Impact sur les taux de cyber assurance

Le rapport, intitulé The Changing Face of Cyber Claims 2021, analyse les sinistres en cyber assurance gérés par Marsh en Europe continentale entre 2016 et 2020. L’augmentation de la fréquence et de la gravité des cyber attaques, les taux de cyber assurance ont augmenté en moyenne de 39 % dans tous les secteurs de la clientèle de Marsh en Europe continentale au premier trimestre 2021, contre 37 % au quatrième trimestre 2020.

Les secteurs les plus touchés depuis 2019 restent dans cet ordre, les institutions financières, les entreprises manufacturières, les communications, médias et technologies et les services professionnels. Néanmoins, Marsh indique que le nombre de déclarations de sinistres dans les quatre premiers secteurs a augmenté de manière significative en 2020, avec des chiffres records à trois chiffres : l'industrie manufacturière (104 %), les communications, médias et technologies (153 %) et les services professionnels (200 %).

Quelles sont les entreprises les plus touchées ?

Bien que la majorité des clients de la cyber police de Marsh soient des petites et moyennes entreprises (74%), les clients les plus touchés en termes de fréquence de cyber notification sont les très grandes entreprises.

Toutefois, selon Marsh, cela peut également être dû au fait que ces grandes entreprises sont plus susceptibles de déclarer les sinistres de manière cohérente en raison de leurs processus internes de gestion des risques ou de leurs capacités informatiques plus solides.

Si l'on se concentre sur les incidents cyber malveillants, ce sont les entreprises manufacturières qui ont connu la plus grande fréquence de cyber attaques. Selon Marsh, cela peut s'expliquer par les coûts élevés associés à l'interruption des activités, qui rendent les entreprises manufacturières très sensibles aux demandes de rançon et en font donc une cible attrayante.

L'évolution de la cyber criminalité

La cyber criminalité est un crime organisé qui fonctionne comme une entreprise et, comme toute entreprise, a besoin d'innovation pour être rentable et réussir. L'attention s'est actuellement portée sur les rançongiciels (il s'agit d'un terme collectif désignant les logiciels malveillants qui verrouillent votre ordinateur ou rendent vos fichiers inaccessibles en échange du versement d'une somme d'argent (généralement en cryptomonnaies) ou d'une autre action) et le phising (une forme de fraude sur Internet dans laquelle les cyber criminels tentent de voler des données personnelles ou des mots de passe).

Anne-Sophie Coppens, Cyber Practice Leader pour Marsh Belgique, explique "Parmi les professionnels de la cyber sécurité, il existe une croyance générale selon laquelle "l’on doit toujours apprendre d’une crise" et les informations recueillies doivent être utilisées pour déterminer les besoins en investissement. Les cyber criminels utilisent la même philosophie, essayant de combiner leurs tactiques bien rodées et leurs logiciels malveillants avec la curiosité humaine et le besoin à des informations actualisées. Par exemple, les cyber criminels ont intelligemment exploité le thème du COVID-19 pour utiliser la peur et le flot d'informations sur la pandémie comme appât social. En plus de ces faiblesses humaines, les cyber criminels exploitent également les faibles mécanismes organisationnels de défense . Il ne s'agit plus de savoir "si" mais plutôt "quand" une organisation sera impliquée dans un incident cyber ".

Où va l'argent de la rançon ?

KIVU a retracé les attaques par ransomware du groupe Egregor et a suivi le butin des paiements de rançon. En suivant la trace de l'argent extorqué à partir de l'entreprise qui a payé, KIVU a découvert qu'il y avait une distribution préétablie des bénéfices en fonction de la hiérarchie entre les membres du groupe ransomware. Les affiliés blanchissent l'argent extorqué par le biais d'un certain nombre de mécanismes, notamment les échanges transfrontaliers à haut risque et les places de marché darknet. La majorité des profits réalisés sur les places de marché du darknet sont envoyés à Hydra, la place de marché la plus importante de Russie pour les produits illicites et de services.

Le GDPR de l'UE et le délai de 72 heures

L'attaque moyenne par ransomeware touche régulièrement les systèmes informatiques utilisés pour traiter les données personnelles. Par conséquent, ces incidents entrent dans le champ d'application du règlement général sur la protection des données de l'UE ou GDPR. Il s'agit notamment d'obligation de déclaration du sinistre dans un délai maximum de 72 heures non seulement aux autorités de contrôle, mais aussi aux personnes concernées lorsqu'il s'agit d'une attaque critique. Cette déclaration est généralement la mesure la plus urgente à prendre par les entreprises concernées.

2020 a montré une augmentation significative des incidents de ransomware où les attaquants sont allés au-delà de la méthode typique de cryptage des données. Il y avait souvent une menace de rendre les données publiques ou de les vendre si la victime de l'attaque refusait de payer la rançon.

Erik Jonkman, avocat spécialisé en cyber sécurité, CMS: “L'augmentation continue des ransomwares oblige les organisations à mettre en œuvre une réponse juridique efficace aux incidents cyber et à reconnaître que la gestion des risques juridiques va bien au-delà de la conformité aux réglementations sur la vie privée telles que le GDPR de l'UE. Les incidents liés aux ransomwares peuvent facilement conduire à des litiges civils entre les organisations, en particulier lorsque leurs processus commerciaux sont fortement imbriqués.”

Gardez un œil sur vos partenaires commerciaux

Dans les économies en réseau, les organisations et leurs processus commerciaux sont fortement interconnectés et intégrés. Une perturbation de l'infrastructure informatique d'une organisation peut facilement entraîner des effets graves sur l'infrastructure d'organisations apparentées, et les incidents liés aux ransomwares passent rarement inaperçus auprès des clients, des fournisseurs ou d'autres partenaires commerciaux. Chaque organisation doit donc prendre les mesures nécessaires pour prendre en compte les tiers concernés à chaque étape de la gestion de l'incident. Si ce n'est pas le cas, il y a un risque accru de perdre le contrôle, ce qui entraîne non seulement une atteinte à la réputation, mais aussi une perte d'activité, voire une escalade juridique telle qu'une résiliation de contrat ou des poursuites civiles.

Anne-Sophie Coppens, conclut : "Il est crucial d'établir des plans et des protocoles d'urgence et de mettre en place des équipes de réponse aux incidents qui peuvent être déployées rapidement pour gérer la crise. Si une meilleure cyber sécurité et une meilleure préparation constituent la première ligne de défense, la cyber assurance peut contribuer à atténuer la gravité d'un incident, à soutenir les entreprises pendant l'interruption et la reprise, et à accroître la résilience. Outre le risque autour des attaques par ransomware, il ne faut pas oublier qu'un incident causé par un employé ou un tiers, sans intention malveillante, fait également partie du cyber risque et peut également entraîner de graves conséquences."