Donner la priorité au renforcement automatisé par rapport aux cybercontrôles traditionnels, selon un rapport

La détection et la réponse aux points de terminaison (EDR), l’authentification multifactorielle (MFA) et la gestion des accès privilégiés (PAM) sont depuis longtemps les trois outils les plus couramment requis par les cyberassureurs lors de l’émission de polices, mais un rapport compilé par le Cyber Risk Analytics Centre de la société de services professionnels Marsh McLennan suggère que les techniques de renforcement automatisées sont plus efficaces que les outils traditionnels.

Le rapport établit un lien direct entre les principaux cybercontrôles que les assureurs exigent de mettre en place avant l’émission d’une police et une réduction des risques de cyberincident, et en évaluant l’efficacité relative de chacun, les analystes de Marsh McLennan croient que les organisations peuvent mieux allouer leurs ressources limitées aux outils les plus efficaces, mieux positionner leur risque auprès des assureurs et, en fin de compte, améliorer leur résilience globale.

« Tous les contrôles clés de notre étude sont des pratiques exemplaires bien connues, généralement requises par les souscripteurs pour obtenir une cyberassurance. Cependant, de nombreuses organisations ne savent pas quels contrôles adopter et s’appuient sur des avis d’experts plutôt que sur des données pour prendre des décisions », a déclaré Tom Reagan, responsable de la cyberpratique aux États-Unis et au Canada chez Marsh McLennan.

« Notre recherche fournit aux organisations les données dont elles ont besoin pour orienter plus efficacement les investissements en cybersécurité, ce qui les aide à se positionner favorablement pendant le processus de souscription de cyberassurance. Il s’agit d’une nouvelle étape vers la construction non seulement d’un marché de la cyberassurance plus résilient, mais aussi d’une économie plus résiliente en matière de cybersécurité. »

Les données du rapport comprennent l’ensemble de données de Marsh McLennan sur les cyberréclamations et les résultats d’une série de questionnaires d’auto-évaluation de la cybersécurité remplis par ses clients américains et canadiens.

Sur la base de la corrélation entre les deux ensembles de données, il a été en mesure d’attribuer une mesure de « force du signal » à chaque méthode de contrôle – plus la mesure est élevée, plus l’impact de la méthode de contrôle sur la diminution de la probabilité d’un incident est important.

Il a constaté que les organisations qui utilisaient des techniques de renforcement automatisé qui appliquaient des configurations de sécurité de base aux composants du système tels que les serveurs et les systèmes d’exploitation étaient six fois moins susceptibles de subir un cyberincident que celles qui ne l’avaient pas fait. Ces techniques incluent, par exemple, l’implémentation de stratégies de groupe Active Directory (AD) pour appliquer et redéployer les paramètres de configuration sur les systèmes.

Marsh McLennan a déclaré que c’était quelque chose de surprenant compte tenu de l’accent mis sur l’EDR, le MFA et le PAM, et bien que ces outils restent importants et utiles, le rapport a également révélé un aperçu de la façon dont ils se comparent dans la réalité.

L’authentification multifacteur, par exemple, ne fonctionne vraiment que lorsqu’elle est en place pour toutes les données critiques et sensibles, sur tous les accès possibles à la connexion à distance et tous les accès possibles aux comptes administrateurs, et même ainsi, les organisations qui l’implémentent aussi largement (ce qui n’est pas le cas de tous) ne sont que 1,4 fois moins susceptibles de subir une cyberattaque réussie. Les auteurs du rapport ont déclaré que cela montrait clairement les avantages d’une approche de défense en profondeur de la cybersécurité, plutôt que de mettre en œuvre des outils au hasard dans certains cas, mais pas dans d’autres.

Application rapide de correctifs : un chemin vers la protection

À l’inverse, l’application de correctifs aux vulnérabilités de gravité élevée – celles ayant un score CVSS élevé compris entre sept et 8,9 – dans une fenêtre de sept jours était nettement plus efficace que prévu, réduisant la probabilité de subir un cyberincident d’un facteur deux, et pourtant seulement 24% des organisations qui ont répondu aux questionnaires le faisaient.

Il a déclaré que les organisations qui mettent en œuvre des politiques de correctifs améliorées avaient de bonnes chances non seulement d’accroître leur propre résilience, mais en se comparant favorablement aux autres, pourraient devenir un risque beaucoup plus attrayant pour les cyber-assureurs.

Notez toutefois que l’application rapide de correctifs aux vulnérabilités avec des scores CVSS sévères de neuf et plus était moins efficace pour réduire la probabilité d’un incident réussi, probablement parce que les acteurs de la menace sont beaucoup plus rapides à les exploiter.

Les contrôles les plus efficaces sur les 12 étudiés étaient les suivants :

• les techniques de durcissement, qui ont réduit de 5,58 fois la probabilité d’un cyberincident réussi;
• PAM, qui a réduit la probabilité 2,92 fois;
• EDR, qui a réduit la probabilité 2,23 fois;
• Journalisation et surveillance par l’intermédiaire d’un centre des opérations de sécurité (SOC) ou d’un fournisseur de services gérés (MSP), ce qui a réduit la probabilité 2,19 fois;
• Correction de vulnérabilités de gravité élevée, ce qui a réduit la probabilité 2,19 fois.

Certains des contrôles les moins percutants, outre l’AMF, comprenaient des initiatives de formation en cybersécurité et le filtrage des courriels.

Le rapport complet de Marsh McLennan peut être téléchargé ici.