurité comme un défi. Mais ce n’est pas obligé.
J’ai décrit un plan en trois étapes pour les petites entreprises afin d’établir une base de référence en matière de cybersécurité et de se préparer à une couverture d’assurance en matière de cybersécurité.
Étape 1 : Évaluez votre position en matière de cybersécurité.
Commencez par faire une liste de tous les matériels, logiciels et applications en ligne que votre entreprise utilise. Analysez la liste des vulnérabilités de sécurité. Cela peut inclure la façon dont vous vous débarrassez des équipements anciens et inutilisés ou la fréquence à laquelle vous installez les mises à jour logicielles. Cela pourrait également inclure les directives de mot de passe utilisées et la fréquence de sauvegarde des données. De plus, si les employés se connectent à distance aux systèmes de travail.
Étape 2 : Créez une politique de base en matière de cyberhygiène.
Avec les informations de votre évaluation, rédigez un ensemble de pratiques (les règles, les procédures, le personnel et les horaires) pour maintenir une bonne cyber-hygiène. Au minimum, il devrait inclure :
- Mots de passe : Mots de passe complexes, changés régulièrement
- Mises à jour logicielles : mise à jour régulière de tous les logiciels que vous utilisez et installation de correctifs de sécurité dès leur publication
- Mises à jour matérielles : les ordinateurs, smartphones et autres appareils mobiles nécessitent une mise à jour régulière du micrologiciel
- Gestion des nouvelles installations : tout ce qui se connecte à vos systèmes ou à l’accès à Internet doit être documenté et installé correctement. Les employés ne doivent pas télécharger d’applications ou se connecter à de nouveaux comptes sans autorisation
- Limiter les utilisateurs : seuls ceux qui ont besoin d’un accès de niveau administrateur aux programmes doivent y avoir accès
- Sauvegarde des données : toutes les données doivent être sauvegardées sur une source secondaire (telle qu’un disque dur ou un stockage en nuage) pour assurer leur sécurité en cas de violation ou de rançon.
- Un cadre de cybersécurité. Sélectionnez un cadre utilisé par votre secteur ou disponible auprès du gouvernement américain, comme le cadre de cybersécurité NIST, pour guider des normes de sécurité plus avancées. Même si vous ne vous conformez pas immédiatement à toutes les directives, ces cadres peuvent vous aider à cibler vos plans et vos investissements en matière de sécurité.
Étape 3 : Faites vos devoirs d’assurance.
Toutes les polices d’assurance cybernétique ne se valent pas. Comparez les taux et la couverture et renseignez-vous sur les facteurs qui font baisser les taux. Vous pourrez peut-être obtenir un taux d’assurance inférieur simplement en activant l’authentification multifacteur pour vos comptes de messagerie. Ou suivre des cours de formation en ligne ! Alors, recherchez des politiques avec des avantages précieux. Comme les cyber-enquêteurs aidant lors d’une attaque ou l’aide juridique pour déterminer votre responsabilité envers les clients et les fournisseurs.
la cyber-sécurité est pour chaque entreprise, et l’assurance cyber-responsabilité est rapidement devenue un élément important de la protection des petites entreprises du pays. Alors que les menaces continueront d’être difficiles, il est possible de préparer votre entreprise à y faire face avec de bonnes pratiques de cyber-hygiène.