Si votre entreprise désire obtenir une police d'assurance en Cybersécurité, ce que nous conseillons fortement à toutes PME, votre futur assureur vous demandera de respecter certaines règles de base en sécurité informatique.
Quoique cette liste ne soit pas exhaustive, voici 11 points importants qui sont systématiquement demandés par la plupart des assureurs pour vous qualifier.
***Important***, l'authentification à doubles facteurs (MFA) pour vous connecter à votre entreprise de l'externe via VPN et/ou à toutes ressources contenant des informations sensibles n'est plus une option et la non-conformité peut engendrer le refus systématique du renouvellement de votre cyberassurance.
01 - Atténuation des attaques de déni de service distribué.
Matériel informatique ou solutions informatique en nuage utilisés pour filtrer et bloquer le trafic malveillant associé à une attaque par déni de service distribué tout en permettant aux utilisateurs légitimes de continuer à accéder au site Web de l’entité ou à ses services en ligne.
02 - Authentification à deux facteurs.
Quand un utilisateur s’authentifie par deux moyens lorsqu’il ouvre une session à distance dans un système informatique ou un service en ligne. Ces deux moyens sont typiquement un mot de passe et un code généré par un dispositif de jeton physique ou un logiciel.
03 - Filtrage de contenu d’Internet.
Le filtrage de certaines pages ou de certains services Web jugés comme potentiellement menaçants à la sécurité d’une organisation. Par exemple, des sites Internet reconnus comme malveillants sont typiquement bloqués à l’aide d’une forme de filtrage de contenu d’Internet.
04 - Filtrage des courriels.
Logiciel utilisé pour balayer et catégoriser les courriels entrants et sortants afin de filtrer les pourriels et autre contenu malveillant.
05 - Balayage de vulnérabilité.
Tests automatisés conçus pour sonder les systèmes ou les réseaux informatiques et déceler la présence de vulnérabilités connues qui permettraient à des auteurs de cybermenaces d’obtenir un accès à un système.
06 - Formation de sensibilisation des employés.
Des programmes de formation conçus pour accroître la sensibilisation des employés en matière de sécurité. Par exemple, les programmes peuvent être axés sur le moyen d’identifier des courriels d’hameçonnage potentiel.
07 - Pare-feu de périmètre.
Des solutions de matériel informatique utilisées pour contrôler et surveiller le trafic du réseau entre deux points selon des paramètres prédéfinis.
08 - Renseignements personnalisés de menaces.
La collecte et l’analyse de données provenant de renseignement de sources ouvertes (OSINT) et de sources du Dark Web pour fournir aux organisations des renseignements relatifs aux menaces cybernétiques et aux auteurs de ces cybermenaces.
09 - Sécurité des terminaux.( antivirus et EDR)
Logiciel installé sur les ordinateurs individuels (terminaux) qui utilise l’analyse basée sur le comportement et la signature pour identifier et arrêter les infections par maliciel.
10 - Surveillance du réseau.
Un système qui utilise un logiciel, un matériel informatique ou une combinaison des deux et qui surveille constamment les problèmes de performance et sécurité du réseau d’une organisation.
11 - Système de détection d’intrusion.
Une solution en matière de sécurité qui surveille l’activité sur les systèmes ou réseaux informatiques et génère des alertes quand elle détecte des signes d’un danger émanant d’auteurs de cybermenaces.
Pour de plus amples informations au sujet de votre cybersécurité, nous vous invitions à prendre rendez-vous avec l'un de nos conseillers en suivant ce lien : https://calendly.com/connextek-ventes