Secu
Quand les assureurs préfèrent Apple et Cisco pour la cybersécurité
Par Jacques Cheminat, publié le 07 février 2018
L’initiative est originale. Cisco et Apple s’associent avec l’assureur Allianz et au courtier Aon pour réduire les primes d’assurance si les clients utilisent leurs produits.
La cyber-assurance est en plein développement. Face aux différents évènements de sécurité et aux contraintes réglementaires, les entreprises cherchent à se protéger au maximum des risques. Dans ce cadre, les assureurs, fidèle aux règles prudentielles, cherchent à minimiser ces risques en analysant les différentes solutions mises en œuvre. Jusque-là, les entreprises avaient le choix de leurs équipements de sécurité.
Un package matériel et audit pour des primes réduites
Cette liberté est en péril avec l’accord signé entre Apple et Cisco avec l’assureur Allianz et le courtier Aon. Ces derniers vont proposer des primes réduites pour les sociétés choisissant en priorité les solutions de défense de ransomware de Cisco ou les iPhone, iPad ou Mac d’Apple. Motif de ce choix : « le niveau de sécurité supérieur » précisent l’ensemble des parties de l’accord.
Dans ce partenariat, un package comprend également un audit sur la résilience des entreprises en cas d’attaque, réalisé par les consultants d’Aon. Le service intègre par ailleurs une offre de réponse aux incidents si les pirates ont réussi à infiltrer le système d’information.
Un écosystème sensible aux failles
Au-delà de l’effet d’annonce, cette association interroge sur la principale raison : un niveau supérieur de sécurité. Le risque zéro n’existe pas en matière de sécurité informatique. Sur le papier, il est vrai que les produits Apple, du fait d’un OS propriétaire et d’une place de marché très contrôlée, sont relativement plus sûrs que les terminaux Android. Pour autant, l’écosystème Apple n’est pas à l’abri de failles de sécurité, comme le rappelle les vulnérabilités Spectre et Meltdown.
Pour Cisco, ce partenariat intervient au moment où une vulnérabilité critique (niveau 10 en matière de gravité) a touché la suite ASA (Adaptive Security Appliance) présente sur plusieurs équipements de sécurité du constructeur.
Parier sur l’humain
Enfin, il ne faut jamais oublier que la principale faille de sécurité au sein de l’entreprise est l’humain et non le matériel. Une mauvaise configuration d’un espace de stockage sur AWS, une erreur de code, un clic sur un mail ou un lien corrompu, le téléchargement d’une application, les exemples sont nombreux. Les cyber-assureurs pourraient indexer les primes aux formations de sensibilisation sur les questions de sécurité auprès des employés.
La sécurité informatique est un tout : formation, prévention, protection, détection, réparation. Les assureurs vont devoir prendre en compte l’ensemble de ces éléments pour établir des contrats de cyber-assurance. Les équipementiers et les constructeurs font partie de l’équation, mais ils ne sont en rien l’alpha et l’oméga de la sécurité.