Questions-Réponses concernant le rapport sur la posture de sécurité

Abstract curved lines in shades of blue and purple flowing against a transparent background.

Nous mettons à votre disposition des informations clés et une analyse contextuelle relatives à la posture de sécurité dont bénéficient les clients de Beazley qui souscrivent une cyber-assurance.

Le rapport sur la posture de sécurité de Beazley Security est une évaluation personnalisée du risque cyber qui fournit aux organisations des informations précieuses sur leur posture externe en matière de sécurité cyber. Ce document met en évidence les zones de risque potentiel et inclut des actions concrètes et personnalisées à mettre en place pour renforcer vos défenses cyber et réduire le risque d'attaque.

Pourquoi Beazley Security élabore et partage ce rapport ?

Lorsqu'une organisation remplit et soumet un questionnaire d'assurance cyber, Beazley Security — au nom de ses filiales d’assurance de Beazley — effectue une analyse de l'infrastructure réseau de l'organisation cliente en utilisant une technologie propriétaire appelée Karma pour identifier les vulnérabilités potentielles. Les principaux résultats obtenus grâce à la technologie Karma sont décrits dans le rapport sur la posture de sécurité. Il fournit aux organisations un diagnostic détaillé sur leurs vulnérabilités, des informations pour mieux comprendre dans quelle mesure un risque peut affecter leur posture de sécurité cyber, ainsi que les correctifs à mettre en place pour réduire le risque d'attaque cyber.

À qui s'adresse ce rapport ?

Le rapport sur la posture de sécurité offre des avantages stratégiques concrets à tous les acteurs concernés par la souscription de la police d'assurance cyber. Ce rapport permet notamment aux assurés et aux futurs assurés de mieux connaître les vulnérabilités de leur organisation en matière de sécurité, afin de réduire le risque d'attaque cyber. Le rapport sur la posture de sécurité permet également aux courtiers de mieux conseiller leurs clients sur leur posture de sécurité cyber au moment de personnaliser leur couverture d'assurance.

Comment Beazley Security identifie ces problèmes ?

Beazley Security a mis au point une solution pour analyser automatiquement l'infrastructure réseau accessible au public d'une organisation et détecter les vulnérabilités. Karma analyse en premier lieu le domaine d'une organisation, tel que example.com, et utilise différentes sources pour connaître les sous-domaines connexes de l'organisation, tels que forms.example.com ou store.example.com. En second lieu, Karma traque les adresses IP qui hébergent le contenu de chaque domaine.

Après avoir identifié les adresses IP, Karma recherche et analyse tous les ports ouverts et les logiciels hébergés associés à chaque adresse IP. L'identification des ports ouverts est une étape cruciale car elle permet à Beazley Security de mieux mesurer l'exposition d'une organisation et de réunir davantage d'informations sur sa surface d'attaque. Karma utilise ces ports ouverts pour recueillir des informations clés sur les services et les logiciels exécutés sur un port. Ces informations sont utilisées pour identifier les vulnérabilités telles que les logiciels à haut risque qui constituent des menaces réelles, ainsi que les lacunes que l'organisation doit combler afin de renforcer sa posture de sécurité cyber.

Quels types de vulnérabilités sont mises en évidence par l'analyse ?

Beazley Security recherche les ports ouverts, les services exposés, les vulnérabilités logicielles et d'autres facteurs de risque majeurs qui constituent des menaces pour une organisation. Ces facteurs de risque sont classés en plusieurs catégories :

  • Surface d'attaque : Noms d'hôtes, adresses IP et vulnérabilités exploitées connues
  • Sécurité de la messagerie électronique : Clés DKIM, paramètres DMARC et paramètres SPF‍
  • Certificats de sécurité : Certificats expirés et actifs sans chiffrement
  • Logiciels à haut risque : Logiciels qui ne devraient pas être directement exposés à Internet

Ces vulnérabilités augmentent l'exposition aux menaces cyber et sont des indicateurs fiables pour évaluer l'efficacité de la posture de sécurité cyber d'une organisation.

Qu'appelle-t-on vulnérabilités exploitées connues (KEV) ?

Les vulnérabilités exploitées connues (KEV) sont des points faibles localisés dans les logiciels, les équipements ou les applications qui sont activement exploitées par les pirates informatiques. L'Agence américaine pour la sécurité cyber et la sécurité des infrastructures (CISA) a élaboré un catalogue des vulnérabilités exploitées connues (KEV) qu'elle actualise régulièrement afin d'informer les organisations des risques cyber. Les vulnérabilités exploitées connues sont considérées comme les menaces les plus immédiates et doivent être traitées en priorité pour renforcer la sécurité cyber.​ Si des vulnérabilités exploitées connues sont identifiées, les résultats seront répertoriés dans la section « Surface d'attaque » du rapport sur la posture de sécurité.

Quels logiciels à haut risque nécessitent une intervention ?

Le tableau ci-dessous présente les logiciels à haut risque identifiés par Beazley qui requièrent une action en amont de la souscription de notre police d'assurance. Si Karma détecte la présence d'un de ces logiciels dans l'environnement web d'une organisation, il apparaîtra dans la section « Logiciels à haut risque » du rapport sur la posture de sécurité, accompagné du message d'avertissement « Action requise ». Les organisations peuvent cliquer sur « Corriger » pour initier le processus de remédiation requis et bénéficier d'une assistance supplémentaire par chat ou par téléphone, si nécessaire.

Nom du port

Numéro de port par défaut

Description

Utilisation des ports d’administration à distance (RDP)​

3389

  • Fournit un accès à distance aux serveurs et postes de travail Windows​
  • Cible fréquente des attaques par force brute.

Informatique en réseau virtuelle (VNC)​

5900

  • Service de bureau à distance sur Mac et Linux​
  • Une authentification faible peut conduire à unaccès à distance non autorisé​

Protocole SMB​

445

  • Une faille peut conduire à des violations de données ou à des attaques par ransomware​
  • Faille exploitée par le ver WannaCry

Appel de procédure à distance (RPC)​

135

  • Permet l'exécution de commandes à distance, ce qui accroît le risque d'incident cyber​

Il est possible que Beazley Security ait identifié d'autres logiciels à haut risque, mais ceux mentionnés ci-dessus sont actuellement les seuls pour lesquels Beazley exige une action avant la souscription.

Quelles mesures devrait prendre une organisation après l'analyse des résultats du rapport ?

Après avoir examiné les résultats du rapport, identifiez les problèmes à traiter :

  • Action requise : Il s’agit de problèmes de sécurité critiques que Beazley exige que vous traitiez avant la souscription ou le renouvellement de votre cyber-assurance.
  • Action recommandée : Il s'agit de problèmes de sécurité critiques que nous vous recommandons vivement de résoudre dès que possible. La remédiation à ces problèmes avant la soucription de l'assurance n'est pas une obligation, mais le risque d'incident cyber au sein de votre organisation est élevé.
  • Action suggérée : Il s'agit de problèmes à risque modéré que nous vous recommandons de résoudre dans la mesure du possible. La prise en compte de ces informations améliorera votre posture de sécurité et réduira les risques cyber pour votre organisation.
  • À examiner : Il s’agit de constats révélés à titre informatif qui méritent un examen approfondi afin de déterminer s'ils correspondent à la configuration prévue.‍
  • Semble correct : Aucun problème n’est à signaler dans ces domaines. Aucune action n'est nécessaire.

Si le destinataire du rapport au sein de votre organisation ne réunit pas les compétences techniques nécessaires pour résoudre les problèmes, Beazley Security vous recommande de partager ce document avec votre fournisseur de services IT pour un soutien supplémentaire. Si vous avez des questions à propos de ce rapport, vous pouvez solliciter une assistance technique auprès de notre service de gestion de la surface d'attaque par courrier électronique à l'adresse [email protected] ou utiliser la fonction de chat disponible dans les guides « Fix It » connexes. Pour garantir une réponse rapide, veuillez indiquer la date de l'analyse, l'organisation pour laquelle le rapport a été élaboré et le secteur d'activité de l'organisation lorsque vous sollicitez une assistance technique.

Que sont les guides « Fix It » ?

Les guides « Fix It » de Beazley Security ont été élaborés pour fournir aux organisations une assistance technique et des conseils pour les aider à résoudre les problèmes les plus fréquents. Ces guides sont directement accessibles depuis le rapport sur la posture de sécurité. Ils sont constitués de questions interactives permettant de s'assurer que le contenu des réponses s'applique aux logiciels ou à l'infrastructure de chaque organisation.

En outre, Beazley Security a confectionné des guides « Fix It » relatifs à quatre principaux contrôles de souscription de Beazley. Ces contrôles de sécurité sont essentiels ; ils doivent être réalisés pour améliorer la résilience d'une organisation face aux menaces cyber. L'adoption de ces mesures est l'un des éléments clés de votre stratégie proactive d'atténuation des risques cyber.

Quelles actions entreprendre si le rapport révèle des vulnérabilités liées à un fournisseur tiers?

Le rapport sur la posture de sécurité peut indiquer des adresses IP, des noms d'hôtes ou des vulnérabilités liées à un tiers, tel qu'un infogérant IT, un fournisseur de logiciel en tant que service (SaaS) ou un fournisseur de services IT. Les vulnérabilités liées à un tiers appartiennent à l’infrastructure réseau d’une organisation ; par conséquent, elles font partie de sa surface d’attaque globale. Étant donné que ces problèmes peuvent potentiellement devenir des vecteurs d'attaque vers le réseau de l'organisation, ils doivent être traités.

Dans ces cas, Beazley Security recommande aux organisations de collaborer étroitement avec le fournisseur tiers afin de résoudre les problèmes mis en avant dans le rapport sur la posture de sécurité.

Existe-t-il des vulnérabilités potentielles des services réseau que ce rapport pourrait ne pas révéler ?

Oui. Le rapport sur la posture de sécurité fournit des informations précieuses sur la sécurité réseau d'une organisation. Cela dit, Karma identifie les problèmes de manière passive et n’est pas une solution de « scan de vulnérabilités ».  Karma ne peut donc pas détecter toutes les vulnérabilités potentielles. Les menaces cyber étant en constante évolution, il est possible que certains risques ne soient pas identifiés et d'autres peuvent apparaître après l'analyse. Même si aucune vulnérabilité n’est identifiée dans le rapport ou si tous les problèmes listés sont résolus, le paysage des risques évolue constamment et il est important qu’une organisation reste consciente de sa posture de sécurité au‑delà de ce rapport.

Quel niveau de support Beazley Security peut apporter à une organisation ?

Beazley Security soutient les organisations en répondant aux questions générales et techniques liées au rapport sur la posture de sécurité et aux guides « Fix It ». Cependant, Beazley Security ne traite pas directement les problèmes indiqués dans le rapport et n'adopte aucune mesure corrective au nom de l'organisation pour renforcer la sécurité. Nous encourageons plutôt les organisations à travailler directement avec leur fournisseur se services IT pour mettre en œuvre les changements nécessaires.

Si un support technique supplémentaire s'avère nécessaire, vous pouvez solliciter les services professionnels de Beazley Security et nous discuterons ensemble des solutions envisageables. Si vous désirez en savoir plus sur notre expertise, nos services professionnels et les actions que Beazley Security peut mettre en place pour vous aider à réduire les risques cyber, contactez-nous ou consultez notre brochure sur nos compétences.

Si vous avez des questions à propos des informations techniques présentes dans ce rapport ou si vous souhaitez discuter des résultats qu'il contient, veuillez contacter notre service de gestion de la surface d'attaque à l'adresse mail suivante : [email protected]. Pour garantir une réponse rapide, veuillez indiquer la date de l'analyse, l'organisation pour laquelle le rapport a été élaboré et le secteur d'activité de l'organisation lorsque vous sollicitez une assistance technique.

Pour toute question concernant votre police d'assurance ou tout autre sujet lié à l'assurance, veuillez contacter votre courtier d'assurance agréé.

Beazley établit les normes de souscription et les contrôles mentionnés dans la présente communication, prend et assume les décisions relatives au respect de ces normes ou contrôles.

Dernière mise à jour :  Avril 2025