Les données sont inestimables et leur perte peut paralyser les entreprises. Et même l’assurance la plus chère ne les couvre pas.
Selon le baromètre cybersécurité CESIN 2022, 54% des entreprises françaises ont fait l’objet d’une cyberattaque en 2021 et une entreprise sur cinq a été visée par une cyberattaque par ransomware !
La tendance était déjà à la hausse avant la pandémie, mais lorsque le monde des affaires s’est radicalement déplacé vers le travail à distance, les cybercriminels ont sauté sur l’occasion pour exploiter les vulnérabilités nouvellement exposées apparues dans l’environnement de travail hybride.
Les télétravailleurs sont rapidement devenus des cibles privilégiées pour les pirates et le nombre de violations réussies dues aux rançongiciels a explosé. Il en va de même pour le coût de la récupération des données.
Un rapport récent d’IBM montre que le coût total moyen d’une violation de données est passé en 2021 de 4,24 millions de dollars à 4,35 millions de dollars, le niveau le plus élevé jamais enregistré.
Les compagnies d’assurance ont commencé à payer ces frais aux entreprises, notamment en versant une rançon. Cependant, la situation est bien différente en 2022. À l’instar du paysage des menaces de cybersécurité, le marché de la cyberassurance a évolué rapidement au cours de l’année écoulée.
Les cyberassureurs, qui se remettent de deux années historiques, affinent leurs processus de réclamation et élèvent la barre des réclamations, de sorte que les entreprises ne peuvent plus compter uniquement sur l’assurance dans le cadre de leurs stratégies de protection et de récupération.
Une stratégie de cybersécurité sophistiquée est désormais nécessaire pour permettre aux personnes, aux processus et à la technologie de travailler ensemble autant que possible vers un objectif de « prévention ».
Des processus doivent également être définis en cas de défaillance ou de violation de la technologie par des cybercriminels, y compris des processus de surveillance proactive, de détection rapide, de réponse et de confinement immédiats. L’assurance reste pertinente uniquement en tant que « remède » en cas d’urgence, car une bonne cyber-résilience est plus importante que jamais pour les entreprises.
Et en effet, même si la France planche actuellement sur un projet de loi autorisant l’indemnisation par les compagnies d’assurance des rançons payées par leurs clients, c’est bien avec l’objectif général d’élever le niveau de cyber sécurité des entreprises car il est clair que la cyber assurance sera soumise à l’entreprise justifiant les investissements antérieurs.
Le nouveau « Far West » du ransomware
Les résultats étonnants et très rentables obtenus par les cybergangs mondiaux grâce à l’utilisation de rançongiciels ne sont pas passés inaperçus. Et ils ont fait affluer sur le marché de nouveaux acteurs – souvent moins expérimentés – qui cherchent à s’imposer.
Le problème est que tous les gangs de cybercriminels ne sont pas créés égaux.
Les précédents développeurs de rançongiciels opéraient avec un niveau de sophistication et des capacités techniques qui leur permettaient non seulement de voler et de stocker les données de l’entreprise, mais aussi de les restituer intactes une fois la rançon payée.
Ils se sont comportés comme des entreprises, offrant des rançons en tant que service (RaaS) et vendant leurs codes au plus offrant sur le Dark Web, avec pour effet secondaire d’abaisser les barrières à l’entrée pour une nouvelle génération de cybergangs.
En plus de ne pas avoir le même niveau de compétences et de connaissances pour gérer ce type d’entreprise complexe, ces nouveaux acteurs malveillants ignorent également les règles établies par des gangs notoires, tels que GandCrab.
Il existe un risque réel que les victimes de la génération 2022 (et au-delà) paient une rançon sans que leurs données ne leur soient restituées. S’ils acceptent de payer une rançon ne serait-ce qu’une seule fois – ce que les cybercriminels considèrent comme une faiblesse – les entreprises courent le risque d’être à nouveau ciblées.
Les données sont inestimables et leur perte peut paralyser les entreprises. Et même l’assurance la plus chère ne les couvre pas.
Par conséquent, la seule option viable pour éviter cette situation est d’empêcher les violations de données de se produire en premier lieu. Cela signifie mettre en œuvre les meilleures pratiques en matière de cybersécurité.
La vague d’augmentations pratiquées par les assureurs relève toutes les normes
Dans la plupart des cas, les entreprises victimes de rançongiciels ont payé la rançon. Cette situation n’a fait qu’encourager les acteurs malveillants à multiplier leurs attaques, avec pour conséquence indirecte de pousser les assureurs à réévaluer leurs offres de polices et même pour certains, notamment en France, à mettre fin à leurs polices d’assurance cyber.
Les compagnies d’assurance réagissent au nombre croissant de sinistres en augmentant le prix de leurs polices ou en refusant de payer certains vecteurs d’attaque pour éviter de faire faillite.
Par exemple, en France, AXA a complètement cessé de payer les paiements de rançon liés aux biens de rançon tandis qu’au Royaume-Uni, Lloyd’s of London a exclu les attaques d’État de ses politiques.
De nombreux assureurs du monde entier ont réduit de moitié leur couverture après la pandémie et le travail à domicile a entraîné une flambée d’attaques de ransomwares dont les lourds dommages les ont laissés avec un sentiment amer.
Cette augmentation des prix et des seuils d’indemnisation par les assureurs a caché des conséquences positives pour le monde des affaires. Cela oblige les entreprises à réévaluer leurs défenses et leurs vulnérabilités et à mettre en œuvre les meilleures pratiques en matière de cybersécurité. Et cela contribue également à sensibiliser les organisations à la cybersécurité.
Le rôle principal des assureurs étant d’évaluer les risques, ils exigent des entreprises qu’elles apportent la preuve qu’elles sont prêtes à faire face à une attaque future, les incitant à relever leurs normes.
Cette combinaison de politiques d’assurance plus strictes et d’augmentations de prix, ainsi que l’arrivée de nouveaux acteurs du « Wild West » des ransomwares, a été le déclencheur dont de nombreuses entreprises ont eu besoin pour cesser de considérer leur assurance comme une sécurité unique.
Pour éviter d’être victime d’une attaque, les entreprises doivent cesser de se fier entièrement à leur assurance et se concentrer sur la mise en place de mesures proactives pour protéger leurs données.
Une meilleure visibilité dans un monde où prévaut le télétravail
La technologie XDR (détection et réponse étendues) est l’un des concepts de cybersécurité les plus en vogue aujourd’hui. Et pour cause, XDR améliore la visibilité sur les opérations de sécurité et renforce l’efficacité des équipes de défense en leur donnant accès à un contexte plus riche mais aussi un accès centralisé à un ensemble d’outils pour prévenir les attaques.
La cyberassurance risque de devenir incontournable pour les organisations. Mais ce n’est pas parce que vous avez une cyber-assurance que vous ne pouvez pas vous passer d’une posture de sécurité robuste et proactive.
Les pannes coûtent plus cher aux entreprises que leurs primes d’assurance : en plus de la perte de données et du processus de récupération, les entreprises doivent également supporter les coûts de récupération, la perte de réputation et les amendes réglementaires.
Les hausses de prix ne sont pas une bonne chose en soi, mais des primes de cyberassurance plus élevées pourraient bien être l’exception, incitant toutes les entreprises à revoir d’urgence leurs protocoles de cybersécurité et à s’assurer que leurs équipes sont équipées de manière appropriée pour identifier, signaler et traiter les menaces afin qu’un changement d’une approche de récupération réactive à une approche proactive de prévention et de cyber-résilience peut se produire.