Dans le sillage de la crise pandémique, le monde a assisté à une accélération sans précédent de la digitalisation des entreprises, catalysant par la même occasion l'exposition aux risques cyber. Les attaques par rançongiciels, par logiciels malveillants, et d'autres formes d'incidents de sécurité informatique ont connu une hausse alarmante, soulignant la vulnérabilité des infrastructures numériques.
Face à cette menace croissante, le marché de l'assurance cyber a connu des ratés de jeunesse avant de devenir un des piliers de la stratégie de gestion des risques de certaines entreprises. Cependant, malgré son importance croissante, ce secteur a été freiné par un manque de données historiques permettant de comprendre et de tarifer précisément ce risque. Ce manque de données constitue l’un des freins au développement de l’assurance cyber en Europe, en partie, car l’immense majorité des entreprises externalise l’expertise d’assistance technique en cas d’incident. Ce n’est pas le cas de Stoïk, qui gère les sinistres de ses assurés de bout en bout, ce qui lui permet de collecter des données.
Créée en 2021 pour être la première agence de souscription qui permet aux courtiers en assurance de couvrir leurs clients PME et ETI contre le risque de cyberattaques, Stoïk vient de publier son premier rapport sur la sinistralité de ses assurés. Grâce à l’intermédiation de son réseau de courtiers partenaires, Stoïk a permis à un large éventail d'entreprises de s’assurer, couvrant des entités de toutes tailles, des TPE aux ETI en France et en Allemagne, et dont le chiffre d'affaires va jusqu'à 500 millions d'euros. Son rapport sur les sinistres ayant touché ses assurés en 2023, offre des données inédites sur la nature et l'ampleur des incidents.
Un assuré sur vingt-cinq touché par un incident de sécurité
Le rapport dévoile une sinistralité de 3,87 %, équivalant à un assuré sur vingt-cinq touché par un incident de sécurité déclenchant l'activation d'une garantie d'assurance. Par définition, les sinistres comprennent tout incident de sécurité déclaré par l’un des assurés de Stoïk ayant déclenché l’activation d’au moins une des garanties de son contrat d’assurance. Ainsi, les compromissions de boîtes mails représentent 42,1 % des sinistres déclarés, en volume. Cependant, bien qu’ils soient plus de deux fois moins fréquents(19,4 %), ce sont bien les rançongiciels qui ont eu l’impact financier le plus considérable sur les entreprises assurées en 2023. Le montant moyen des rançons exigées en 2023 atteignant les 700 000 euros illustre l'ampleur du défi financier posé par ces attaques.
Un impact financier qui fait trembler les assureurs, car il engendre « quasi systématiquement une perte d’exploitation pour la victime », affirme le rapport. Passé le délai de franchise (souvent entre 12 et 24 heures), chaque heure qui passe sans que le système d’information ne soit rétabli, engendre un coût supplémentaire à indemniser. Aussi, la vitesse et la qualité de l’intervention des experts en gestion de crise a un impact considérable sur le coût du sinistre. Les premières heures l’intervention sont particulièrement décisives puisqu’elles ont pour but d’interrompre la propagation de l’attaquant au sein du système et donc de limiter les dégâts.
Stratégies de maîtrise du risque
Selon les chiffres de Stoïk, il existe une corrélation entre la durée du sinistre et la configuration des sauvegardes. Une affirmation qui place la sauvegarde de donnée et ses mécanismes, dont l’immuabilité, au centre de la reprise après sinistre. Sur ce sujet des sauvegardes, le rapport révèle que les sinistres les plus rapides à résoudre comportaient des sauvegardes de données correctement configurées. Celles-ci étaient disponibles sur des supports déconnectés du reste du système d’information et restaurables sans difficulté car elles étaient testées et que le catalogue des sauvegardes était également sauvegardé. À l’inverse, dans toutes les situations dans lesquelles la durée a excédé une semaine, les sauvegardes de l’assuré n’avaient pas été correctement déconnectées, ou n’étaient pas immuables.Le rapport souligne deux approches clés dans la gestion des incidents de rançongiciel : la remédiation rapide et la négociation. D’une part, l'initiative de Stoïk de scanner hebdomadairement les systèmes d'information de ses assurés a prouvé son efficacité dans la prévention des attaques de rançongiciel, permettant la correction de vulnérabilités critiques, et limitant ainsi les vecteurs d'attaque exploitables par les cybercriminels. « Dans 75 % des cas de ransomwares rencontrés, nos équipes ont réussi à relancer l’activité de l’entreprise en moins d’une semaine », affirme les rédacteurs du rapport. Quant aux délais de réponse, 31 % des sinistres dont les sauvegardes étaient bien faites ont été résolus en moins de 12 heures. Il a fallu moins d’une semaine pour 44 % des sinistres et plus d’une semaine pour les 25 % des sinistres restants.
Les vertus d’un scan externe pour la prévention
Dans 82 % des cas de ransomware subis par les assurés de Stoïk, les cybercriminels se sont introduits dans le système d’information en récupérant des accès à distance, soit par force brute, soit à la suite d’une tentative réussie d’hameçonnage. Dans 18 % des cas seulement, ils ont exploité des vulnérabilités techniques. Si l’exploitation de vulnérabilités techniques est plus rare, c’est que toutes les entreprises assurées par Stoïk sont scannées de manière hebdomadaire, et alertées lorsqu’une faille apparaît. Ainsi, les scans externes ont permis de corriger en moyenne 10 vulnérabilités critiques par semaine en 2023 au sein de son portefeuille d’assurés.Ce rapport a été également l’occasion pour les experts Stoïk de livrer leurs prévisions sur l’évolution du risque cyber en 2024. Selon, Vincent Nguyen, directeur cybersécurité chez Stoïk, ce sont les attaques via la chaîne d'approvisionnement, notamment les services cloud, qui émergent comme un risque majeur, mettant en évidence la nécessité impérieuse pour les organisations de tous les secteurs de renforcer leur cybersécurité face à ces menaces.
Dans ce contexte, l'organisation des Jeux Olympiques et Paralympiques risque d'intensifier les menaces cyber contre toutes les infrastructures du pays hôte, tant publiques que privées, craint-il. « Dans ce contexte, l'implémentation de la Directive NIS 2 en Europe et en France représente un changement majeur, exigeant que de nombreuses organisations adoptent des standards élevés en cybersécurité et en gestion des incidents, renforçant ainsi la défense contre les cyberattaques en constante évolution », affirme-t-il.