Les attaques par ransomware dans le monde ont été multipliées par quatre l’an dernier selon certaines sources. Désormais elles représentent 25 % de la totalité de l’activité cybercriminelle, représentant plus de 16 milliards d’euros de déficit en 2021.
Par le passé, dans le domaine de l’assurance commerciale, l’assurance contre le risque cyber était considérée comme l’une des plus prometteuses du secteur, témoignait de taux de pertes plus réduits et permettait de générer des profits considérables en comparaison d'autres grandes lignes métier de l’assurance. Cependant, les attaques par ransomware rééquilibrent actuellement l’écart dans ce secteur. D’après Fitch Ratings, le taux de pertes directes en 2020enregistré pour les compagnies d’assurances spécialisées dans le risque cyber est de 73 %, et il est essentiellement lié à l’action des ransomwares. Jusqu’à 40 % du volume d’affaires de certains assureurs en matière de cyber risque renvoient aux sinistres liés à l’activité cybercriminelle.
L’état actuel de la situation, concernant à la fois l’assurance contre le risque cyber et les ransomwares, est donc intenable. L’aggravation du problème peut être liée à la manière dont le secteur a répondu jusqu’à maintenant. Parmi les principaux assureurs français, certains commencent déjà à s’exprimer publiquement sur la question du remboursement des sinistres consécutifs aux attaques par ransomware.
Les acteurs du secteur de l’assurance ont donc tout intérêt à élaborer des stratégies afin de décourager les ransomwares, au risque de subir deux types de conséquences. Tout d’abord, la probabilité d’une incohérence entre les besoins des entreprises souhaitant transférer ce risque et l’étendue ou le prix de la couverture. Mais également la possibilité que la couverture du risque cyber devienne caduque. Les entreprises ciblées resteront alors exposées aux menaces dans ces deux situations.
Pour un assureur, l’instauration de bonnes pratiques sécuritaires et d’une hygiène technologique chez les clients peut être favorisée parles compagnies d’assurance. Si les avancées concernant les données actuarielles sur les incidents laissent fortement à désirer, les renseignements qui débouchent sur des actions concernant l’étendue de la menace et des vulnérabilités liées aux ransomwares se sont améliorés. Les axes d’attaque les plus empruntés sont les vulnérabilités serveurs et logicielles non corrigées, le phishing grâce à des e-mails ou des spams, et enfin l’exploitation des protocoles de bureaux à distance (RDP). Pour diminuer considérablement l’exposition aux risques, la mise en place de mesures de protection fondamentales dans ces domaines est nécessaire. Les assureurs ont donc un rôle primordial à jouer. Ils se doivent d’encourager, voire d’exiger le développement d’une bonne hygiène informatique chez leurs clients.
Par ailleurs, une coordination de la réduction des risques pourrait être initiée par le monde de l’assurance. La mise au point et la diffusion des indicateurs de risque homogènes en termes de sécurité auprès des courtiers, des souscripteurs et des professionnels de la sécurité informatique pourraient faire partie des étapes fondamentales de ce processus. A titre d’exemple, un moyen de diminuer l’incertitude des assureurs concernant l’évaluation du risque, la tarification ainsi que les paramètres de couverture serait de demander aux assurés leur contribution en fournissant et en vérifiant des informations essentielles liées à la posture sécuritaire et aux événements en lien avec les attaques par ransomware.
De plus, les assureurs peuvent mettre en place une coordination pour encourager le recours aux solutions de DFIR. Le« Digital Forensics and Incident Response » (« Renseignements numériques et réponse aux incidents », en français) permet de rassembler des informations sur les axes d’attaque et sur les failles présentes dans les contrôles de sécurité. Ces informations intègrent également la façon dont les attaquants arrivent à accéder au réseau d’une entreprise ou sur les garde-fous qui se sont révélés inefficaces.
Jusqu’à maintenant, les assureurs ont négligé le détail de ces analyses de sinistres liés aux ransomwares. Il peut même arriver que ces informations soient soumises au secret professionnel parles entreprises victimes elles-mêmes, en raison des processus métier des assureurs qui ne sont pas conçus pour ingérer de manière efficace les données post-incident. L’approche fragmentaire de la souscription se perpétue ainsi via ces lacunes présentes dans les workflows et qui empêchent l’exploitation des données et des enseignements de valeur.
La collecte et la cartographie des données sur les mesures à prendre pour se protéger des risques cyber relatifs aux menaces, aux vulnérabilités, aux actifs, aux contrôles et aux incidents représentent une part importante de la valeur ajoutée que le secteur pourrait apporter et devraient guider les politiques en matière de risque cyber. Si ces données étaient entrées par les assureurs dans leur base actuarielle, leurs chances de restreindre l’exposition et de prédire les menaces cyber pour lesquelles les entreprises cherchent à transférer le risque seraient multipliées.
Avoir des alliés parmi des instances gouvernementales est un atout majeur pour le secteur de l’assurance, grâce à leur capacité à jouer un rôle unique dans le domaine de la conformité concernant la gestion et la réduction des risques. Cela passe notamment par la législation, les décisions judiciaires et les outils réglementaires. Par exemple, la souscription de polices contre la violation des données repose sur les lois obligeant le reporting ainsi que la révélation de failles de sécurité en lien avec les données. Si certains frais juridiques comme les amendes réglementaires, les coûts liés à la responsabilité civile ainsi que les exigences en matière de reporting, permettent de quantifier les pertes liées à la violation des données de façon certaine, pourquoi n’en serait-il pas de même pour les ransomwares ?
A l’image d’un carburant alimentant la croissance des ransomwares, la crypto-monnaie est un facteur clé du système de risque-récompense. Elle est l’acteur principal à l’origine de la pression face aux sinistres et incidents découlant d’attaques par ransomware. C’est pourquoi il devient nécessaire d'ouvrir le débat au sujet des réglementations et politiques actuelles liées à la crypto-monnaie. Il est également nécessaire de se questionner sur son rôle joué dans le développement des ransomwares.
La question du paiement des rançons est constamment revue par les gouvernements. D’autres voies que les outils réglementaires sont envisageables, que ce soit l’interdiction pure et simple du paiement des rançons ou la possibilité d’améliorer l’attribution et l’application des règles destinées à lutter contre les acteurs malveillants.
Peu importe les mesures spécifiques envisagées ; pour garantir la résilience du marché de l’assurance contre le risque cyber et, du même coup, restreindre les risques liés aux ransomwares, la nécessité d’élaborer une coordination et de mettre en place des actions à différentes échelles s'impose : dans l’entreprise individuelle, au sein du secteur et des gouvernements.
Par Patrick Soulignac, Principal Solution Consultant et Erin Kenneally, Cyber Risk Strategy Director chez Guidewire