Décoder la gestion des accès privilégiés pour la cyberassurance : l’impératif nord-américain

Ces dernières années, le paysage de la cyberassurance en Amérique du Nord a connu une transformation marquée. Autrefois considérée comme un filet de sécurité optionnel, la cyberassurance est devenue un pilier de la gestion des risques organisationnels. À mesure que les assureurs ajustent leurs modèles de souscription en réponse à la hausse des incidents de violation et à l’augmentation des réclamations, ils ont renforcé leur vigilance à l’égard de la sécurité des identités et des privilèges — y compris l’accès privilégié. Dans ce contexte, la gestion des accès privilégiés (PAM) est passée du statut de bonne pratique à celui de prérequis non négociable à l’assurabilité.

L’évolution du calcul du risque chez les assureurs cyber

L’accent mis sur la PAM est motivé par un vecteur de menace évident : le rançongiciel. Selon la National Association of Insurance Commissioners (NAIC), les attaques par rançongiciel ont augmenté de près de 93 % en 2021. Fait notable, la rançon la plus élevée payée à ce jour — près de 40 millions de dollars — a été versée par un assureur. En réponse, les souscripteurs exigent des pratiques de cybersécurité plus structurées et démontrables afin de prévenir de tels incidents coûteux.

Un récent sondage sectoriel a révélé que près de la moitié des réclamations sont liées à un mauvais usage des privilèges ou à une compromission d’identité. Par conséquent, plus de 40 % des assureurs exigent désormais une preuve de l’application du principe du moindre privilège, et 95 % des organisations américaines assurées doivent mettre en place des contrôles liés à l’identité pour demeurer admissibles à la couverture.

Ces développements témoignent d’un environnement de cyberassurance plus strict, mais aussi plus mature.

Vous cherchez une solution PAM qui répond aux exigences de votre assureur ? Découvrez Devolutions PAM.

Définir les attentes des assureurs en matière de PAM

Bien que les exigences varient selon l’assureur, plusieurs tendances claires ont émergé, et nombre d’entre elles convergent vers la PAM. Comme mentionné précédemment, le rançongiciel a été un moteur principal de cette évolution vers la PAM. Du point de vue de l’assureur, les contrôles PAM — qu’ils soient explicitement nommés ou non — sont valorisés pour leur capacité à « prévenir, détecter et répondre aux activités malveillantes tout au long du cycle de vie du rançongiciel ».

En d’autres termes, les assureurs n’emploient pas toujours le terme « gestion des accès privilégiés », mais leurs exigences techniques correspondent fréquemment à ses capacités.

Les contrôles PAM et connexes suivants sont couramment exigés :

1. Authentification multifacteur (AMF)

Considérée comme fondamentale par de nombreux assureurs, l’AMF est soit explicitement exigée (par exemple, pour les comptes administrateur de domaine ou l’accès à distance), soit implicite dans les attentes de contrôle d’accès en couches.

2. Gestion des identifiants et rotation des mots de passe

Le stockage sécurisé des identifiants, l’application de règles de complexité et la rotation automatisée deviennent des exigences standard.

3. Journalisation, surveillance et enregistrement de sessions

L’auditabilité demeure une préoccupation constante. Les assureurs peuvent exiger l’enregistrement, la surveillance et/ou la journalisation des activités administratives, y compris les retraits d’identifiants, les élévations de privilèges, les réinitialisations de mots de passe et les modifications d’appartenance à des groupes.

4. Accès juste-à-temps (JAT) et absence de privilèges permanents (ZSP)

Les assureurs s’attendent de plus en plus à des mécanismes d’élévation temporaire des privilèges, comme l’accès juste-à-temps, fondés sur une approche d’absence de privilèges permanents. L’élévation JAT accorde des privilèges temporairement, tandis que la ZSP garantit leur révocation immédiate lorsqu’ils ne sont plus requis.

5. Principe du moindre privilège (PoLP) et contrôle d’accès basé sur les rôles (RBAC)

Delinea a constaté que 41 % des répondants de son sondage sur la cyberassurance devaient mettre en œuvre des contrôles fondés sur les rôles et/ou le moindre privilège pour demeurer admissibles. Les assureurs s’attendent à ce que les privilèges soient attribués selon la fonction, et non accordés universellement.

6. Accès à distance sécurisé

L’accès à distance, que ce soit pour les employés, fournisseurs ou partenaires, demeure une source de risque. Les protocoles mal configurés comme le protocole RDP représentent un risque important, particulièrement depuis la généralisation du télétravail. Les assureurs exigent des mesures de défense en couches comme les VPN et l’AMF sur RDP.

Les solutions PAM de Devolutions : notre approche holistique

En consolidant toutes les fonctions essentielles liées à la PAM au sein d’une architecture unifiée, la solution de gestion des accès privilégiés de Devolutions aide les organisations à répondre aux attentes des assureurs. Elle comprend :

• Un coffre de mots de passe centralisé (Devolutions Server ou Devolutions Hub), avec AMF, contrôle d’accès basé sur les rôles et stockage chiffré ;
• Devolutions Remote Desktop Manager, qui courtage l’accès aux sessions distantes avec des permissions granulaires ;
• Devolutions Gateway, alternative légère au VPN permettant l’enregistrement de sessions et la gestion d’accès tiers ;
• Devolutions PAM, offrant la rotation automatisée des mots de passe, l’élévation JAT et l’application du moindre privilège.

Les organisations utilisant déjà CyberArk, Delinea Secret Server ou BeyondTrust Password Safe peuvent les intégrer à la plateforme Devolutions, protégeant leurs investissements existants tout en élargissant leur couverture PAM.

Notre solution fournit une plateforme de gestion efficace et auditable soutenant les bonnes pratiques attendues par les assureurs en matière d’identité, d’accès et de privilèges. Grâce à un modèle tarifaire abordable et à une mise en œuvre rapide, elle rend la PAM avancée accessible aux petites, moyennes et grandes entreprises.

Pour les équipes de cinq personnes ou moins, notre Starter Pack offre les mêmes fonctionnalités robustes — y compris l’élévation JAT et la rotation des mots de passe — à un prix optimisé pour les petites équipes TI.

Conclusion

À mesure que les critères de souscription évoluent, les organisations nord-américaines doivent adapter leurs stratégies de sécurité. La PAM — que les assureurs la nomment explicitement ou non — n’est plus optionnelle.

En alignant leurs contrôles PAM sur les attentes des assureurs, les organisations améliorent non seulement leurs chances d’obtenir une couverture, mais renforcent également leur posture de sécurité. Les solutions PAM intégrées de Devolutions offrent des fondations conformes aux attentes des assureurs pour cette transformation essentielle.

Si vous recherchez une solution PAM afin d’être admissible à la cyberassurance, découvrez notre solution de gestion des accès privilégiés ou notre Starter Pack pour les petites équipes.