Helvetia et la plateforme de Bug Bounty Gobugfree s'associent pour protéger les PME
Helvetia et la plateforme de Bug Bounty Gobugfree ont conclu un partenariat. Dans ce cadre, les programmes de chasse aux bugs s’adressant à la communauté de Gobugfree visent à surmonter le premier obstacle à la conclusion d'une cyberassurance: atteindre la protection de base en matière de cybersécurité. Tobias Seitz d'Helvetia et Christina Kistler de Gobugfree expliquent comment les PME peuvent en profiter.
Helvetia et le fournisseur suisse de programmes de bug bounty Gobugfree s’allient contre la cybercriminalité. Les entreprises ont annoncé un partenariat visant à aider les PME à se protéger contre les cyberattaques. Concrètement, la compagnie d'assurance veut, grâce à cette collaboration, aider sa clientèle d'entreprises à découvrir et à combler les failles de sécurité effectives de manière ciblée, indique un communiqué des deux entreprises.
Selon les termes des deux partenaires, une cyberprotection optimale est «une combinaison équilibrée de mesures de sécurité informatique et de couverture d’assurance contre les cybermenaces». L'assurance couvrira le risque résiduel si, malgré toutes les mesures de sécurité, une cyberattaque parvient à percer les défenses. Dans ce cas de figure, un dommage de plus de 100'000 francs peut rapidement survenir. Et en cas d’attaques graves avec vol et/ou chiffrement des données, la somme peut atteindre des millions de francs, rappellent Helvetia et Gobugfree.
«Par exemple, en cas de cyberincident, les frais relatifs à l'analyse du sinistre, au conseil juridique, la restauration des données et des systèmes ainsi qu'aux pertes de bénéfices suite à une interruption d'activité sont pris en charge», explique Tobias Seitz, responsable Underwriting Assurances techniques région Est chez Helvetia, contacté par nos collègues alémaniques. Et d'ajouter que les éventuelles prétentions de tiers sont également couvertes. En cas de sinistre, l'entreprise couverte aura accès à un réseau d'experts dans les domaines de la cybersécurité, de la gestion de la communication et du droit.
Première exigence: la protection de base
Une PME qui souhaite souscrire une cyberassurance doit toutefois pouvoir justifier d'une certaine protection de base. En raison de cette exigence, il arrive régulièrement, selon le communiqué, que des demandes doivent être refusées. Helvetia ne peut pas donner de chiffres précis. «Mais il pourrait s'agir de près de 10% des demandes, dixit Tobias Seitz qui ajoute que dans les polices d'assurance cyber d’Helvetia, les exigences de base sont définies comme des obligations qui s'inspirent fortement des recommandations du NCSC et constituent une bonne base pour se protéger contre les cyber-risques.
Parmi les exigences les plus importantes d’Helvetia, citons notamment la désignation d'un responsable informatique, la sensibilisation régulière des collaborateurs aux cyber-risques, une sauvegarde quotidienne ainsi qu'un stockage sûr des données, ou encore l’élaboration d’un bilan de la situation avec recommandations d'action. C'est là que le partenariat avec Gobugfree intervient. L'entreprise de cybersécurité assiste les PME en leur proposant un bilan de sécurité appelé «community bugtest» pour évaluer l’état des mesures de sécurité informatique, indique le communiqué.
«Contrairement à un programme de bug bounty, il n'y a pas de primes (bounty) en tant que telle dans un test de bug communautaire», explique Christina Kistler, Chief Commercial Officer chez Gobugfree, contactée par notre rédaction alémanique. Lors de ces tests, des experts en sécurité de la communauté recherchent des failles de sécurité potentielles dans les systèmes durant un certain laps de temps (en général deux ou quatre jours, selon la complexité du système), ajoute Christina Kistler. Les vulnérabilités trouvées sont systématiquement décrites et évaluées, et des recommandations d'action sont établies. L'objectif est d’identifier d’éventuelles portes d'entrée pour les attaquants.
Afin de s'assurer que les mesures recommandées sont mises en œuvre de manière efficace et performante, Gobugfree propose des conseils techniques pour l'interprétation des recommandations d'action. «Nous aidons les entreprises à hiérarchiser les vulnérabilités et les recommandations d'action identifiées en fonction de l'urgence et du risque, de sorte que les ressources limitées puissent être utilisées de manière optimale», explique Christina Kistler. Après avoir mis en œuvre les recommandations d'action, les PME pourraient à nouveau effectuer un test de bug communautaire. Alternativement, elles pourraient aussi lancer un programme complet de bug bounty afin d'évaluer l'efficacité des mesures et de recevoir, le cas échéant, d'autres propositions d'amélioration. «Nous nous assurons ainsi que les mesures de sécurité sont mises en œuvre durablement et avec succès dans l'entreprise», poursuit la Chief Commercial Officer de Gobugfree.
En principe, un programme de bug bounty peut aussi être rentable pour les PME, explique Christina Kistler, notamment par rapport aux contrôles de sécurité traditionnels comme les tests d'intrusion. Cela s'explique par le fait que les récompenses ne sont versées que pour les vulnérabilités réellement identifiées. Elle ajoute toutefois: «Les PME avec une surface d'attaque plus faible ou des systèmes informatiques moins critiques pourraient constater qu'un programme complet de bug bounty n'est pas la solution la plus rentable et miser plutôt sur d'autres mesures de sécurité - comme un Vulnerability Disclosure Program ou des tests de bug communautaires récurrents».
Les limites de la cyberassurance
Avec ces préparatifs, plus rien ne devrait s'opposer à la conclusion d'une cyberassurance. Il faut toutefois garder à l'esprit que la couverture est parfois limitée. En cas d'attaque par ransomware, quelques points sont ainsi à prendre en compte. «Les paiements de rançon sont certes assurables jusqu'à une certaine limite par le biais de la cyberassurance. Mais un éventuel paiement ne doit jamais être effectué de manière autonome, et doit impérativement être discuté entre le client, l'autorité/la police et Helvetia», souligne Tobias Seitz. «En principe, l'objectif ne doit jamais être d'entrer en matière sur des demandes de rançon, ajoute-t-il. Cela revient à soutenir directement des organisations criminelles, ce qui est absolument contre-productif, car cela ne fait que renforcer ces agissements. De plus, il n'est jamais garanti que le paiement de la rançon aboutisse à l'objectif souhaité». C'est pourquoi, en cas de chantage, toutes les autres options sont d'abord examinées. Jusqu'à présent, Helvetia et ses clients assurés ne sont jamais entrés en matière sur ce type de revendications.
