Ce communiquer provient de l’assureur Allianz.
Paris, le 25 octobre 2023. Après deux ans de sinistralité élevée mais stable, 2023 marque une recrudescence inquiétante des sinistres liés au ransomware et à l’extorsion, sur fond d’évolution continue des cybermenaces, signale Allianz Commercial dans un nouveau rapport.
Les hackers ne cessent de cibler les chaînes d’approvisionnement numériques et physiques, de lancer des cyberattaques massives et de trouver de nouveaux moyens de rançonner les entreprises, grandes et petites. Aujourd’hui, la plupart des attaques par ransomware impliquent le vol de données personnelles ou commerciales sensibles, à des fins d’extorsion. Ce phénomène accroît le coût et la complexité des incidents informatiques, ainsi que le risque d’atteinte à la réputation. L’analyse des grands sinistres cyber, réalisée par Allianz Commercial, montre une croissance annuelle des exfiltrations de données. Celles-ci sont passées de 40 % en 2019 à près de 80 % en 2022, et ont encore fortement augmenté en 2023.
« La fréquence des sinistres cyber est repartie à la hausse cette année. En effet, les groupes de pirates continuent d’améliorer leurs tactiques d’attaque,indique Scott Sayce, Directeur mondial Cyber chez Allianz Commercial. Compte tenu du nombre de sinistres déclarés au premier semestre, nous prévoyons une hausse annuelle des sinistres de 25 % pour 2023. Les attaquants sont de retour et visent à nouveau les économies occidentales avec des outils plus puissants, des processus plus performants et des mécanismes plus sophistiqués. Dans ce contexte, les entreprises doivent s’armer efficacement pour pouvoir contrer les menaces. Et le meilleur moyen est de renforcer les capacités de détection et de réponse rapides. »
Comment évolue le risque de ransomware ?
Le rapport d’Allianz Commercial sur les tendances de la cybersécurité 2023 (Cyber security trends 2023: The latest threats and risk mitigation best practice – before, during and after a hack) recense les dernières menaces et les bonnes pratiques d’atténuation des risques avant, pendant et après une attaque. Selon lui, la fréquence des sinistres cyber s’est stabilisée en 2022. Cette tendance reflète une amélioration des mesures de sécurité informatique et de gestion du risque mises en place dans les entreprises assurées. Elle pourrait également s’expliquer par l’action des autorités publiques à l’encontre des groupes de hackers et par le conflit en Ukraine. Toutefois, les attaques par ransomware ont, quant à elles, augmenté de 50 % en un an au premier semestre 2023. Les kits de ransomware, dont les prix commencent à partir de 40 dollars, sont un facteur clé dans la fréquence des attaques. Les gangs exécutent aussi leurs attaques plus rapidement : le nombre moyen de jours nécessaires pour ce faire est passé d’environ 60 jours en 2019 à quatre jours actuellement.
« Les doubles et triples extorsions, qui combinent le chiffrement, l’exfiltration de données et le déni de service distribué, ne sont pas nouvelles, mais sont aujourd’hui plus courantes, expliqueMichael Daum, Directeur mondial des sinistres cyber chez Allianz Commercial. Une conjugaison de facteurs rend l’exfiltration de données plus attractive pour les pirates : la portée et le volume des informations personnelles collectées sont en augmentation, tandis que les réglementations sur la protection de la vie privée et les violations de données sont plus sévères dans le monde entier. Parallèlement, les tendances à l’externalisation et à l’accès à distance multiplient le nombre d’interfaces que les cyberdélinquants peuvent exploiter. »
Une exfiltration de données peut accroître considérablement le coût d’un sinistre cyber. En effet, la résolution de ce type d’incident peut prendre plus de temps. Par ailleurs, les opérations d’expertise judiciaire et informatique peuvent être extrêmement onéreuses. Si des données ont été volées, les entreprises doivent savoir exactement quelles données ont été exfiltrées et devront probablement en informer leurs clients. Ces derniers peuvent réclamer des dommages et intérêts ou intenter une action en justice.
Cette année, il s’est également produit plusieurs attaques par ransomware massives, les pirates exploitant les failles logicielles et les vulnérabilités des chaînes d’approvisionnement numériques pour cibler un grand nombre d’entreprises. Ainsi, la cyberattaque contre MOVEit, un logiciel de transfert de données, a impacté des millions de personnes et des milliers d’entreprises. Touchant de multiples assurés simultanément, elle a contribué à la hausse de la fréquence annuelle des sinistres observée à ce jour.
« Nous devons nous attendre à une augmentation des cyberattaques massives, avertit Michael Daum. C’est pourquoi les entreprises et leurs assureurs doivent mieux connaître les relations et les dépendances existantes entre les organisations et au sein des chaînes d’approvisionnement numériques. »
Hausse du nombre de cas rendus publics
Auparavant, le nombre d’incidents cyber portés à la connaissance du public était faible. Aujourd’hui, il en est différemment. Avec l’exfiltration de données, les hackers menacent de publier en ligne les données volées. L’analyse des grands sinistres cyber (d’un montant supérieur à 1 million d’euros), effectuée par Allianz Commercial, montre que la part de cas rendus publics est passée d’environ 6 % en 2019 à 85 % en 2022. Ce chiffre pourrait être encore plus élevé en 2023. « Aujourd’hui, si vous avez subi une exfiltration de données, celle-ci sera probablement rendue publique. Toutes les entreprises doivent s’y préparer », fait remarquer Rishi Baviskar, Directeur mondial du conseil en risques cyber chez Allianz Commercial.
Les conséquences sur leurs finances et leur réputation risquant d’être importantes, les entreprises pourraient céder davantage aux pressions exercées par les rançonneurs, lorsque des données ont été volées. Le nombre d’entreprises qui payent une rançon augmente d’année en année. Il est passé de 10 % en 2019 à 54 % en 2022, . Les entreprises sont deux fois et demie plus susceptibles de payer lorsque les données ont été exfiltrées, en plus d’avoir été chiffrées.
With potentially costly financial and reputational consequences, companies may feel under more pressure to pay ransoms where data has been stolen. The number of companies paying a ransom has increased year-on-year – from just 10% in 2019 to 54% in 2022, en se basant à nouveau sur l’analyse des sinistres majeurs (1 million d’euros et plus). Companies are two-and-a half times more likely to pay a ransom if data is exfiltrated, on top of the encryption.
Cependant, le paiement d’une rançon contre des données exfiltrées ne résout pas nécessairement le problème. L’entreprise peut faire l’objet, notamment aux États-Unis, d’une action intentée par un tiers pour violation de données. Le paiement de la rançon est donc rarement la meilleure solution pour récupérer ses systèmes et ses données. Lorsqu’une entreprise est touchée, elle doit toujours informer les autorités et coopérer avec elles.
L’importance d’une détection précoce et d’une réponse rapide
La protection d’une entreprise contre les intrusions reste un jeu du chat et de la souris, dans lequel les délinquants ont l’avantage. L’analyse de plus de 3 000 sinistres cyber survenus dans les cinq dernières années, effectuée par Allianz, montre que la manipulation externe des systèmes est à l’origine de plus de 80 % des incidents. Les malfaiteurs étudient aujourd’hui l’utilisation de l’intelligence artificielle (IA) pour automatiser et accélérer leurs attaques, au moyen de logiciels malveillants, de tentatives de phishing et d’outils de clonage vocal plus efficaces. Avec la multiplication des appareils mobiles connectés, le nombre d’attaques ne semble voué qu’à augmenter. Ainsi, Allianz Commercial a constaté la croissance des incidents favorisés par la vulnérabilité des systèmes de cybersécurité dans ce domaine.
La prévention des cyberattaques est donc de plus en plus difficile et les enjeux, de plus en plus élevés. Les capacités et les outils de détection et de réponse précoces s’avèrent de plus en plus importants. Environ 90 % des incidents sont contenus rapidement. Mais si une attaque n’est pas contrée dès les premiers instants, il sera très vite difficile d’éviter un sinistre grave et coûteux.
« La cybersécurité est traditionnellement axée sur la prévention des intrusions, souligneRishi Baviskar. Ces efforts réduisent le nombre de cyberattaques réussies. Malheureusement, il restera toujours des « trous dans la raquette » qui permettront à certains hackers de passer. À titre d’exemple, il est impossible d’imaginer qu’aucun salarié d’une entreprise ne cliquera jamais sur un lien malveillant, compte tenu de la sophistication actuelle des e-mails de phishing. »
Les entreprises doivent augmenter leurs budgets de sécurité informatique destinés aux mesures de détection et de réponse, et non pas se contenter d’ajouter une énième barrière de protection. Seul un tiers des entreprises décèlent une violation de données grâce à leurs propres équipes de sécurité. Or, les technologies de détection précoce sont facilement disponibles et efficaces.
« Les systèmes de détection continuent de s’améliorer et peuvent éviter de nombreux problèmes, en réduisant les délais de découverte et de réaction. C’est un aspect que nous prenons en compte dans nos évaluations du risque cyber et dans nos souscriptions », précise Rishi Baviskar.
Les violations de données peuvent devenir 1 000 fois plus coûteuses si elles ne sont pas détectées et contenues rapidement, souligne le rapport. L’analyse d’Allianz Commercial montre qu’une détection et une réponse précoces permettent d’éviter qu’un sinistre de 20 000 euros coûte finalement 20 millions d’euros.
« La prévention détermine la fréquence des attaques et la réponse influe sur l’ampleur du sinistre, qui peut être un simple incident informatique ou se convertir en crise majeure pour l’entreprise, conclut Michael Daum. Nous pensons que les entreprises peuvent se préparer efficacement et améliorer encore leur réaction face aux menaces. À l’avenir, les capacités de détection et de réponse précoces seront essentielles pour atténuer l’impact des cyberattaques et garantir la pérennité du marché de l’assurance cyber. »