Zurich Resilience Solutions (ZRS) est le département global au sein du groupe Zurich qui fournit des services de gestion et d'atténuation des risques aux clients de Zurich et à d'autres entreprises dans le monde entier. Face à l'ampleur du risque cyber, ZRS a réorganisé ses efforts pour aider les PME et détecter les dernières vulnérabilités. Une collaboration a été initiée avec les professeurs de l'EPFZ, David Basin et Martin Ochoa, ainsi qu'avec l'étudiante en master Silvia La, afin de déterminer, sur la base de l'origine et de la fréquence des cyberattaques, quels contrôles de cybersécurité offrent la meilleure protection aux petites et moyennes entreprises. Après les avoir recoupés avec des informations tirées de son questionnaire de souscription ainsi qu'avec des données provenant des évaluations globales de la clientèle et des cas de sinistre, Zurich a validé les contrôles identifiés dans l'étude. Bien qu'il y ait déjà eu des tentatives de priorisation des contrôles sur la base des données relatives aux attaques, l'approche novatrice de cette recherche consiste à prendre également en compte l'analyse des menaces afin d'inclure les types d'attaques les plus probables.
Le résultat est l'”Attach Technique Based Control Prioritization Model” qui, malgré son nom pouvant sembler pompeux, a un objectif simple. Utilisé avec l'évaluation optimisée du questionnaire de Zurich, il peut simuler le risque cyber pour l'entreprise concernée. Il aide également à décider quelles mesures devraient être prioritaires pour gérer le risque et quel budget est nécessaire à cet effet.
En d'autres termes, ZRS peut aider les PME à décider quels services doivent être utilisés pour répondre à des cybermenaces spécifiques. Actuellement, Zurich poursuit le développement de l'outil, sous la direction d'Andreas Schmitt, Global Cyber Underwriting Manager, afin de structurer de manière optimale la couverture de cyberassurance pour les PME.
L'étude de l'EPFZ a identifié une série de contrôles spécifiques qui, utilisés ensemble, peuvent désamorcer des centaines de types différents de cyberattaques. La sensibilisation à la cybersécurité et la gouvernance restent le premier niveau de défense, mais la surveillance des systèmes pour rester informé en temps réel de l’évolution des risques et détecter les intrusions dès qu'elles se produisent constitue le premier contrôle à la tête de cette liste, explique Vivien Bilquez. «Si vous ne remarquez pas l'attaque, les conséquences s'aggraveront d'heure en heure».
«Veillez à ce que les paramètres de protection soient correctement configurés, que les correctifs soient à jour et que les vulnérabilités soient traitées de manière appropriée», tels sont les conseils donnés par l'étude. En outre, une protection actualisée contre les logiciels malveillants permet de lutter contre ce type de menace si les collaborateurs cliquent par mégarde sur un lien qui télécharge un code malveillant.
«Les collaborateurs ne devraient pouvoir faire seulement ce qui est nécessaire dans une application», explique Vivien Bilquez. «Les privilèges d'administrateur ne doivent pas être accordés à tout le monde, comme c'est le cas dans certains secteurs. Sinon, un pirate n'aurait qu'à compromettre une seule personne pour devenir administrateur du système et de toute l'infrastructure informatique.»
Au total, les chercheurs de l'EPFZ et de Zurich ont identifié cinq cybercontrôles qui, s'ils sont tous mis en œuvre, peuvent désamorcer efficacement 66 pour cent des cyberattaques les plus probables, ainsi que dix contrôles qui, s'ils sont tous implémentés, couvrent 70 pour cent des cyberattaques les plus probables. Sur demande, nous pouvons fournir la liste des cybercontrôles aux entreprises qui souhaitent en savoir plus.
Parmi les services proposés par ZRS, il y a les formations pour s'assurer que les collaborateurs sont sensibilisés aux risques tels que les logiciels malveillants et le phishing par e-mail ou via les médias sociaux. Zurich a créé un «cyber escape game» exclusif qui simule une attaque réelle de pirates informatiques à laquelle les collaborateurs doivent réagir. Ils sont ainsi sensibilisés à la protection de l'entreprise. Cette formation de sensibilisation innovante et immersive offre une expérience unique aux collaborateurs et s'ajoute aux recommandations techniques de l'étude de l'EPFZ.
«Nous pouvons également vérifier sur le darknet si des données de connexion compromises de l'entreprise y sont apparues, car cela pourrait créer des portes d'entrée que les pirates pourraient exploiter», explique Vivien Bilquez.
Souvent, ce n'est pas l'entreprise elle-même qui est responsable du risque, mais un tier qui ne dispose pas d’une maturité cyber suffisante. ZRS est en mesure d'évaluer et de contrôler les risques liés aux prestataires de services tiers afin de s'assurer que des contrats appropriés sont en place et que les détails de leurs pratiques de sauvegarde des données soient documentés. Les entreprises peuvent vérifier en temps réel le niveau de conformité de leurs fournisseurs tiers via une plateforme unique et facile à utiliser.
«Les PME qui n'ont pas de responsable de la sécurité de l'information ou quelqu'un dans un rôle comparable devraient prendre des mesures pour attribuer ces responsabilités à quelqu'un, si possible», recommande Vivien Bilquez. «Lorsque cela n'est pas possible, les services de ZRS peuvent combler les lacunes ou compléter les efforts existants en matière de cybersécurité », ajoute-t-il. Pour les PME qui investissent dans leurprotection, le jeu en vaudra la chandelle, selon Vivien Bilquez.
«Si nous identifions les principales priorités pour une PME, nous pouvons modéliser le risque pour l'entreprise», explique-t-il. «Si nous découvrons par exemple qu'une entreprise a un risque de 20 millions de dollars en ce qui concerne les ransongiciels, un investissement d'environ 10'000 dollars pour mettre en place des contrôles peut réduire ce risque de 10 millions de dollars ou plus».