La preuve, le Business email compromise (BEC) a pris le pas sur les logiciels de rançon et les violations de données comme la principale raison pour laquelle les entreprises ont déposé une réclamation de cyberassurance selon l’assureur AIG.

Selon les statistiques publiées en juillet par AIG (American International Group) , les dépôts d'assurance liés aux BEC (Business email compromises) représentaient près d'un quart (23 %) de toutes les demandes d'indemnisation en cyberassurance qu’elle a reçue l’an passé.

Ce chiffre confirme celui publié il y a quelques mois dans le rapport de Beazley : les attaques de type Business email compromises (BEC) ont représenté 24 % du total des incidents signalés en 2018, contre 13 % en 2017.

AIG attribue la récente augmentation des réclamations de cyberassurance liées aux BEC aux mauvaises mesures de sécurité mises en place par les entreprises victimes : utilisation de mauvais mots de passe, pas d'authentification multifactorielle, manque de formation des collaborateurs concernant les menaces numériques…

Ce type d’attaque peut coûter très cher aux organisations. Selon une étude récente du FBI, les attaques du BEC ont coûté presque 12 milliards d’euros aux entreprises dans le monde entier au cours des cinq dernières années. En juin 2018, le FBI avait arrêté 74 cybercriminels sur trois continents. Plus de 14 millions de dollars avaient été récupérés.

aig-emea-cyber-insurance

Les incidents liés aux logiciels de rançon (ou ransomware) arrivent en seconde position. Ils représentent 18 % de toutes les demandes de règlement en cyberassurance dans la région EMEA, suivis par les demandes pour atteinte à la protection des données causées par des pirates informatiques et les atteintes à la protection des données causées par la négligence des employés (p. ex. envoi de données à la mauvaise personne), avec 14 % chacune.

Mais AIG s'attend à ce que les ransomwares reprennent bientôt la première place qu'ils occupaient l'année précédente, en 2017, lorsque les sinistres liés aux logiciels de rançon représentaient 26 % de toutes les réclamations de cyberassurance.

De nos jours, les cybercriminels qui lancent des mailings intégrant dans des pièces jointes des ransomwares visent plutôt les entreprises et les organismes gouvernementaux que les particuliers, selon AIG. Les incidents déclarés sont moins nombreux, mais les montants réclamés sont plus élevés.

aig-emea-cyber-insurance-stats

Dans l'ensemble, AIG a indiqué que les sinistres de cyberassurance ont presque doublé entre 2017 et 2018 et qu'ils ont reçu plus de sinistres de cyberassurance l'an dernier qu'en 2016 et 2017 réunis.

Mais la tendance la plus intéressante du rapport de l'AIG concerne le RGPD. L’assureur a noté un « effet RGPD » : les entreprises ont commencé à déposer davantage de demandes d'indemnisation en cyberassurance après l'entrée en vigueur de ce règlement en mai 2018.

AIG a indiqué qu'environ un cinquième de toutes les demandes d'indemnisation reçues en 2018 dans la région EMEA au titre de la cyberassurance comprenaient une notification publique liée au texte européen.

Selon AIG, l’une des raisons serait que les entreprises ne peuvent plus cacher les atteintes à la protection des données à caractère personnel et qu'elles risquent des amendes très fortes…

Source : aig.com