Des exclusions liées aux CVE

Des compagnies d’assurance testent de nouvelles stratégies pour responsabiliser leurs assurés, notamment en limitant les paiements si une attaque exploite une faille connue mais non corrigée (CVE, pour Common Vulnerabilities and Exposures).

Parmi les approches envisagées :

• une échelle de responsabilité basée sur l’ancienneté de la faille non corrigée,
• ou un seuil de temps (ex. : X jours) au-delà duquel la non-correction d’une faille critique pourrait entraîner une réduction voire une annulation de l’indemnisation.

Ces pratiques, appelées exclusions CVE, ne sont pas encore largement répandues, et sont principalement observées en dehors des États-Unis.

Un marché en mutation

Si la demande d’assurance cyber continue d’augmenter, créant un marché favorable aux vendeurs, ces exclusions pourraient devenir plus fréquentes.

Depuis les attaques massives comme NotPetya, qui ont mis en difficulté les assureurs, ces derniers cherchent activement des moyens de réduire leur exposition au risque collectif. Cela a déjà conduit à un renforcement des clauses d’exclusion pour « actes de guerre » dans les contrats, et à une utilisation croissante des données de cybersécurité des assurés pour évaluer les risques.

Une exigence difficile à tenir

Mais demander aux entreprises de corriger toutes les failles critiques dans un délai court est peu réaliste. En 2025, on prévoit que plus de 46 000 vulnérabilités seront publiées, contre environ 40 000 en 2024 (source : NVD). Parmi elles, 30 % auront une sévérité élevée ou critique (CVSS ≥ 8.0).

Que faire ?

Nous recommandons aux entreprises de vérifier avec leur courtier si une clause d’exclusion CVE est présente dans leur contrat. Le cas échéant, soit vous devez avoir une politique de patching très efficace, soit vous devriez envisager de changer d’assureur.

L’article Les assureurs cyber pourraient limiter les indemnisations en cas de failles non corrigées est apparu en premier sur IRONIE.

Une préparation en amont

Il ne suffit pas de constituer une cellule au moment de l’attaque. Sa mise en place doit être planifiée bien avant toute situation de crise. Selon les recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), cette cellule doit faire l’objet d’une définition claire : composition, rôles de chacun, remplaçants, circuits de communication, procédures de déclenchement, processus de décision, … La liste des préparatifs est longue. Tous ces éléments doivent être formalisés dans des plans de gestion de crise, testés régulièrement et intégrés aux exercices de simulation. Une activation efficace dépend d’une organisation rôdée, où chaque acteur sait précisément ce qu’il doit faire.

Une approche structurée et scénarisée

Pour garantir l’efficacité de la cellule de crise, il est essentiel de s’appuyer sur des scénarios-types modélisés à l’avance. Ces scénarios permettent de structurer la réponse selon différents types d’attaques (ransomware, fuite de données, sabotage, etc.) et de déterminer les étapes critiques à suivre dans chaque cas. Cette modélisation évite que la cellule n’agisse dans la confusion ou l’urgence désorganisée, et permet de garder le contrôle, même en situation de stress élevé. L’objectif est d’assurer une prise de décision rationnelle et rapide, tout en réduisant au maximum les marges d’erreur.

Un fonctionnement transversal et coordonné

La cellule de crise ne se compose pas uniquement de professionnels de la cybersécurité. Elle mobilise des compétences diverses : direction générale, responsables métiers, finance, experts techniques, juristes, communicants, etc. Cette transversalité garantit que toutes les dimensions de la crise sont prises en compte : continuité d’activité, communication interne et externe, obligations réglementaires, achats, enjeux d’image, etc. La coordination entre ces différents profils est essentielle. Cela implique des canaux de communication préétablis, une répartition claire des responsabilités et une capacité à filtrer, recouper et synthétiser l’information pour faciliter les arbitrages.

Le cœur de la résilience numérique

En cas d’incident, la cellule joue un rôle de filtre et de pivot. Elle permet de canaliser les flux d’informations parfois contradictoires qui circulent lors des premières heures d’une attaque, de prioriser les actions, et de fournir à la direction des éléments clairs et synthétiques pour la prise de décision. Elle agit comme un centre nerveux temporaire de l’organisation, capable d’absorber le choc, de contenir la propagation de la crise et de piloter le retour à la normale.

Un investissement stratégique

Mettre en place une cellule de crise cyber n’est pas une option pour les entreprises soucieuses de leur continuité d’activité. C’est un investissement stratégique dans leur capacité à résister aux perturbations majeures. Les entreprises qui ont pris le temps de structurer cette réponse, de former leurs équipes et de tester leurs dispositifs sont bien mieux armées pour faire face à la complexité des attaques actuelles. Elles montrent aussi à leurs partenaires, clients et autorités de régulation qu’elles prennent la cybersécurité au sérieux et qu’elles sont prêtes à gérer une crise de manière responsable.

En résumé, la cellule de crise cyber n’est pas simplement une réponse technique à une attaque. Elle incarne une nouvelle forme de gouvernance des risques numériques, dans laquelle anticipation, coordination et réactivité sont les maîtres mots. Véritable socle de la résilience, elle permet aux organisations de faire face aux crises avec méthode et sang-froid, et de sortir renforcées d’épreuves qui auraient pu les déstabiliser profondément.

Pour approfondir

• https://cyber.gouv.fr/sites/default/files/2021/12/anssi-guide-gestion_crise_cyber.pdf
• https://www.cigref.fr/wp/wp-content/uploads/2023/02/Cigref-Reagir-a-une-cyberattaque-massive-Fevrier-2023.pdf

L’article La cellule de crise cyber est apparu en premier sur IRONIE.

En tant que lac de données de la Security Fabric de Fortinet, FortiAnalyzer consolide la télémétrie sur les réseaux, les terminaux et les environnements cloud, en intégrant des outils Fortinet et tiers. Il normalise et enrichit les données grâce à des analyses optimisées par du Machine Learning, fournissant des tableaux de bord structurés pour l’IoT, le SOC, la messagerie électronique et les vulnérabilités des terminaux. Il rationalise les opérations grâce à des fonctionnalités intégrées de veille sur les menaces, de SIEM.

Bénéficiant des opérations augmentées de FortiAI, FortiAnalyzer offre des options de déploiement flexibles sur les appliances, les machines virtuelles et le cloud. Il permet aux équipes réseau et sécurité de détecter plus rapidement, de réagir plus intelligemment et d’améliorer leur efficacité, le tout depuis une plateforme unique.

Dans les versions précédentes, FortiAnalyzer utilisait une base de données Postgres SQL pour stocker la table de journaux. Dans FortiAnalyzer 7.6.0, les journaux historiques sont migrés de PSQL vers ClickHouse, insérant ainsi les journaux en temps réel dans ClickHouse. Tous les rapports et les vues FortiView seront basés sur la nouvelle table de données de ClickHouse.

ClickHouse est un système de gestion de base de données SQL hautes performances, orienté colonnes, pour le traitement analytique en ligne (OLAP). Les scénarios OLAP nécessitent des réponses en temps réel sur de grands ensembles de données pour des requêtes analytiques complexes présentant les caractéristiques suivantes :

• Les ensembles de données peuvent être volumineux, avec des milliards de lignes ;

• Les données sont organisées en tables contenant de nombreuses colonnes ;

• Seules quelques colonnes sont sélectionnées pour répondre à une requête donnée ;

• Les résultats doivent être renvoyés en millisecondes ou en secondes.

Parsers pour les applications tierces via Syslog

FortiAnalyzer peut analyser des journaux système tiers plus spécifiques pour obtenir plus de données dans la base de données SIEM à partir de journaux bruts. Les analyseurs de journaux FortiGuard sont automatiquement fournis avec une licence valide pour Security Automation Service.

Les clients peuvent également créer leurs propres analyseurs de journaux personnalisés, qui peuvent être importés dans FortiAnalyzer et activés dans le journal système brut de leur application.

L’article FortiAnalyzer 7.6 est apparu en premier sur IRONIE.

Ces plates-formes doivent faire l’objet d’une attention constante. Leur exploitation et l’évolution des technologies nécessitent de mises à jour régulières que cela soit pour des raisons opérationnelles ou sécuritaires.

La technologie CSPM (Cloud Security Posture Management) vous permet de répondre à cet enjeu et de maitriser votre surface d’attaque, elle assure automatiquement la détection, la vérification voire la correction des configurations de vos diverses infrastructures Cloud (#IaaS, #PaaS, #SaaS).

Parallèlement le CSPM surveille et analyse en permanence vos actifs informatiques présents dans le Cloud et assure une remontée d’alertes lors d’identification de failles, d’erreurs ou de menaces détectées.  

Vous bénéficiez ainsi de tableaux de bord mis à jour en temps réel vous permettant de suivre et de faire évoluer votre niveau de conformité.

Ainsi, le CSPM est devenu une composante essentielle de la stratégie de sécurité de votre SI dans le cloud. En adoptant cette technologie, vous améliorez votre niveau de sécurité, gagnez en efficacité et en conformité.

Bien sûr, nos experts sont à votre disposition pour étudier votre contexte et vous proposer une solution la plus adaptée à votre besoin. 

L’article #CSPM, kezako ? est apparu en premier sur IRONIE.