Un courtier spécialisé dans la cyberassurance a trouvé un moyen d’attirer des petites et moyennes entreprises canadiennes en s’associant à un fournisseur de services infonuagiques qui aide les entreprises à respecter une norme de cybersécurité.
Le partenariat entre Ridge Canada Cyber Solutions Inc. et CyberCatch vise à réduire les risques que les entreprises assurées soient touchées par une violation des contrôles de sécurité en leur faisant mettre en œuvre les contrôles nationaux de cybersécurité de base CAN/CIOSC 104 pour les petites et moyennes organisations.
Les entreprises canadiennes qui souscrivent à une cyberassurance par l’intermédiaire de Ridge Canada obtiennent un rabais en souscrivant à la solution de gestion de la conformité de CyberCatch pour gérer les cybercontrôles CAN/CIOSC 104 qu’elles doivent mettre en œuvre.
Les deux entreprises ont annoncé le partenariat plus tôt ce mois-ci.
Ridge Canada Cyber Security est une agence de gestion d’assurance générale qui fournit des produits d’assurance spécialisés aux agents et courtiers d’assurance canadiens. CyberCatch est un fournisseur américain de logiciels en tant que service qui propose des solutions pour aider les moyennes et grandes entreprises à respecter les directives de cybersécurité. Les clients américains doivent respecter la série de normes NIST 800, tandis que les entreprises canadiennes doivent respecter la norme CAN/CIOSC 104.
« Les petites et moyennes entreprises (PME) disposent de ressources limitées et ne savent généralement pas quels contrôles de cybersécurité mettre en œuvre ou comment mettre en œuvre pour se protéger des cybermenaces », a déclaré le PDG de CyberCatch, Sai Huda. « La solution Compliance Manager est un guichet unique pour les PME. La plate-forme fournit un moyen simple mais intelligent d’atténuer les cyber-risques à la fois pour le SMO mais aussi pour l’assureur. »
« Ce partenariat nous permet d’aider nos courtiers à s’associer avec des clients qui sont encore dans les phases d’évaluation et de contrôle du processus de gestion des risques d’entreprise », a déclaré le PDG de Ridge Canada, Greg Markell. « Considérant que de nombreuses exigences de souscription s’harmonisent avec la norme CAN/CIOSC 104, il permettra à de nombreuses organisations d’obtenir des conseils sur où elles peuvent commencer, et à nos courtiers partenaires une solution lorsque les commentaires du marché indiquent que leur client n’est pas prêt pour le transfert des cyberrisques, ainsi que pour clients existants à la recherche d’aide pour rester en sécurité. »
Les exigences CAN/CIOSC 104, publiées en 2021 par le Canadian CIO Strategy Council, précisent un ensemble minimal de contrôles de cybersécurité pour les petites et moyennes entreprises (définies comme des entreprises de moins de 500 employés).
Les exigences sont réparties en deux catégories :
- Les exigences de niveau 1 sont destinées aux petites entreprises qui commencent tout juste leur parcours en cybersécurité. En règle générale, elles n’ont pas les ressources nécessaires pour investir ou externaliser les ressources informatiques, et leur connaissance de la cybersécurité est considérée comme minimale.
- Les exigences de niveau 2 sont destinées à s’appuyer sur les exigences de niveau 1 à mesure que les organisations mûrissent et développent leur cyberposture. Ils ont une compréhension de base de la cybersécurité, une connaissance générale des risques liés à la cybersécurité auxquels ils sont confrontés et cherchent à accroître leur maturité en matière de cybersécurité.
- La norme débute par cette déclaration : « La haute direction de l’organisation est responsable en dernier ressort du programme de cybersécurité. »
La norme décrit ensuite une série d’étapes que les organisations doivent suivre pour se conformer aux exigences. En bref, il s’agit notamment de compléter une évaluation des risques de cybersécurité, un plan de réponse aux incidents et un plan de gestion des correctifs d’application ; d’activer et configurer correctement les logiciels et le matériel de sécurité pour les actifs sur site et dans le nuage ; de procéder à la mise en œuvre d’une authentification forte des utilisateurs dans les systèmes informatiques d’entreprise et à la mise en œuvre du contrôle d’accès des utilisateurs et de sauvegarder correctement les systèmes, avec cryptage si nécessaire.
Adaptation et traduction française par Renaud Larue-Langlois.
