“FIC2018”

Cybergaranties : quand les clients exigent des comptes de leurs fournisseurs de sécurité

0

Avec 54 % de victimes recensées parmi les entreprises britanniques l’année dernière, les rançongiciels sont en passe de devenir la plus grande menace 2016 en matière de sécurité. Cette épidémie de cybercriminalité évolue rapidement, chaque nouvelle variante de rançongiciel se montrant plus furtive et agressive que la précédente. Aussi les entreprises du monde entier cherchent-elles par tous les moyens à renforcer leur protection et à limiter les risques financiers liés aux attaques.

Depuis les débuts de la sécurité informatique, les fournisseurs de sécurité développent des produits en fonction d’un paysage des menaces qui a depuis longtemps dépassé le stade des menaces binaires. Ils prétendent être les seuls à pouvoir assurer votre sécurité, à coups d’arguments plus extravagants les uns que les autres, sans autre preuve concrète de leur bonne foi que des brochures marketing accrocheuses. Et lorsqu’une solution de protection ne remplit pas correctement son office, vous n’avez aucun recours, les fournisseurs balayant d’un revers de main toute notion de responsabilité. Pendant ce temps, ils continuent imperturbablement à lancer produit sur produit, sans offrir la moindre garantie de leur efficacité. De plus en plus de clients ont fini par se lasser de ces pratiques et, comme l’on pouvait s’y attendre, le secteur de la sécurité se retrouve aujourd’hui plongé dans une crise de crédibilité.

L’idée de garanties pour les produits de sécurité a depuis peu commencé à faire son chemin et à susciter l’adhésion des acteurs du secteur. Par exemple, une garantie contre les rançongiciels pourrait offrir une assistance financière aux entreprises qui en sont victimes afin de les aider à verser les rançons demandées. Une poignée de fournisseurs de sécurité visionnaires proposent d’ores et déjà leurs propres offres de garantie. Pour le secteur de la sécurité informatique, c’est la perspective d’une nouvelle ère dans laquelle les clients, mais aussi les avocats et les assureurs, pourront exiger des fournisseurs de sécurité qu’ils tiennent leurs promesses. Avec un peu de chance, l’époque où ces derniers déclinaient toute responsabilité quant à la fiabilité de leurs produits appartiendra bientôt au passé. Si vous êtes un fournisseur de sécurité, il vous faudra inscrire noir sur blanc toute allégation concernant vos produits, et ce, pour le bien de tous.

Pourquoi garantir une technologie ?

Tout véhicule neuf vendu est systématiquement couvert par une garantie. Il en va de même pour les appareils électroniques, les vêtements, les bijoux, les outils et la plupart des produits de la vie moderne. Et ce principe ne s’applique pas uniquement aux biens de consommation courante. Les prestations de services s’accompagnent elles aussi d’une garantie de satisfaction. Si tous ces produits et services bénéficient en standard de garanties, pourquoi n’en irait-il pas de même pour les produits et services de cybersécurité ? Qu’est-ce qui nous prouve la véracité des déclarations des fournisseurs ?

Autre point important : les dépenses mondiales en cybersécurité devraient atteindre 170 milliards de dollars d’ici 2020, une nette augmentation par rapport aux 60 à 70 milliards de dollars investis en 2015. Malgré cette hausse des dépenses, plus de 70 % des personnes interrogées dans le cadre d’un récent sondage réalisé auprès des participants de la conférence Black Hat estiment que « leur entreprise subira probablement une violation massive des données dans les 12 prochains mois ». Cela n’est pas logique. Ou peut-être que ça l’est si l’on considère les millions actuellement investis dans les cyberassurances. Quoi qu’il en soit, il est grand temps que les entreprises de sécurité apportent la preuve de l’efficacité de leurs technologies et offrent aux utilisateurs la garantie financière qu’ils méritent.

Les professionnels et responsables informatiques savent très bien que les logiciels antivirus et les outils de prévention statiques ne les protègent pas efficacement contre les attaques par rançongiciel ciblées. C’est pourquoi ils s’orientent vers des solutions de nouvelle génération. Parallèlement, ils augmentent leur couverture d’assurance, comme en témoigne la hausse des dépenses en cyberassurance.

Le point de vue des assurances

Selon Graeme Newman, Directeur de l’innovation chez CFC Underwriting, 90 % des déclarations de sinistre de ses clients sont liées à des attaques par rançongiciel. Il épluche régulièrement les « conditions d’utilisation » de 80 pages habilement rédigées par les fournisseurs de sécurité pour se soustraire à leurs responsabilités et comprend pourquoi certaines entreprises choisissent de payer les demandes de rançon. Si leur solution de sécurité était couverte par une garantie, elles seraient moins enclines à verser de l’argent aux cybercriminels.

Graeme Newman a également noté que l’introduction de cybergaranties marquait un nouveau tournant vers une reconnaissance de la valeur des pertes immatérielles, comme les données et la propriété intellectuelle. Sur ses 300 ans d’histoire, le secteur des assurances en a passé 299 à se concentrer uniquement sur les biens matériels.

Investissement dans une solution de protection

Proposer des garanties de cybersécurité est d’autant plus difficile que les pirates renouvellent sans cesse leurs techniques afin d’échapper à la détection, ce qui rend les cyberattaques toujours plus intelligentes et furtives. Elles ciblent généralement les terminaux qui, selon de récentes études, restent l’un des talons d’Achille de la sécurité informatique. Le problème est que les techniques de protection traditionnelles, comme les antivirus, ne font pas le poids face à ce type d’attaques avancées. Les entreprises s’appuient depuis trop longtemps sur des technologies dépassées, comme les antivirus, concentrant leurs stratégies de sécurité sur les menaces qu’elles connaissent déjà et non sur celles qui pourraient surgir. Comment doivent-elles donc se protéger contre des programmes malveillants en constante évolution ?

L’acquisition et le déploiement de technologies de nouvelle génération en matière de sécurité et de protection des terminaux sont non seulement coûteux en ressources, mais aussi en capitaux durement gagnés. Ces solutions ne devraient-elles pas être suffisamment efficaces pour réduire les risques d’attaques par rançongiciel sans qu’il faille en plus investir dans une assurance ? Il est temps pour les fournisseurs de sécurité de tenir leurs promesses. Finies les excuses.

About Author

Jeremiah Grossman

Jeremiah Grossman est Responsable de la stratégie de sécurité chez SentinelOne, pirate informatique professionnel, ceinture noire de jiu-jitsu brésilien, pilote de course hors route, fondateur de la société WhiteHat Security et résident de l’île de Maui à Hawaï. Il a reçu de nombreuses récompenses du secteur et a été publiquement remercié par Microsoft, Mozilla, Google, Facebook et bien d’autres entreprises de les avoir informées des vulnérabilités de leurs systèmes, une façon polie de dire « de les avoir piratées ». Il a précédemment occupé un poste de Responsable de la sécurité des systèmes d’information chez Yahoo.

Leave A Reply