L'année 2023 s'annonce comme une année de changement en termes de cyber-assurance. Selon le rapport « Best's Market Segment Report », AM Best (une agence de notation américaine se concentrant sur le secteur de l'assurance) a noté une variation de taux de +8,4 % pour la cyberassurance au 1ᵉʳ trimestre 2023, par rapport à +34,3 % au
4ᵉ trimestre 21.
Cependant, malgré l'amélioration des résultats de l'année civile 2022, "les courtiers et leurs clients ne doivent pas se reposer sur leurs lauriers, car les assureurs continuent d'affiner leurs stratégies dans un contexte de risques en constante évolution", prévient Munich Re.
Le réassureur allemand a mis en évidence trois tendances clés en matière de sinistres qui reflètent l'environnement actuel de la cybercriminalité :
- Les attaques par ransomware sont de nouveau en hausse après une baisse en 2022, accélérée par l'émergence de groupes ambitieux de ransomware et la découverte de nouvelles vulnérabilités critiques.
Le réassureur a constaté que l'exfiltration des données, c'est-à-dire la suppression ou le déplacement non autorisé de données, devient également plus courante.
Au cours des années précédentes, les groupes de ransomware extorquaient généralement des paiements aux victimes en échange des clés de décryptage des données volées.
"Plus récemment, les acteurs malveillants ont poussé leurs attaques plus loin, menaçant de faire fuir des données importantes et mettant en place des scénarios de double extorsion", lit-on dans le document de Munich Re.
"L'exfiltration de données d'un système donne une image inquiétante pour les victimes qui souffrent déjà d'une interruption d'activité. Lorsqu'une victime subit ce type d'attaque par ransomware, elle doit en plus atténuer le risque d'une éventuelle fuite de données."
Toutefois, les efforts déployés par le secteur de l'assurance pour exiger des contrôles de cybersécurité plus stricts et créer des défenses plus solides contre les ransomwares et d'autres attaques ont été récompensés par une réduction du nombre de demandes d'indemnisation.
- Les entreprises du secteur de la santé deviennent les plus vulnérables à ces types de litiges dans le sillage du COVID-19. En effet, pendant la pandémie, les hôpitaux et les établissements de santé ont développé les fonctionnalités de leurs sites web et de leurs portails destinés aux patients, et ont élargi l'accès aux services de télémédecine.
- Les plaintes relatives à la BIPA, en revanche, sont liées à la collecte, à l'utilisation, au stockage et à la divulgation de données biométriques. Cette loi de l'Illinois comporte une disposition unique en ce sens qu'elle offre un droit d'action privé à toute personne lésée par une violation, sans qu'il soit nécessaire de prouver l'existence d'un préjudice réel.
Aujourd'hui, le tribunal quantifie une violation à hauteur de 1 000 dollars par infraction et non plus à hauteur de 1 000 dollars par individu. Chaque balayage de données biométriques compte comme une violation distincte, de sorte que le taux auquel les violations peuvent s'agréger en un seul événement est beaucoup plus élevé.
