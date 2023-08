Devant le constat de vulnérabilité des petites et moyennes entreprises (PME) aux cyber-risques et le manque de ressources pour les aider à renforcer leur résilience face à ces derniers, le groupe Zurich, en collaboration avec des chercheurs de l’ETH Zurich (ETHZ), a lancé une étude sur les moyens pour les entreprises d’identifier, de manière la plus simple, les domaines nécessitant une attention particulière afin de mettre en œuvre des solutions pragmatiques et efficaces pour tenir les intrusions numériques à distance.

Le résultat de cette étude est un modèle qui priorise les moyens de contrôle de cybersécurité à implémenter, en se basant sur une analyse de fréquence et de typologie des attaques Cyber, ayant eu lieu dans le monde entier. Zurich Resilience Solutions (ZRS) va plus loin en y ajoutant une quantification de l’exposition, permettant de calculer un scénario chiffré. Cela constitue un outil majeur d’aide à la décision avec la budgétisation et la hiérarchisation des actions visant à remédier aux vulnérabilités critiques.

« C’est une tâche ardue pour la plupart des PME de faire face aux cyber-risques, » déclare Vivien Bilquez, ingénieur principal des cyber-risques chez Zurich Resilience Solutions. « C’est bien plus complexe que d’installer simplement un logiciel antivirus et de s’assurer que les pare-feu sont en place, ».

« Lorsqu’une PME commence à s’atteler à la gestion du cyber-risque, elle est souvent désorientée », a déclaré M. Bilquez. « Il leur est difficile de hiérarchiser les risques et ils hésitent à cause du coût d’implémentation. En fin de compte, ils n’entreprennent aucune action spécifique, parce qu’il n’y a personne pour les soutenir dans cet effort. Si nous identifions les principales priorités d’une PME, nous pouvons modéliser l’exposition de l’entreprise, explique ce dernier. On arrive ainsi à déterminer qu’une entreprise est exposée à un ransomware de 20 millions d’euros, et que l’investissement nécessaire pour réduire son exposition à 10 millions d’euros coûte environ 10 000 euros ».

« Il n’est pas rare de trouver des entreprises criblées de cybervulnérabilités et d’intrusions dont elles ne sont pas conscientes, » a déclaré Bilquez.

S’attaquer au problème grâce à Zurich Resilience Solutions

Zurich Resilience Solutions (ZRS) est l’ingénierie du groupe Zurich, pourvue d’une empreinte mondiale avec plus de 850 ingénieurs, et dédiée au déploiement de services de prévention pour les clients de Zurich mais aussi pour les entreprises non assurées par Zurich. Préoccupé par l’ampleur du cyber-risque, ZRS a entrepris de mettre en place une solution visant à aider les PME à identifier et quantifier les cyber-risques, en collaboration avec le professeur Davin Basin de l’ETH Z, le Dr Martin Ochoa et l’étudiante en thèse de maîtrise Silvia La.

Cela signifie que ZRS peut aider à déterminer les services qui sont les plus adaptés pour répondre aux cybermenaces spécifiques de l’entreprise, et les réaliser grâce à son équipe d’experts en risque Cyber. Zurich est en voie de développer davantage l’outil pour fournir aux souscripteurs, sous la direction d’Andreas Schmitt, Global Cyber Underwriting Manager chez Zurich, les informations dont ils ont besoin pour structurer la couverture Cyber des PME. Ce process sera particulièrement innovant dans le sens ou l’ingénierie sera une solution mise en place en amont du transfert de risque, afin d’élever le niveau de maturité d’une entreprise pour en améliorer l’assurabilité.

« Ce process sera particulièrement innovant dans le sens où l’ingénierie sera une solution mise en place en amont du transfert de risque, afin d’élever le niveau de maturité d’une entreprise pour améliorer sa résilience face à ce risque en évolution perpétuelle » déclare Danaelle Le Mao, qui dirige le département ingénierie chez Zurich France.

Comment l’étude aide à gérer le risque

L’étude de l’ETHZ a identifié un certain nombre de contrôles spécifiques qui, implémentés ensemble, peuvent atténuer des centaines de techniques de cyberattaque. Bien que la sensibilisation et la gouvernance cybernétiques restent le premier niveau de défense, la surveillance du système pour se tenir informé de l’évolution des risques et reconnaître les violations dès qu’elles se produisent est en tête de liste technique, note Bilquez. « Si vous ne savez pas que vous êtes attaqué, l’impact inévitable augmente d’heure en heure. »

« Travailler sur un projet qui a le potentiel d’aider les organisations à gérer les cyber-risques et à satisfaire les exigences de sécurité et de confidentialité dans un contexte où les menaces sont en constante évolution était extrêmement intéressant », a déclaré Silvia La. « Nous avons rapidement appris que notre solution doit être capable de modéliser les diverses exigences des organisations, car chacune est unique en termes de contrôles déjà en place et de contraintes de ressources », ajoute-t-elle.

En résumé, les chercheurs de l’ETHZ et Zurich ont identifié 5 cyber-contrôles qui, ensemble, contribuent à atténuer efficacement les 66% de cyberattaques les plus probables et 10 contrôles qui, ensemble, couvrent les 70% de cyberattaques les plus probables. Cette liste de cyber-contrôles peut être divulguée sur demande d’entreprises qui souhaitent en savoir plus.

De plus amples informations sur la façon dont ZRS peut aider les PME à gérer leurs cyber-risques sont disponibles en contactant cyber.resilience@zurich.com

Contenu proposé par Zurich