Le cyber risque : état des lieux
Risque cyber : des chiffres qui brûlent les yeux
Des cyberattaques en évolution
Les tendances des cyber attaques 2020
Une sophistication plus poussée
Une envolée du risque cyber avec le Covid
Une prise de conscience à deux vitesses
Cas concrets : Les ransomwares touchent tout le monde
L’assureur, complice des pirates ?
Quelques chiffres sur la cyber assurance
Un recours aux assurances face au cyber risque
Payer ou ne pas payer, telle est la question !
Une mutualisation des risques insuffisante
Face au ransomware, quelles solutions ?
Les recommandations des entreprises expertes
Les insurtech, clés de la solution ?
Le cyber risque convoque chez nous l’imaginaire du roman d’anticipation. Dans un univers futuriste, des hackers bien cachés derrière leurs ordinateurs se réinventent en pirates des temps modernes. Leur mode opératoire favori ? Capturer les données d’une personne, entreprise ou institution, et ne les restituer qu’en échange du paiement d’une rançon. Le scénario a de quoi séduire Hollywood. Problème : c’est aujourd’hui notre quotidien. Face à ces attaques qui font rage en France et dans le monde, les entreprises ont la possibilité de se tourner vers leurs assureurs. Toutefois, le secteur se montre encore très tâtonnant sur le sujet. Il y a pourtant urgence à agir face à ce nouveau risque qui présente tous les caractères de la menace systémique.
Le cyber risque, c’est bien plus qu’un logiciel malveillant. Il s’agit en réalité d’un système commercial criminel extrêmement bien pensé par lequel le hacker prend en otage les données d’une entreprise en échange d’une rançon. Pour cela, il chiffre le système d’information de sorte à le rendre inaccessible. C’est ce qu’on appelle le ransomware : l’arme favorite des pirates.
L’efficacité de ce système vient de la valeur des données pour les sociétés, et ce, quel que soit leur secteur d’activité. Elles regroupent l’infrastructure, la production économique, les données clients, la propriété intellectuelle, les informations confidentielles ou personnelles, etc.
L’importance cruciale de ces informations entraîne fréquemment le paiement de la rançons. Et comme tout se passe en ligne, ces transactions se font à travers le bitcoin ou autres cryptomonnaies. Le hacker reste ainsi anonyme. En d’autres termes, le ransomware correspond à de l’extorsion dans sa forme la plus pure.
L’importance des données dans tous les secteurs économiques offre aux pirates un large choix de victimes, presque infini. Alors, pour sélectionner leurs prochaines cibles, ils se basent notamment sur les opportunités financières d’une telle attaque (taille et ressources de l’entreprise). Ces indicateurs permettent de connaître la valeur des actifs ainsi pris en otage. Plus ces données ont de la valeur, plus les entreprises sont prêtes à payer la rançon.
Et pour être sûr que l’opération soit un succès, les hackers choisissent aussi leur victime en raison de sa vulnérabilité. Bien souvent, cela se passe au niveau des choix technologiques (exposition à l’internet public, absence de sécurisation des mots de passe, logiciels ou appareillages non fiables, etc.).
Des victimes faciles et des opportunités financières élevées, il en existe partout en France et dans le monde. Pour cette raison, le risque cyber prend aujourd’hui de plus en plus d’ampleur.
Avis de Julien Nelkin (Agent Général Assurance spécialisé sur le sujet cyber) : le cyber risque “est le principal risque, en complément des risques climatiques”.
Outre les ransomwares, les hackers ont d’autres possibilités de gagner de l’argent grâce aux informations récoltées : la monétisation sur le darknet ou encore les vols d’identité.
Pour vous aider à prendre conscience de l’importance grandissante risque cyber, voici quelques chiffres issus du rapport 2021 HISCOX et de l’enquête LUCY par l’Association pour le Management des Risques et des Assurances de l’Entreprise.
14 % : C’est le nombre d’entreprises françaises ayant été victimes d’une cyberattaque en 2020. Parmi elles, 65 % ont payé la rançon. Ce qui place la France en mauvaise élève, puisque la moyenne mondiale est de 58 % de paiement.
21 % : C’est le budget informatique moyen des entreprises en 2021 consacré à la cybercriminalité. En 1 an, cette part a donc augmenté de 63 %. Pour autant, cela ne semble pas encore suffisant pour limiter le risque cyber.
28 % : C’est le nombre d’entreprises victimes de cyber-attaques ayant été ciblées plus de cinq fois en 2019. Pour les très grandes entreprises, les chiffres sont affolants : 47 % ont subi les coups des pirates du web six fois ou plus. Et 33 % d’entre elles ont même subi plus de 25 attaques.
71 % : soir le pourcentage des professionnels de la sécurité informatique qui ont relevé une augmentation des menaces et attaques depuis le début de la crise sanitaire.
76% : C’est la quantité de ransomwares (à destination des entreprises) qui agissent en dehors des heures de travail. Et pour cause, la plupart des entreprises n’ont pas de service informatique disponible 24h/24. Alors pour éviter de se faire prendre, les pirates attaquent la nuit.
80 % : C’est le nombre d’entreprises mettant la clé sous la porte à la suite d’une perte de données consécutive à une attaque cyber. Et même si elles prennent de plus en plus conscience du danger, les mesures sont encore insuffisantes pour éliminer ce nouveau mal du 21e siècle.
+255% : C’est l’augmentation des ransomwares en l’espace d’un an. La CNIL vient d’ailleurs de confirmer cette tendance en précisant que le rançongiciel demeurait l’attaque la plus répandue et avait atteint des records en 2020.
756 : C’est le nombre d’attaques ransomware recensées en Europe sur l’année 2020, contre 432 en 2019. Pour autant, ce chiffre est à prendre avec des pincettes puisque toutes les attaques ne sont pas reportées. Environ 9 attaques sur 10 sont passées sous silence, soit parce qu’elles sont déjà payées, soit parce que les entreprises disposent d’un système de sécurité avancé.
+ de 100 000 dollars : c’est la moyenne des demandes de rançon recensées en 2020. En 2019, la moyenne était de 10 000 dollars.
Avec la montée en puissance des cyber attaques depuis la crise sanitaire, certaines tendances se dégagent. En 2020, les ransomwares sont ainsi caractérisés par trois points récurrents :
Aujourd’hui, la piraterie est un business qui a la cote ! Les truands s’organisent et bénéficient même de webservices d’extorsion accessibles en ligne, à l’image de Darkside qui « vérifie » les cybercriminels et leur livre les outils pour faciliter leurs actions. C’est l’AWS du crime !
Grâce à cet écosystème, les performances technologiques des hackers deviennent de plus en plus poussées. Voici quelques exemples de tendances qui se développent :
Grâce à toutes ces technologies, les hackers se frayent un chemin progressif sur un réseau de plus en plus vaste. Les dégâts pour l’entreprise peuvent être colossaux, en particulier s’ils atteignent le serveur de sauvegarde.
La transformation digitale et la crise sanitaire font exploser le risque cyber : + 50% de télétravail, + 30% d’augmentation de la data sur les lignes fixes. Notre société a basculé dans une nouvelle réalité qui est, par nature, bien plus exposée à ce danger.
Mais au début de la crise, peu d’entreprises visualisaient ces risques. Lorsque la pandémie a démarré, les acteurs économiques ont commencé à porter leur attention sur la mise en place des bons outils de communication et de travail. Cependant, trop peu d’efforts ont été investis pour la sécurisation de ces outils. Aujourd’hui, nombre de sociétés doivent alors revenir en arrière pour protéger leurs systèmes. Un début de prise de conscience semble en cours avec 43% des entreprises qui se disent prêtes à augmenter les budgets cybersécurité.
Sur le terrain, les assureurs rencontrent deux types de clients en matière de cybersécurité. C’est ce que nous confirme Julien Nelkin qui est régulièrement confronté à ces situations :
Or, le risque cyber est une réalité pour toutes les entreprises, quels que soient leur taille ou leur secteur d’activité. Les grandes entreprises en sont évidemment conscientes. Mais les PME beaucoup moins : en 2021, seules 0,0026% des petites entreprises françaises sont ainsi protégées contre le risque cyber ! Le danger est pourtant bien là. Prenons l’exemple d’un garagiste. Sans l’accès à son système d’information, il n’est plus en mesure de suivre ces contrats clients, de réaliser des commandes de pièces et encore moins de facturer. Cela se retrouve également au niveau des collectivités publiques, comme les hôpitaux, les institutions étatiques, etc. Les vols de données clients se révèlent également extrêmement problématiques – voir l’exemple détaillé de l’attaque de la startup française Spliiit.
Cette absence de prise de conscience est assez paradoxale. En effet, les entreprises n’hésitent pas à mettre des rideaux électriques ou des caméras pour éviter les cambriolages. Pourquoi ne font-elles pas la même chose avec leur système d’information ? D’autant que les données présentes dans leurs ordinateurs sont souvent plus précieuses que celles exposées au sein de leurs usines.
Depuis 2020, les attaques de ransomware ont été particulièrement prolifiques. Elles concernent aussi bien des entreprises publiques que privées.
Quelle que soit l’organisation touchée, les pertes sont toujours colossales. Même si aucune rançon n’est payée, un ralentissement de l’activité peut engendrer plusieurs centaines de milliers, voire plusieurs millions d’euros de pertes. Sans compter les dommages sur la réputation de l’entreprise qui ne peuvent être précisément mesurés.
Pour vous aider à vous faire une idée des différentes attaques ayant eu lieu au cours des derniers mois, voici un tableau reprenant plusieurs exemples marquants.
|
Entreprise |
Date |
Attaque |
Paiement de la rançon |
|
Solar Winds |
Mars 2020 |
À travers le logiciel Orion, les hackers ciblent le gouvernement US. |
Non |
|
Orange Business Service |
4 juillet 2020 |
Cryptovirus – 350 Mo de données volées. |
Non |
|
Garmin |
17 juillet 2020 |
Groupe Evil Corp a paralysé les services Garmin à travers le logiciel Wasted Locker. |
Non – 10 M€ demandés |
|
Canon |
Août 2020 |
Vol de 10 To de données sensibles par le groupe Maze. |
Non – les informations ont été divulguées |
|
Swatch Group |
Sept 2020 |
Ralentissement de l’activité suite à une infiltration. |
Non |
|
Sopra Steria |
Octobre 2020 |
Ryuk à l’origine de l’attaque |
Non – mais perte estimée à 50 M€ |
|
Agence européenne des médicaments |
Décembre 2020 |
Vol d’information (notamment sur les vaccins anti Covid). |
Non |
|
Bose US |
7 mars 2021 |
Informations confidentielles des employés ont été dérobées. |
Non |
|
Pierre Fabre |
30 mars 2021 |
Site de production et site web à l’arrêt pendant plusieurs jours. |
Non – 25 M€ demandés |
|
JBS |
Mai 2021 |
Double extorsion. |
Oui – 11 M$ |
|
OTAN |
Mai 2021 |
Attaque de la plateforme computing SOA & IdM. |
Non – Rançon demandée = 14 500 XMR , soit 3,3 M€ |
|
Service de santé irlandais |
Mai 2021 |
Paralysie de l’activité attribuée au groupe Conti. Le ralentissement de l’activité se fait toujours sentir 2 mois plus tard. |
Non – 20 M€ demandé |
|
Belgique |
4 mai 2021 |
Plus de 200 sites internet du gouvernement belge ont été piratés. |
Non – spéculation d’une attaque chinoise |
|
Colonial Pipeline |
7 mai 2021 |
Cryptage du SI. |
Oui – 4,4 M$ |
|
Electronic Arts |
Juin 2021 |
780 Go de données piratées et revendues sur le dark web (dont plusieurs jeux vidéo comme FIFA 2021). |
Non |
|
Fujifilm |
1 juin 2021 |
Cheval de Troie Qbot : L’entreprise a fermé une partie de son SI pour limiter la propagation. |
Non |
|
Kaseya |
3 juillet 2021 |
La cyberattaque contre cette société informatique US touche près de 1 500 entreprises à travers le monde. |
Non : 70 M$ demandée |
Parmi les attaques qui ont le plus marqué le monde au cours des derniers mois, il y a l’affaire Colonial Pipeline. Et pour cause, l’entreprise fournit une grande partie (45 %) de la côte Est des Etats-Unis en carburant. En raison de cette attaque, le géant américain a été contraint de suspendre l’activité d’un oléoduc. Cela a eu pour effet d’interrompre l’approvisionnement en carburant des États-Unis pendant une semaine. Les conséquences d’un arrêt de 6 jours ont été très sérieuses pour le pays pendant cette courte période : une envolée des prix du pétrole et une crainte de pénurie pour tous les Américains.
Malgré les recommandations du FBI de ne pas payer, Joseph Blount (PDG de Colonial Pipeline) a versé la rançon aux ravisseurs. Dès réception de l’argent, les pirates ont fourni à l’entreprise la clé de décryptage pour lui permettre de redémarrer son activité. Le PDG a justifié sa décision en déclarant que le versement de la rançon était « la bonne chose à faire pour le pays ». Colonial Pipeline possédait une police de cyber assurance, concoctée par Aon, avec une couverture estimée à 15 millions $. L’assureur a-t-il poussé les dirigeants à payer la rançon ? Cette question invite à une réflexion un sujet brûlant qui implique directement les professionnels du secteur.
L’augmentation du risque cyber a sans surprise eu un impact sur les assureurs. Voici la preuve en chiffres :
8 % : Peu d’ETI souscrivent une assurance. Mais surtout, la couverture est trop faible (seulement 8 M€ en moyenne). Cependant, la propension augmente puisque le nombre d’ETI souscrivant à une cyber assurance a bondi de 43,6 % par rapport à l’année précédente. Il reste donc à espérer que la tendance se poursuive.
49 % : C’est l’augmentation du volume de primes, qui est passé de 87 M€ en 2019 à 130 M€ en 2020.
87 % : La majorité des grandes entreprises est couverte par une assurance cyber. Pour les autres, elles recourent principalement à l’auto assurance. Même si la propension est importante, la couverture reste trop limitée (38 M€ en moyenne) au regard du risque.
129,6 M€ : C’est le montant des primes d’assurances versées par les entreprises en 2020, soit une augmentation de 48 % en un an (les primes étaient à 87,2 M€ en 2019).
217 M€ : C’est le montant des indemnisations versées sur l’année 2020 par les assureurs. Ce moment a été multiplié par 3, puisqu’il était à 73 M€ en 2019. Pour les assureurs, c’est une très mauvaise nouvelle puisque le ratio sinistre / prime est désormais à 167 % (contre 84 % l’année passée).
Face à la multiplication des attaques, les entreprises ont plus que jamais besoin de se tourner vers des assurances cyber. Ces dernières interviennent a posteriori, mais elles permettent aux assurés de limiter les dégâts dans l’hypothèse d’un ransomware.
La majorité des contrats comprennent ainsi les garanties suivantes :
D’autres contrats incluent également le paiement d’une rançon.
Aujourd’hui, on constate que les garanties proposées par l’assurance manquent cruellement de cohérence. Il y a de grandes disparités d’un assureur à l’autre (accompagnement, paiement des rançons, etc.), ce qui entraîne un certain flou quant à la manière d’agir.
Mais surtout, la question du paiement de la rançon fait débat auprès des professionnels. En payant la rançon, l’assurance ne se ferait-elle pas également complice des pirates ?
Le 15 avril, Guillaume Poupard, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes informatiques), a lancé une bombe au Sénat en dénonçant « le jeu trouble de certains assureurs ». En synthèse : les assureurs, en encourageant les assurés à payer les rançons, feraient le jeu des pirates en les incitant à récidiver. Le fameux cercle vicieux, qui n’est pas sans rappeler la situation dans le Golfe d’Aden au cours de la dernière décennie.
À l’échelle internationale, le rôle des assurances fait également débat. D’ailleurs, le Wall Street Journal titre l’un de ses articles : « As Ransomware Proliferates, Insuring for It Becomes Costly and Questioned« . Le célèbre média américain s’interroge sur les rançons accordées aux hackers et leur rôle dans le renforcement d’un système déjà bien rodé. Faciliter le paiement des rançons par l’intermédiaire des cyber assurances, c’est donner plus d’argent aux criminels pour développer leur stratégie de piratages.
Certains acteurs comme Axa ont déjà pris les devants, en déclarant que l’assureur ne paierait plus les demandes de rançon en France. Hasard ou coïncidence, la division assistance d’Axa en Asie a été victime dans la foulée d’une attaque au ransomware ! À noter que ce changement de politique de couverture des risques implique seulement le paiement de la rançon. Axa continue de rembourser ses assurés pour les coûts engendrés par de telles attaques, comme ceux liés à la remise en service du système informatique.
Pour certaines entreprises, payer la rançon demandée est parfois la seule solution pour survivre. Dans ce contexte, n’est-ce pas le rôle des assureurs de les y aider ? Lorsqu’il y a une inondation, personne ne conteste son obligation à rembourser les dégâts. Dans le cadre d’une cyberattaque, l’arrêt d’activité et la perte de chiffre d’affaires cause des dommages considérables à l’entreprise. Or, le paiement de la rançon est parfois le moyen le plus rapide – et le plus économique ! – de relancer son activité. Il semble donc naturel que l’assurance remplisse son rôle de protection.
Par ailleurs, en rendant le risque d’extorsion inassurable, cela empêcherait les assurances d’innover dans ce domaine. Pour certains, les actions pour lutter contre la cybercriminalité doivent se faire en faveur de l’innovation plutôt qu’une réglementation stricte.
C’est justement cette problématique qui fait tant débat autour de la cybercriminalité. Aujourd’hui, la question n’est toujours pas tranchée. C’est pourquoi la Fédération Française de l’assurance réclame l’intervention du législateur pour éclaircir la situation. L’ACPR, de son côté, exhorte les assureurs à prendre la cybersécurité « à bras le corps« .
Outre la multiplication des demandes d’assurance, l’explosion des ransomwares a également pour effet de multiplier les demandes de dédommagements. Cependant, les assureurs ne disposent pas toujours des fonds suffisants pour y faire face.
Comme évoqué précédemment, les demandes de rançons sont parfois exponentielles. Sans compter les frais pour la remise en service d’une activité interrompue pendant quelques jours. Dans ce contexte, les assureurs ont besoin de nombreux clients afin de mutualiser les risques. Mais dans la pratique, cette mutualisation des risques est loin d’être optimale.
En effet, les entreprises recourant aux cyber assurances ne sont pas encore majoritaires. Et malgré la multiplication des attaques, la souscription d’une garantie cyber-risque dédiée progresse à peine : de 26% à 27% en un an. À ce titre, on constate que ce sont majoritairement les grandes entreprises qui sont bien couvertes, au détriment des ETI et PME. Et quand bien même ces entreprises choisissent de souscrire une assurance cyber, elles choisissent les options minimum. En cas d’attaque, cela ne leur permettra pas toujours d’en ressortir indemnes.
Cette réticence à bien se couvrir s’explique notamment par la crise du coronavirus qui a mis à mal les capacités financières de nombreuses compagnies. Dans ce contexte, l’assurance cyber est envisagée comme un produit de luxe.
En raison de ce déficit d’équilibre, les entreprises se voient proposer des réductions de garanties moindres, et ce, pour des tarifs plus élevés. Les assureurs restent réticents à proposer des primes suffisantes tant que le volume global des primes ne leur permettra pas de faire face aux sinistres de haute intensité.
Avec les cyber attaques, les assurances sont donc confrontées à un cercle vicieux.
Au problème de mutualisation s’ajoute également un manque de recul de la part des assureurs. En effet, les cyber attaques et leur ampleur sont des choses relativement récentes. Les assurances ne disposent donc pas encore des données d’analyse et du recul nécessaires pour proposer une solution pertinente aux assurés. Ce manque de connaissances chiffrées les rend alors plus frileuses à proposer de tels contrats.
Les assureurs marchent sur des charbons ardents en matière de risque cyber à plus d’un titre. Ce sont eux qui protègent les entreprises en cas d’attaque. Mais ils peuvent également être victimes de ransomwares et autres logiciels malveillants. C’est d’ailleurs ce qui s’est passé au cours des derniers mois. Voyons quelques exemples à travers ce tableau.
|
Assureur |
Date |
Attaque |
Rançon |
|
CNA Financial (US) |
21 mars 2021 |
Blocage des accès au SI pendant 2 semaines + vol de données |
Oui – 40M$ |
|
Chubb Ltd (anglais) |
Mars 2020 |
Le groupe Maze menaçait de divulguer des informations confidentielles. |
Non |
|
MNH (mutuelle des hospitaliers) |
Février 2021 |
15 à 20 jours de blocage + vol d’informations. |
Non |
|
IQera |
Mai 2021 |
8 jours de blocage. |
Non |
|
Promutuelle Assurance. Canada |
Décembre 2020 |
Système d’information hors d’usage, mais réaction rapide pour débloquer la situation |
Non |
|
MMA |
Juillet 2020 |
Ralentissement de l’activité |
Non |
|
Stelliant |
14 mai 2021 |
Réaction rapide puisque le groupe a rapidement coupé ses 200 serveurs. |
Non |
|
Axa (Asie) |
Mai 2021 |
Le groupe Avaddon a volé 3 To de données sensibles. |
Non |
Année après année, les montants des rançons ne cessent d’augmenter. En 2019, la plus grosse rançon payée était de 15 M$. En 2020, 30M$ et en 2021, 40M$ avec l’affaire CNA Financial.
Pour les cyberpirates, s’attaquer à une assurance a un double avantage :
Pour se protéger des cyber attaques, les entreprises disposent de trois leviers : la prévention, la gestion de crise et l’assurance. Parmi ces volets, la prévention est primordiale. Et pourtant, elle demeure encore beaucoup trop négligée en France.
Dans 37 % des cas, le premier point d’entrée des cyberattaques provient d’un serveur appartenant à l’entreprise. Ce qui montre qu’elles ont la possibilité d’agir directement à la source pour limiter les attaques de type cyber.
Face à la cybercriminalité, la protection des données doit donc être une priorité. De manière générale, les grandes entreprises l’ont bien intégré avec un service dédié. Pour les plus petites entreprises, c’est beaucoup moins évident. Elles ne peuvent embaucher du personnel spécialement dédié à la sécurisation de leur système d’information, alors elles délaissent cette partie. Pourtant, il existe des solutions leur permettant de protéger leurs données, notamment le fait de recourir à un prestataire externe RSSI.
Plus concrètement, voici les actions à mettre en place pour limiter le risque cyber :
En matière de cyberattaque, les entreprises doivent appliquer une politique de confiance zéro. C’est-à-dire un contrôle poussé pour accéder à chaque salle du système.
Malgré une prise de conscience encore insuffisante, des efforts sont néanmoins entrepris pour augmenter le budget alloué à la défense des données.
D’ailleurs, nous l’avons ressenti chez Eficiens. En tant qu’agence digitale, nous participons à des appels d’offres. Aujourd’hui, il y a de plus en plus de documents obligatoires à fournir, avec l’attestation d’assurance professionnelle obligatoire, mais également des questionnaires extrêmement détaillés sur la sécurité des systèmes d’information.
Bien que l’assurance soit essentielle pour se protéger contre les cyberattaques, ce n’est pas la priorité première. C’est la prévention qui est déterminante. À ce titre, les assurances ont un rôle important à jouer lors de la souscription et à travers leur devoir de conseil.
Pour autant, rien n’interdit à l’assureur de faire souscrire un contrat cyberattaque à un client qui ne protège pas ses données. Pour limiter les risques, il est tout à fait envisageable d’inciter les entreprises à mettre en place quelques actions pour lutter contre la cybercriminalité. À défaut, la souscription à une assurance cyber serait impossible.
Et ce n’est pas Julien Nelkin qui dira le contraire. Cet ancien ingénieur réseau télécom informatique reconverti en agent général assurance connait bien le sujet. C’est ainsi qu’il aide ses clients à renforcer leur système avant de proposer la souscription. “Avant de mettre en place une assurance, je préfère proposer un accompagnement financier au client afin de l’aider à protéger son SI. Une fois que c’est fait, il est possible d’envisager la cyber assurance. C’est mieux de payer une petite partie que d’en payer une grosse”.
Mais c’est loin d’être le cas de tous les assureurs qui ne maîtrisent pas suffisamment la problématique pour apporter des conseils vraiment pertinents.
Avis de Julien Nelkin : “l’assurance n’est pas un outil qui permet de se couvrir contre les cyberattaques, c’est seulement un outil qui permet de soigner les dégâts engendrés par les cyberattaques”.
Les assurances ont donc un rôle de premier ordre à endosser pour agir efficacement contre la cybercriminalité. Et pour cause, elles bénéficient d’un avantage non négligeable par rapport à d’autres acteurs économiques : une capacité financière à inciter les clients assurés à se protéger pour prévenir les pertes.
Outre la prévention, il existe d’autres bonnes pratiques à adopter pour limiter le risque de cyberattaque. Pour les identifier, l’assureur Hiscox a analysé le comportement d’entreprises considérées comme expertes.
Face à la multiplication des attaques, les gouvernements européens et internationaux commencent à prendre des initiatives.
Europe
Ayant été victime d’attaque en avril 2021, la commission européenne a décidé de prendre des mesures. C’est ainsi qu’elle a annoncé le mercredi 23 juin 2021 son souhait de créer une unité spéciale visant à la protection des cyberattaques. Il s’agit de réunir les ressources et l’expertise de tous les États membres afin de lutter contre les ransomwares et autres logiciels malveillants. L’objectif serait alors de créer un “bouclier numérique européen”. Cette unité spéciale aurait pour but de prévenir et de dissuader les hackers, mais aussi d’apporter des solutions rapides et efficaces en cas d’attaque. Si la proposition est adoptée, l’unité spéciale pourrait voir le jour dès 2022.
Australie
Le gouvernement projette d’inscrire cette thématique au programme scolaire des 5 – 16 ans. Déjà sensibilisés à ces questions, les futurs employés et chefs d’entreprise n’hésiteront pas à mettre tout en œuvre pour limiter les risques.
État-Unis
Depuis le 3 juin 2021, tous les procureurs américains doivent remonter les affaires de ransomware directement à Washington. L’objectif est de centraliser les différentes attaques pour remonter la chaîne et perturber les actions des malfaiteurs. Cette décision du ministère de la justice fait suite aux affaires Colonial Pipeline et Solar Winds.
Le cyber étant un sujet identifié, il y a des initiatives qui sont mises en place. Faisons le tour d’horizon des acteurs émergents.
Citalid est une société fondée par deux anciens membres de l’ANSS en décembre 2017. L’entreprise propose des modèles d’anticipation des cyberattaques via plusieurs analyses. En regroupant les informations business et cyber, Citalid aide ses clients à identifier les scénarios de risque. Elle propose alors de déterminer l’exposition financière aux ransomwares, mais aussi, et surtout, des solutions pour y remédier.
C’est une solution permettant aux entreprises d’évaluer leur niveau de risque. Principalement à destination des PME, Ozon les aide à identifier leurs lacunes en matière de cybersécurité. Outre l’identification des problématiques, Ozon propose également à ses clients la mise en place d’un plan d’action pour éviter les attaques cyber et réagir en cas de logiciels malveillants.
Côté US, c’est l’entreprise Paladin Cyber qui offre une solution pour sécuriser le système d’information des entreprises et se prémunir contre les attaques. Cette protection se fait à plusieurs niveaux : le réseau, les emails, l’éducation et la formation des équipes. Les employés ont alors accès à un portail personnalisé et sécurisé.
Cette assurance collecte en temps réel les données sur ses assurés et leurs sinistres afin d’alerter ses autres clients des risques imminents. L’entreprise a d’ailleurs réalisé une levée de fonds de 175 millions de dollars pour développer son activité.
L’insurance a levé 100 millions de dollars pour élargir ses activités vers le cyber risque et l’IA. L’entreprise utilise l’intelligence artificielle pour prévoir et prévenir les sinistres cyber. À ce titre, Corvus se présente à la fois comme un assureur et un fournisseur Saas. Parmi les produits cyber proposés, on retrouve : une garantie pour les interruptions d’activité, les défaillances du système, la cyber-extorsion et les ransomwares.
Il s’agit d’une cyber assurance qui se base sur l’IA. À travers la collecte de données, l’entreprise est en mesure d’analyser et de surveiller les risques de ses clients. L’assureur à destination des petites et moyennes entreprises a entamé une levée de fonds de 20 millions d’euros. L’objectif est d’émettre des cyber polices personnalisées dans plusieurs États américains. Par ailleurs, Cowbell Cyber inclut une partie formation pour la sensibilisation aux cyber risques, une évaluation continue, et un service d’amélioration des risques.
L’entreprise propose un service d’analyse des vulnérabilités aux assurés. L’objectif est de les informer sur les points d’entrée vulnérables favorisant les attaques des pirates, (failles de sécurité dans le périmètre et les logiciels obsolètes).
Pour conclure sur cette thématique, faisons une analogie avec une autre forme de pirate : les pirates maritimes. Il y a eu une vague de piratage à l’est de l’Afrique dans les années 2010. À cette époque, les assureurs payaient pour récupérer l’équipage, la cargaison et le navire. Et cela s’est calmé lorsque les états ont commencé à mettre des flottes de guerre sur pied, accompagner les convois de cargos, et aller chercher les pirates jusque dans leurs repères. Aujourd’hui, cette partie de l’océan indien est plus sûre pour la navigation.
C’est bien la preuve qu’il a fallu l’intervention des États avec des moyens forts. Sur le sujet de la cybersécurité, les états vont donc avoir du pain sur la planche pendant les mois à venir.
