Cyber et Assurance - Protéger les entreprises sans rentrer dans le jeu des pirates, un véritable défi

Leslie Pinsard
Rédigé par Leslie Pinsard
13 juillet 2021 - 27 minutes

 

Le cyber risque convoque chez nous l’imaginaire du roman d’anticipation. Dans un univers futuriste, des hackers bien cachés derrière leurs ordinateurs se réinventent en pirates des temps modernes. Leur mode opératoire favori ? Capturer les données d’une personne, entreprise ou institution, et ne les restituer qu’en échange du paiement d’une rançon. Le scénario a de quoi séduire Hollywood. Problème : c’est aujourd’hui notre quotidien. Face à ces attaques qui font rage en France et dans le monde, les entreprises ont la possibilité de se tourner vers leurs assureurs. Toutefois, le secteur se montre encore très tâtonnant sur le sujet. Il y a pourtant urgence à agir face à ce nouveau risque qui présente tous les caractères de la menace systémique.

 

Le cyber risque : état des lieux 

 

Le cyber risque, c’est quoi ?

 

Un système d’extorsion

pirates cyber

Le cyber risque, c’est bien plus qu’un logiciel malveillant. Il s’agit en réalité d’un système commercial criminel extrêmement bien pensé par lequel le hacker prend en otage les données d’une entreprise en échange d’une rançon. Pour cela, il chiffre le système d’information de sorte à le rendre inaccessible. C’est ce qu’on appelle le ransomware : l’arme favorite des pirates. 

L’efficacité de ce système vient de la valeur des données pour les sociétés, et ce, quel que soit leur secteur d’activité. Elles regroupent l’infrastructure, la production économique, les données clients, la propriété intellectuelle, les informations confidentielles ou personnelles, etc. 

L’importance cruciale de ces informations entraîne fréquemment le paiement de la rançons. Et comme tout se passe en ligne, ces transactions se font à travers le bitcoin ou autres cryptomonnaies. Le hacker reste ainsi anonyme. En d’autres termes, le ransomware correspond à de l’extorsion dans sa forme la plus pure. 

 

Des cibles larges 

L’importance des données dans tous les secteurs économiques offre aux pirates un large choix de victimes, presque infini. Alors, pour sélectionner leurs prochaines cibles, ils se basent notamment sur les opportunités financières d’une telle attaque (taille et ressources de l’entreprise). Ces indicateurs permettent de connaître la valeur des actifs ainsi pris en otage. Plus ces données ont de la valeur, plus les entreprises sont prêtes à payer la rançon. 

Et pour être sûr que l’opération soit un succès, les hackers choisissent aussi leur victime en raison de sa vulnérabilité. Bien souvent, cela se passe au niveau des choix technologiques (exposition à l’internet public, absence de sécurisation des mots de passe, logiciels ou appareillages non fiables, etc.). 

Des victimes faciles et des opportunités financières élevées, il en existe partout en France et dans le monde. Pour cette raison, le risque cyber prend aujourd’hui de plus en plus d’ampleur. 

Avis de Julien Nelkin (Agent Général Assurance spécialisé sur le sujet cyber) : le cyber risque “est le principal risque, en complément des risques climatiques”. 

Outre les ransomwares, les hackers ont d’autres possibilités de gagner de l’argent grâce aux informations récoltées : la monétisation sur le darknet ou encore les vols d’identité. 

 

Risque cyber : des chiffres qui brûlent les yeux

Chiffres cyber

Pour vous aider à prendre conscience de l’importance grandissante risque cyber, voici quelques chiffres issus du rapport 2021 HISCOX et de l’enquête LUCY par l’Association pour le Management des Risques et des Assurances de l’Entreprise. 

14 % : C’est le nombre d’entreprises françaises ayant été victimes d’une cyberattaque en 2020. Parmi elles, 65 % ont payé la rançon. Ce qui place la France en mauvaise élève, puisque la moyenne mondiale est de 58 % de paiement. 

21 % : C’est le budget informatique moyen des entreprises en 2021 consacré à la cybercriminalité. En 1 an, cette part a donc augmenté de 63 %. Pour autant, cela ne semble pas encore suffisant pour limiter le risque cyber. 

28 % : C’est le nombre d’entreprises victimes de cyber-attaques ayant été ciblées plus de cinq fois en 2019. Pour les très grandes entreprises, les chiffres sont affolants : 47 % ont subi les coups des pirates du web six fois ou plus. Et 33 % d’entre elles ont même subi plus de 25 attaques.

71 % : soir le pourcentage des professionnels de la sécurité informatique qui ont relevé une augmentation des menaces et attaques depuis le début de la crise sanitaire.

76% : C’est la quantité de ransomwares (à destination des entreprises) qui agissent en dehors des heures de travail. Et pour cause, la plupart des entreprises n’ont pas de service informatique disponible 24h/24. Alors pour éviter de se faire prendre, les pirates attaquent la nuit. 

80 % : C’est le nombre d’entreprises mettant la clé sous la porte à la suite d’une perte de données consécutive à une attaque cyber. Et même si elles prennent de plus en plus conscience du danger, les mesures sont encore insuffisantes pour éliminer ce nouveau mal du 21e siècle. 

+255% : C’est l’augmentation des ransomwares en l’espace d’un an. La CNIL vient d’ailleurs de confirmer cette tendance en précisant que le rançongiciel demeurait l’attaque la plus répandue et avait atteint des records en 2020. 

756 : C’est le nombre d’attaques ransomware recensées en Europe sur l’année 2020, contre 432 en 2019. Pour autant, ce chiffre est à prendre avec des pincettes puisque toutes les attaques ne sont pas reportées. Environ 9 attaques sur 10 sont passées sous silence, soit parce qu’elles sont déjà payées, soit parce que les entreprises disposent d’un système de sécurité avancé.  

+ de 100 000 dollars : c’est la moyenne des demandes de rançon recensées en 2020. En 2019, la moyenne était de 10 000 dollars.

 

Des cyberattaques en évolution

 

Les tendances des cyber attaques 2020 

Avec la montée en puissance des cyber attaques depuis la crise sanitaire, certaines tendances se dégagent. En 2020, les ransomwares sont ainsi caractérisés par trois points récurrents : 

  • Big Game Hunting : les attaques deviennent de plus en plus sophistiquées. Et pour cause, les hackers se préparent plusieurs mois à l’avance pour s’infiltrer (connaître l’entreprise, sa structure, son système d’information, la valorisation de ses données, ses capacités financières, etc.) 
  • RaaS : aujourd’hui, les cyberattaques sont tellement lucratives, que des ransomwares as a service se développent, au même titre que d’autres logiciels informatiques ! De plus en plus présents sur le dark web, voici quelques exemples de groupes de cyberdélinquants connus : Egregor, RagnarLocker ou encore Ranzy. 
  • Double extorsion : ce système d’extorsion vise à soutirer la rançon en deux temps. D’une part, le système d’information est chiffré afin de bloquer toute activité de l’entreprise. Le paiement d’une rançon est alors exigé en contrepartie de la clé de déchiffrement. D’autre part, des informations confidentielles sont divulguées si l’entreprise ne cède pas au chantage. 

 

Une sophistication plus poussée 

Aujourd’hui, la piraterie est un business qui a la cote ! Les truands s’organisent et bénéficient même de webservices d’extorsion accessibles en ligne, à l’image de Darkside qui « vérifie » les cybercriminels et leur livre les outils pour faciliter leurs actions. C’est l’AWS du crime ! 

Grâce à cet écosystème, les performances technologiques des hackers deviennent de plus en plus poussées. Voici quelques exemples de tendances qui se développent : 

  • Network Time Protocol (NTP) : le NTP permet de temporiser toutes les transactions d’une entreprise. En les manipulant, les pirates endommagent l’ensemble des processus de l’organisation. 
  • Le machine learning : cette technologie IA est de plus en plus utilisée par les entreprises pour la prise de décision. C’est sans compter sur l’intervention des hackers qui les manipulent en les empoisonnant. Les décisionnaires ont alors accès à des informations faussées les empêchant de prendre de bonnes décisions.
  • Weaponized AI : il s’agit d’une nouvelle arme pour les hackers utilisant le machine learning à leur propre intérêt. Cela leur permet alors d’accélérer leurs attaques et de les rendre plus efficaces. À travers l’intelligence artificielle, les hackers pourront plus facilement détecter les points de vulnérabilité d’une entreprise. 
  • Les machines virtuelles : pour éviter de se faire repérer trop rapidement, les pirates utilisent de plus en plus de machines virtuelles. Ces dernières les prémunissent contre un repérage d’activités inhabituelles. Cela leur permet alors de chiffrer la machine hôte sans être visibles en amont. 
  • Les deepfake : il s’agit alors de communiquer avec des entités deepfake plutôt que des véritables personnes. 
  • La périphérie de réseau : les hackers se positionnent désormais sur les télétravailleurs ou les chemins d’accès à distance pour toucher l’entreprise de manière latérale. 
  • Multiplication des attaques : aujourd’hui, les attaques pourront toucher davantage de particuliers, notamment à travers les réseaux sociaux, les QR codes malveillants, etc.

Grâce à toutes ces technologies, les hackers se frayent un chemin progressif sur un réseau de plus en plus vaste. Les dégâts pour l’entreprise peuvent être colossaux, en particulier s’ils atteignent le serveur de sauvegarde. 

 

Une envolée du risque cyber avec le Covid

Cyber Covid

La transformation digitale et la crise sanitaire font exploser le risque cyber : + 50% de télétravail, + 30% d’augmentation de la data sur les lignes fixes. Notre société a basculé dans une nouvelle réalité qui est, par nature, bien plus exposée à ce danger.

Mais au début de la crise, peu d’entreprises visualisaient ces risques. Lorsque la pandémie a démarré, les acteurs économiques ont commencé à porter leur attention sur la mise en place des bons outils de communication et de travail. Cependant, trop peu d’efforts ont été investis pour la sécurisation de ces outils. Aujourd’hui, nombre de sociétés doivent alors revenir en arrière pour protéger leurs systèmes. Un début de prise de conscience semble en cours avec 43% des entreprises qui se disent prêtes à augmenter les budgets cybersécurité. 

 

Une prise de conscience à deux vitesses 

PME cyber assurance

Sur le terrain, les assureurs rencontrent deux types de clients en matière de cybersécurité. C’est ce que nous confirme Julien Nelkin qui est régulièrement confronté à ces situations :

 

  • Les entreprises qui se préoccupent des risques cyber, à la fois au niveau technique et assurantiel. Les dirigeants viennent alors consulter un spécialiste pour obtenir des conseils sur les actions à mettre en place à titre de prévention.
  • Les entreprises qui consultent leur assureur alors qu’il est déjà trop tard. L’attaque a pénétré les systèmes d’information. 

 

Or, le risque cyber est une réalité pour toutes les entreprises, quels que soient leur taille ou leur secteur d’activité. Les grandes entreprises en sont évidemment conscientes. Mais les PME beaucoup moins : en 2021, seules 0,0026% des petites entreprises françaises sont ainsi protégées contre le risque cyber ! Le danger est pourtant bien là. Prenons l’exemple d’un garagiste. Sans l’accès à son système d’information, il n’est plus en mesure de suivre ces contrats clients, de réaliser des commandes de pièces et encore moins de facturer. Cela se retrouve également au niveau des collectivités publiques, comme les hôpitaux, les institutions étatiques, etc. Les vols de données clients se révèlent également extrêmement problématiques – voir l’exemple détaillé de l’attaque de la startup française Spliiit.

Cette absence de prise de conscience est assez paradoxale. En effet, les entreprises n’hésitent pas à mettre des rideaux électriques ou des caméras pour éviter les cambriolages. Pourquoi ne font-elles pas la même chose avec leur système d’information ? D’autant que les données présentes dans leurs ordinateurs sont souvent plus précieuses que celles exposées au sein de leurs usines. 

 

Cas concrets : Les ransomwares touchent tout le monde

Depuis 2020, les attaques de ransomware ont été particulièrement prolifiques. Elles concernent aussi bien des entreprises publiques que privées. 

Quelle que soit l’organisation touchée, les pertes sont toujours colossales. Même si aucune rançon n’est payée, un ralentissement de l’activité peut engendrer plusieurs centaines de milliers, voire plusieurs millions d’euros de pertes. Sans compter les dommages sur la réputation de l’entreprise qui ne peuvent être précisément mesurés. 

Pour vous aider à vous faire une idée des différentes attaques ayant eu lieu au cours des derniers mois, voici un tableau reprenant plusieurs exemples marquants. 

 

Entreprise

Date

Attaque

Paiement de la rançon

Solar Winds

Mars 2020

À travers le logiciel Orion, les hackers ciblent le gouvernement US. 

Non 

Orange Business Service

4 juillet 2020

Cryptovirus – 350 Mo de données volées.

Non 

Garmin 

17 juillet 2020

Groupe Evil Corp a paralysé les services Garmin à travers le logiciel Wasted Locker. 

Non – 10 M€ demandés

Canon

Août 2020

Vol de 10 To de données sensibles par le groupe Maze.

Non – les informations ont été divulguées

Swatch Group

Sept 2020

Ralentissement de l’activité suite à une infiltration.

Non

Sopra Steria

Octobre 2020

Ryuk à l’origine de l’attaque

Non – mais perte estimée à 50 M€

Agence européenne des médicaments

Décembre 2020

Vol d’information (notamment sur les vaccins anti Covid). 

Non

Bose US 

7 mars 2021

Informations confidentielles des employés ont été dérobées.

Non

Pierre Fabre

30 mars 2021

Site de production et site web à l’arrêt pendant plusieurs jours. 

Non – 25 M€ demandés

JBS

Mai 2021

Double extorsion.

Oui – 11 M$

OTAN 

Mai 2021

Attaque de la plateforme computing SOA & IdM.

Non – Rançon demandée = 14 500 XMR , soit 3,3 M€

Service de santé irlandais 



Mai 2021

Paralysie de l’activité attribuée au groupe Conti. Le ralentissement de l’activité se fait toujours sentir 2 mois plus tard. 

Non – 20 M€ demandé

Belgique

4 mai 2021

Plus de 200 sites internet du gouvernement belge ont été piratés.

Non – spéculation d’une attaque chinoise

Colonial Pipeline

7 mai 2021

Cryptage du SI.

Oui – 4,4 M$

Electronic Arts 

Juin 2021

780 Go de données piratées et revendues sur le dark web (dont plusieurs jeux vidéo comme FIFA 2021). 

Non

 

Fujifilm 



1 juin 2021

Cheval de Troie Qbot : L’entreprise a fermé une partie de son SI pour limiter la propagation. 

Non

Kaseya

3 juillet 2021

La cyberattaque contre cette société informatique US touche près de 1 500 entreprises à travers le monde. 

Non : 70 M$ demandée 

 

Parmi les attaques qui ont le plus marqué le monde au cours des derniers mois, il y a l’affaire Colonial Pipeline. Et pour cause, l’entreprise fournit une grande partie (45 %) de la côte Est des Etats-Unis en carburant. En raison de cette attaque, le géant américain a été contraint de suspendre l’activité d’un oléoduc. Cela a eu pour effet d’interrompre l’approvisionnement en carburant des États-Unis pendant une semaine. Les conséquences d’un arrêt de 6 jours ont été très sérieuses pour le pays pendant cette courte période : une envolée des prix du pétrole et une crainte de pénurie pour tous les Américains. 

Malgré les recommandations du FBI de ne pas payer, Joseph Blount (PDG de Colonial Pipeline) a versé la rançon aux ravisseurs. Dès réception de l’argent, les pirates ont fourni à l’entreprise la clé de décryptage pour lui permettre de redémarrer son activité. Le PDG a justifié sa décision en déclarant que le versement de la rançon était « la bonne chose à faire pour le pays ». Colonial Pipeline possédait une police de cyber assurance, concoctée par Aon, avec une couverture estimée à 15 millions $. L’assureur a-t-il poussé les dirigeants à payer la rançon ?  Cette question invite à une réflexion un sujet brûlant qui implique directement les professionnels du secteur.

 

L’assureur, complice des pirates ?

Assureur pirates complice

 

Quelques chiffres sur la cyber assurance 

L’augmentation du risque cyber a sans surprise eu un impact sur les assureurs. Voici la preuve en chiffres :

8 % : Peu d’ETI souscrivent une assurance. Mais surtout, la couverture est trop faible (seulement 8 M€ en moyenne). Cependant, la propension augmente puisque le nombre d’ETI souscrivant à une cyber assurance a bondi de 43,6 % par rapport à l’année précédente. Il reste donc à espérer que la tendance se poursuive. 

49 % : C’est l’augmentation du volume de primes, qui est passé de 87 M€ en 2019 à 130 M€ en 2020.

87 % : La majorité des grandes entreprises est couverte par une assurance cyber. Pour les autres, elles recourent principalement à l’auto assurance. Même si la propension est importante, la couverture reste trop limitée (38 M€ en moyenne) au regard du risque. 

129,6 M€ : C’est le montant des primes d’assurances versées par les entreprises en 2020, soit une augmentation de 48 % en un an (les primes étaient à 87,2 M€ en 2019). 

217 M€ : C’est le montant des indemnisations versées sur l’année 2020 par les assureurs. Ce moment a été multiplié par 3, puisqu’il était à 73 M€ en 2019. Pour les assureurs, c’est une très mauvaise nouvelle puisque le ratio sinistre / prime est désormais à 167 % (contre 84 % l’année passée). 

 

Un recours aux assurances face au cyber risque

Face à la multiplication des attaques, les entreprises ont plus que jamais besoin de se tourner vers des assurances cyber. Ces dernières interviennent a posteriori, mais elles permettent aux assurés de limiter les dégâts dans l’hypothèse d’un ransomware. 

La majorité des contrats comprennent ainsi les garanties suivantes : 

  • Assistance : il s’agit alors de dépêcher un expert pour débloquer la situation. 
  • Paiement des indemnités : ce sont tous les frais engendrés pour remettre de l’ordre, et notamment les dommages liés à la perte d’exploitation
  • Responsabilité civile : cela comprend les questions de RGPD en cas de vol de données. Dans tous les cas, l’entreprise est responsable des données traitées au sein de sa structure, que ce soit les siennes ou celles de ses partenaires ou clients. 

D’autres contrats incluent également le paiement d’une rançon. 

Aujourd’hui, on constate que les garanties proposées par l’assurance manquent cruellement de cohérence. Il y a de grandes disparités d’un assureur à l’autre (accompagnement, paiement des rançons, etc.), ce qui entraîne un certain flou quant à la manière d’agir.

Mais surtout, la question du paiement de la rançon fait débat auprès des professionnels. En payant la rançon, l’assurance ne se ferait-elle pas également complice des pirates ?

 

Payer ou ne pas payer, telle est la question !

assurance cyber payer

 

Les arguments pour ne pas payer 

Le 15 avril, Guillaume Poupard, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes informatiques), a lancé une bombe au Sénat en dénonçant « le jeu trouble de certains assureurs ». En synthèse : les assureurs, en encourageant les assurés à payer les rançons, feraient le jeu des pirates en les incitant à récidiver. Le fameux cercle vicieux, qui n’est pas sans rappeler la situation dans le Golfe d’Aden au cours de la dernière décennie.

À l’échelle internationale, le rôle des assurances fait également débat. D’ailleurs, le Wall Street Journal titre l’un de ses articles :  « As Ransomware Proliferates, Insuring for It Becomes Costly and Questioned« . Le célèbre média américain s’interroge sur les rançons accordées aux hackers et leur rôle dans le renforcement d’un système déjà bien rodé. Faciliter le paiement des rançons par l’intermédiaire des cyber assurances, c’est donner plus d’argent aux criminels pour développer leur stratégie de piratages. 

Certains acteurs comme Axa ont déjà pris les devants, en déclarant que l’assureur ne paierait plus les demandes de rançon en France. Hasard ou coïncidence, la division assistance d’Axa en Asie a été victime dans la foulée d’une attaque au ransomware ! À noter que ce changement de politique de couverture des risques implique seulement le paiement de la rançon. Axa continue de rembourser ses assurés pour les coûts engendrés par de telles attaques, comme ceux liés à la remise en service du système informatique.

 

Les arguments pour payer

Pour certaines entreprises, payer la rançon demandée est parfois la seule solution pour survivre. Dans ce contexte, n’est-ce pas le rôle des assureurs de les y aider ? Lorsqu’il y a une inondation, personne ne conteste son obligation à rembourser les dégâts. Dans le cadre d’une cyberattaque, l’arrêt d’activité et la perte de chiffre d’affaires cause des dommages considérables à l’entreprise. Or, le paiement de la rançon est parfois le moyen le plus rapide – et le plus économique ! – de relancer son activité. Il semble donc naturel que l’assurance remplisse son rôle de protection. 

Par ailleurs, en rendant le risque d’extorsion inassurable, cela empêcherait les assurances d’innover dans ce domaine. Pour certains, les actions pour lutter contre la cybercriminalité doivent se faire en faveur de l’innovation plutôt qu’une réglementation stricte. 

C’est justement cette problématique qui fait tant débat autour de la cybercriminalité. Aujourd’hui, la question n’est toujours pas tranchée. C’est pourquoi la Fédération Française de l’assurance réclame l’intervention du législateur pour éclaircir la situation. L’ACPR, de son côté, exhorte les assureurs à prendre la cybersécurité « à bras le corps« . 

 

Une mutualisation des risques insuffisante 

Outre la multiplication des demandes d’assurance, l’explosion des ransomwares a également pour effet de multiplier les demandes de dédommagements. Cependant, les assureurs ne disposent pas toujours des fonds suffisants pour y faire face. 

Comme évoqué précédemment, les demandes de rançons sont parfois exponentielles. Sans compter les frais pour la remise en service d’une activité interrompue pendant quelques jours. Dans ce contexte, les assureurs ont besoin de nombreux clients afin de mutualiser les risques. Mais dans la pratique, cette mutualisation des risques est loin d’être optimale. 

En effet, les entreprises recourant aux cyber assurances ne sont pas encore majoritaires. Et malgré la multiplication des attaques, la souscription d’une garantie cyber-risque dédiée progresse à peine : de 26% à 27% en un an. À ce titre, on constate que ce sont majoritairement les grandes entreprises qui sont bien couvertes, au détriment des ETI et PME. Et quand bien même ces entreprises choisissent de souscrire une assurance cyber, elles choisissent les options minimum. En cas d’attaque, cela ne leur permettra pas toujours d’en ressortir indemnes. 

Cette réticence à bien se couvrir s’explique notamment par la crise du coronavirus qui a mis à mal les capacités financières de nombreuses compagnies. Dans ce contexte, l’assurance cyber est envisagée comme un produit de luxe. 

En raison de ce déficit d’équilibre, les entreprises se voient proposer des réductions de garanties moindres, et ce, pour des tarifs plus élevés. Les assureurs restent réticents à proposer des primes suffisantes tant que le volume global des primes ne leur permettra pas de faire face aux sinistres de haute intensité. 

Avec les cyber attaques, les assurances sont donc confrontées à un cercle vicieux.

Au problème de mutualisation s’ajoute également un manque de recul de la part des assureurs. En effet, les cyber attaques et leur ampleur sont des choses relativement récentes. Les assurances ne disposent donc pas encore des données d’analyse et du recul nécessaires pour proposer une solution pertinente aux assurés. Ce manque de connaissances chiffrées les rend alors plus frileuses à proposer de tels contrats. 

 

L’assureur, arroseur arrosé ?

assureur victime cyber

Les assureurs marchent sur des charbons ardents en matière de risque cyber à plus d’un titre. Ce sont eux qui protègent les entreprises en cas d’attaque. Mais ils peuvent également être victimes de ransomwares et autres logiciels malveillants. C’est d’ailleurs ce qui s’est passé au cours des derniers mois. Voyons quelques exemples à travers ce tableau. 

Assureur

Date

Attaque

Rançon

CNA Financial (US)

21 mars 2021

Blocage des accès au SI pendant 2 semaines + vol de données

Oui – 40M$

Chubb Ltd (anglais) 

Mars 2020

Le groupe Maze menaçait de divulguer des informations confidentielles. 

Non

MNH (mutuelle des hospitaliers) 

Février 2021

15 à 20 jours de blocage + vol d’informations.

Non

IQera

Mai 2021 

8 jours de blocage.

Non

Promutuelle Assurance. Canada

Décembre 2020

Système d’information hors d’usage, mais réaction rapide pour débloquer la situation

Non

MMA

Juillet 2020

Ralentissement de l’activité

Non

Stelliant

14 mai 2021

Réaction rapide puisque le groupe a rapidement coupé ses 200 serveurs.

Non

Axa (Asie)

Mai 2021

Le groupe Avaddon a volé 3 To de données sensibles.

Non

Année après année, les montants des rançons ne cessent d’augmenter. En 2019, la plus grosse rançon payée était de 15 M$. En 2020, 30M$ et en 2021, 40M$ avec l’affaire CNA Financial. 

Pour les cyberpirates, s’attaquer à une assurance a un double avantage : 

  • Obtenir une rançon si l’assureur est prêt à payer ;
  • Obtenir des informations sur les clients possédant des contrats cyber. Si tel est le cas, ils seront plus enclins à payer. Cela permet alors de connaître ses futures cibles. 


Face au ransomware, quelles solutions ? Le monde de l’assurance divisé

 

Pour se protéger des cyber attaques, les entreprises disposent de trois leviers : la prévention, la gestion de crise et l’assurance. Parmi ces volets, la prévention est primordiale. Et pourtant, elle demeure encore beaucoup trop négligée en France. 

 

La prévention avant tout

 

Un système d’information sécurisé

Dans 37 % des cas, le premier point d’entrée des cyberattaques provient d’un serveur appartenant à l’entreprise. Ce qui montre qu’elles ont la possibilité d’agir directement à la source pour limiter les attaques de type cyber. 

Face à la cybercriminalité, la protection des données doit donc être une priorité. De manière générale, les grandes entreprises l’ont bien intégré avec un service dédié. Pour les plus petites entreprises, c’est beaucoup moins évident. Elles ne peuvent embaucher du personnel spécialement dédié à la sécurisation de leur système d’information, alors elles délaissent cette partie. Pourtant, il existe des solutions leur permettant de protéger leurs données, notamment le fait de recourir à un prestataire externe RSSI. 

Plus concrètement, voici les actions à mettre en place pour limiter le risque cyber : 

  • Du matériel sécurisé : cela concerne les outils au sein de l’entreprise, mais également ceux qui sont fournis aux employés en cas de télétravail. 
  • Des logiciels performants : les entreprises doivent mettre régulièrement à jour leur antivirus pour se prémunir des risques. 
  • Un système de surveillance : il s’agit de vérifier les éventuelles intrusions des hackers ainsi que tous les comportements suspects. Dès qu’une anomalie apparaît, des alertes doivent systématiquement se mettre en place. 
  • Un système de sauvegarde : en cas d’attaque, c’est ce qui permet à l’entreprise de limiter les dégâts. Ce système doit également être extrêmement protégé pour limiter l’intrusion des hackers qui pourraient paralyser totalement le SI. 
  • Des formations de sensibilisation : 30 % des personnes recevant un email de phishing ont tendance à cliquer sur le lien. Cela montre qu’il y a encore de nombreux efforts à effectuer en matière de sensibilisation. Il suffit, en effet, aux hackers de pénétrer un seul ordinateur pour s’intégrer dans tout le système. 
  • Une authentification multifactorielle : cela permet de lutter contre les mots de passe faibles. Par exemple, un sms reçu sur le mobile pour accéder au système, la preuve biométrique (scan de l’iris), etc. Cette solution reste toutefois privilégiée pour les entreprises ayant des données très sensibles. 

En matière de cyberattaque, les entreprises doivent appliquer une politique de confiance zéro. C’est-à-dire un contrôle poussé pour accéder à chaque salle du système.  

Malgré une prise de conscience encore insuffisante, des efforts sont néanmoins entrepris pour augmenter le budget alloué à la défense des données. 

D’ailleurs, nous l’avons ressenti chez Eficiens. En tant qu’agence digitale, nous participons à des appels d’offres. Aujourd’hui, il y a de plus en plus de documents obligatoires à fournir, avec l’attestation d’assurance professionnelle obligatoire, mais également des questionnaires extrêmement détaillés sur la sécurité des systèmes d’information. 

 

Le rôle des assurances 

Bien que l’assurance soit essentielle pour se protéger contre les cyberattaques, ce n’est pas la priorité première. C’est la prévention qui est déterminante. À ce titre, les assurances ont un rôle important à jouer lors de la souscription et à travers leur devoir de conseil. 

  • Lors de la souscription : les assureurs doivent faire remplir un questionnaire à leurs assurés. 
  • Le devoir de conseil : les assureurs doivent apporter des conseils à leurs clients sur les actions à mettre en place afin de protéger leur système d’information (la sécurité des accès, la sécurisation des données et des sauvegardes et la résilience des systèmes et leur surveillance). À travers ce devoir, les assureurs doivent aider leurs assurés à devenir des experts en gestion du risque.

Pour autant, rien n’interdit à l’assureur de faire souscrire un contrat cyberattaque à un client qui ne protège pas ses données. Pour limiter les risques, il est tout à fait envisageable d’inciter les entreprises à mettre en place quelques actions pour lutter contre la cybercriminalité. À défaut, la souscription à une assurance cyber serait impossible. 

Et ce n’est pas Julien Nelkin qui dira le contraire. Cet ancien ingénieur réseau télécom informatique reconverti en agent général assurance connait bien le sujet. C’est ainsi qu’il aide ses clients à renforcer leur système avant de proposer la souscription. “Avant de mettre en place une assurance, je préfère proposer un accompagnement financier au client afin de l’aider à protéger son SI. Une fois que c’est fait, il est possible d’envisager la cyber assurance. C’est mieux de payer une petite partie que d’en payer une grosse”. 

Mais c’est loin d’être le cas de tous les assureurs qui ne maîtrisent pas suffisamment la problématique pour apporter des conseils vraiment pertinents. 

Avis de Julien Nelkin : “l’assurance n’est pas un outil qui permet de se couvrir contre les cyberattaques, c’est seulement un outil qui permet de soigner les dégâts engendrés par les cyberattaques”. 

Les assurances ont donc un rôle de premier ordre à endosser pour agir efficacement contre la cybercriminalité. Et pour cause, elles bénéficient d’un avantage non négligeable par rapport à d’autres acteurs économiques : une capacité  financière à inciter les clients assurés à se protéger pour prévenir les pertes. 

 

Les recommandations des entreprises expertes

Outre la prévention, il existe d’autres bonnes pratiques à adopter pour limiter le risque de cyberattaque. Pour les identifier, l’assureur Hiscox a analysé le comportement d’entreprises considérées comme expertes. 

  • La gestion des risques : il s’agit de la capacité à réagir rapidement et efficacement dans les moments critiques. Dans ce cas, les entreprises expertes n’hésitent pas à faire appel à un tiers s’il dispose de compétences plus avancées. 
  • La désignation d’un responsable : de nombreuses entreprises (notamment PME ou ETI) ne disposent pas des ressources pour embaucher un cyber-spécialiste. Pour autant, il est toujours possible de désigner un responsable ou de mandater un prestataire externe pour prendre en charge ces problématiques. 
  • Le traitement des vulnérabilités : aujourd’hui, l’une des vulnérabilités principales vient du fait du développement du télétravail. Dans ce cadre, il faut limiter les risques lorsque les salariés travaillent à domicile. 
  • La sauvegarde des données : mais à l’extérieur de l’entreprise. En cas d’attaque, les entreprises expertes disposent alors d’un système de sauvegarde intact. 

 

Les actions gouvernementales

Face à la multiplication des attaques, les gouvernements européens et internationaux commencent à prendre des initiatives. 

 

Europe

Ayant été victime d’attaque en avril 2021, la commission européenne a décidé de prendre des mesures. C’est ainsi qu’elle a annoncé le mercredi 23 juin 2021 son souhait de créer une unité spéciale visant à la protection des cyberattaques. Il s’agit de réunir les ressources et l’expertise de tous les États membres afin de lutter contre les ransomwares et autres logiciels malveillants. L’objectif serait alors de créer un “bouclier numérique européen”. Cette unité spéciale aurait pour but de prévenir et de dissuader les hackers, mais aussi d’apporter des solutions rapides et efficaces en cas d’attaque. Si la proposition est adoptée, l’unité spéciale pourrait voir le jour dès 2022. 

Australie

Le gouvernement projette d’inscrire cette thématique au programme scolaire des 5 – 16 ans. Déjà sensibilisés à ces questions, les futurs employés et chefs d’entreprise n’hésiteront pas à mettre tout en œuvre pour limiter les risques. 

État-Unis 

Depuis le 3 juin 2021, tous les procureurs américains doivent remonter les affaires de ransomware directement à Washington. L’objectif est de centraliser les différentes attaques pour remonter la chaîne et perturber les actions des malfaiteurs. Cette décision du ministère de la justice fait suite aux affaires Colonial Pipeline et Solar Winds. 

 

Les insurtech, clés de la solution ?

 

Le cyber étant un sujet identifié, il y a des initiatives qui sont mises en place. Faisons le tour d’horizon des acteurs émergents.

 

Citalid 

Citalid est une société fondée par deux anciens membres de l’ANSS en décembre 2017. L’entreprise propose des modèles d’anticipation des cyberattaques via plusieurs analyses. En regroupant les informations business et cyber, Citalid aide ses clients à identifier les scénarios de risque. Elle propose alors de déterminer l’exposition financière aux ransomwares, mais aussi, et surtout, des solutions pour y remédier. 

 

Ozon 

C’est une solution permettant aux entreprises d’évaluer leur niveau de risque. Principalement à destination des PME, Ozon les aide à identifier leurs lacunes en matière de cybersécurité. Outre l’identification des problématiques, Ozon propose également à ses clients la mise en place d’un plan d’action pour éviter les attaques cyber et réagir en cas de logiciels malveillants. 

 

Paladin Cyber 

Côté US, c’est l’entreprise Paladin Cyber qui offre une solution pour sécuriser le système d’information des entreprises et se prémunir contre les attaques. Cette protection se fait à plusieurs niveaux : le réseau, les emails, l’éducation et la formation des équipes. Les employés ont alors accès à un portail personnalisé et sécurisé. 

 

Coalition  

Cette assurance collecte en temps réel les données sur ses assurés et leurs sinistres afin d’alerter ses autres clients des risques imminents. L’entreprise a d’ailleurs réalisé une levée de fonds de 175 millions de dollars pour développer son activité. 

 

Corvus 

L’insurance a levé 100 millions de dollars pour élargir ses activités vers le cyber risque et l’IA. L’entreprise utilise l’intelligence artificielle pour prévoir et prévenir les sinistres cyber. À ce titre, Corvus se présente à la fois comme un assureur et un fournisseur Saas. Parmi les produits cyber proposés, on retrouve : une garantie pour les interruptions d’activité, les défaillances du système, la cyber-extorsion et les ransomwares. 

 

Cowbell Cyber 

Il s’agit d’une cyber assurance qui se base sur l’IA. À travers la collecte de données, l’entreprise est en mesure d’analyser et de surveiller les risques de ses clients. L’assureur à destination des petites et moyennes entreprises a entamé une levée de fonds de 20 millions d’euros. L’objectif est d’émettre des cyber polices personnalisées dans plusieurs États américains. Par ailleurs, Cowbell Cyber inclut une partie formation pour la sensibilisation aux cyber risques, une évaluation continue, et un service d’amélioration des risques. 

 

Tokio Marine HCC 

L’entreprise propose un service d’analyse des vulnérabilités aux assurés. L’objectif est de les informer sur les points d’entrée vulnérables favorisant les attaques des pirates, (failles de sécurité dans le périmètre et les logiciels obsolètes). 

 

Pour conclure sur cette thématique, faisons une analogie avec une autre forme de pirate : les pirates maritimes. Il y a eu une vague de piratage à l’est de l’Afrique dans les années 2010. À cette époque, les assureurs payaient pour récupérer l’équipage, la cargaison et le navire. Et cela s’est calmé lorsque les états ont commencé à mettre des flottes de guerre sur pied, accompagner les convois de cargos, et aller chercher les pirates jusque dans leurs repères. Aujourd’hui, cette partie de l’océan indien est plus sûre pour la navigation. 

C’est bien la preuve qu’il a fallu l’intervention des États avec des moyens forts. Sur le sujet de la cybersécurité, les états vont donc avoir du pain sur la planche pendant les mois à venir. 

 

Aucun commentaire sur cet article. Soyez le premier !

Laissez votre commentaire