Dans la cybersécurité gouvernementale, l’assurance devrait être un « plan D » [Government Technology] – AssuranceNewsNet
13 juillet—Alors que les gouvernements locaux trouvent de plus en plus difficile d’obtenir une cyber-assurance abordable, certains cyber-experts les exhortent à se rappeler que ce n’est pas l’outil le plus important disponible. L’assurance n’a jamais été censée être un élément d’une stratégie plus large d’atténuation des risques, ont déclaré les panélistes lors d’une
Après tout, l’assurance entre en jeu après la catastrophe, et elle ne peut pas réparer complètement les dégâts, tout comme l’assurance automobile n’arrête pas l’accident de voiture, a déclaré un panéliste
Et lorsqu’une agence gouvernementale ou une entité d’infrastructure critique est la seule touchée, « l’accident de voiture » est largement ressenti.
« Faites de votre mieux pour ne pas être celui qui ferme la ville ou le secteur de l’énergie », a déclaré
Les agences peuvent en avoir plus pour leur argent en se concentrant d’abord sur les stratégies et les outils de cyberdéfense qui pourraient rendre les attaques réussies plus rares et leurs impacts plus doux.
« La cyberdéfense est de loin la chose la plus importante que l’on puisse faire », a déclaré Shark, bien qu’il ait noté que l’assurance était toujours utile.
Cette idée est de plus en plus ciblée et GovTech a récemment rendu compte d’un outil de modélisation des risques destiné à aider le gouvernement local à prendre ce type de décisions en matière de dépenses. Cet outil permet d’estimer les risques de perte financière liés aux cyberincidents et dans quelle mesure différents investissements dans la défense et l’assurance pourraient contribuer à réduire ces dommages.
Alors, où les gouvernements devraient-ils dépenser leur cyberargent et leur temps ?
Les discussions des panélistes ont mis en évidence plusieurs priorités clés : les évaluations de la posture cybernétique, la planification des incidents, la formation à la sensibilisation et les défenses en couches.
COMMENCER AVEC UN PLAN
Les gouvernements ont besoin d’une bonne compréhension de ce qu’ils essaient de protéger, et cela commence par un inventaire de leurs données, actifs, systèmes et stratégies actuelles, a déclaré Shark. Ils ont besoin de savoir, par exemple, combien de terminaux ils possèdent et qui peut y accéder, quelles pratiques de sauvegarde sont en place, quel type de formation continue et de certifications le personnel a suivi et si des outils sont en place pour surveiller les intrusions.
Walsh a également déclaré que les agences devraient inventorier leurs données, notamment en identifiant celles qui ont le plus besoin de protection, car elles seraient particulièrement perturbatrices, embarrassantes ou nuisibles si elles étaient rendues inaccessibles ou divulguées.
Détailler ce type d’informations peut aider les agences à identifier les lacunes à combler. Dans cet ordre d’idées, les questionnaires de plus en plus longs des cyberassureurs – qui interrogent sur les cyberpostures des agences – peuvent révéler des informations utiles, même si les candidats sont rejetés, a déclaré Shark. Il a recommandé de faire appel à un tiers pour fournir des évaluations des cyberrisques.
Les gouvernements doivent d’abord s’assurer qu’ils disposent de plans de réponse aux incidents à jour qui traitent des cyberévénements, a déclaré
Shark a recommandé de tester ces plans par le biais d’exercices sur table afin que les participants puissent découvrir des détails qu’ils ont peut-être oubliés. Par exemple, les exercices peuvent inciter les participants à réfléchir à la manière dont ils demanderaient de l’aide si un logiciel malveillant supprimait leur accès voix sur protocole Internet (VoIP) et à la manière dont ils communiqueraient avec le public si les sites Web étaient en panne.
Les plans de réponse aux incidents doivent également inclure des stratégies de sauvegarde, a déclaré Miller.
« Tout le monde dit: » Oh, oui, nous avons tout sauvegardé, tout va bien « », a déclaré Miller. « Eh bien, avez-vous suffisamment de personnel de sauvegarde ? Savez-vous combien de temps il vous faudra pour restaurer non pas un système, ni deux, mais si vous êtes victime d’un ransomware et que vous perdez 10 systèmes majeurs et que vous devez tous les restaurer en même temps, qu’est-ce que cela va impliquer? »
FORMATION ACTUALISÉE
Les bonnes approches de formation peuvent également avoir un impact significatif sur la cybersécurité, ont déclaré les panélistes.
Les gouvernements utilisent de plus en plus les technologies cloud, qui introduisent un nouvel ensemble de problèmes de cybersécurité. C’est un problème si le personnel n’apprenait qu’à protéger les configurations plus traditionnelles, les organisations doivent donc s’assurer qu’elles reçoivent une formation mise à jour, a déclaré Miller.
« Beaucoup d’employés sont lancés dans de nouveaux domaines comme la technologie cloud et la gestion des terminaux sans formation spécifique ou ils ont simplement une formation réseau traditionnelle », a déclaré Miller.
Et la formation ne s’arrête pas qu’à l’informatique. Les pirates informatiques continuent d’utiliser le phishing ou d’autres techniques d’ingénierie sociale pour obtenir des achats sur un réseau, et les agences doivent donc s’assurer que l’ensemble de leur personnel est formé sur la manière de détecter de tels stratagèmes. Shark a recommandé d’envoyer en permanence aux utilisateurs des rappels et des mises à jour d’information, et pas seulement d’offrir des formations annuelles.
LIMITES ET COUCHES
Les gouvernements peuvent également réduire les risques d’erreurs des utilisateurs. Miller a recommandé d’empêcher les utilisateurs de leurs réseaux d’accéder à des sites Web pouvant présenter des risques, tels que ceux de
L’utilisation de défenses en couches – plutôt que de se fier uniquement à une ou deux mesures – donne également à une organisation plus de possibilités d’arrêter ou de limiter une attaque, car les pirates qui parviennent à contrecarrer une défense peuvent toujours être vaincus par une autre, a déclaré Miller.
Il a également recommandé d’adopter des approches de sécurité sans confiance. Celles-ci voient les agences obliger même les utilisateurs familiers à s’authentifier avant d’accéder aux ressources de l’entreprise et limiter l’accès des utilisateurs aux seules données et systèmes dont ils ont absolument besoin, plutôt qu’à tout sur le réseau. L’objectif est de limiter la quantité de dommages que les pirates pourraient faire, même s’ils réussissaient à pénétrer le réseau.
___
(c) 2022 Technologie gouvernementale
Visitez Government Technology sur www.govtech.com
Distribué par Tribune Content Agency, LLC.