Un point sur l’actualité ransomware
En 2022, pour la 5ème année consécutive, les cyber-attaques restent le principal risque professionnel selon la Fédération française des assureurs[1]. En effet, la cybercriminalité a augmenté de 34 à 49% rien qu’entre 2019 et 2020[2].
D’ailleurs les entreprises françaises sont particulièrement touchées mais n’ont pas pour autant augmenté leur budget dans la sécurité des Système d’Information. Le budget pour la sécurité informatique ne représente que 17% du budget de la DSI[3].
La cyber-assurance, en quoi cela consiste ?
La cyber-assurance couvre les entreprises des suites de risques sur l’infrastructure informatique. Considérée comme une assurance multirisque, plusieurs types de garanties existent pour différents niveaux de dommages[4] :
- Les pertes d’exploitation
- Les frais liés à la restauration du Système d’Information
- Les dommage subis à un tiers (Responsabilité Civile)
Les cyber-assurances sont destinées principalement aux organisations en possession de données sensibles et dont la poursuite de leur activité nécessite l’accès à ces données.
En revanche, les cyber-assureurs ne proposent pas, par défaut, d’assistance technique immédiate en cas de sinistres liés à la sécurité de Système d’Information[5]. L’assistance est principalement en charge de la couverture des coûts financiers.
Il y a plusieurs points que la cyber-assurance ne couvre pas automatiquement, par exemple[6] :
- Certains types de cyber-attaques, notamment les escroqueries par compromission de comptes d’e-mails professionnels
- La perte financière en lien à la perte de propriété intellectuelle
En conclusion, même si une entreprise souscrit à un contrat d’assurance, elle ne doit pas pour autant négliger l’investissement dans la cyber-sécurité et la cyber-résilience.
Le risque Cyber est en hausse
Les cyber-attaques sont un sujet essentiel au vu du nombre d’attaques contre les entreprises. L’ouverture par la Gendarmerie nationale française de procédures dues à des attaques ransomwares a augmenté de 21% en 2020[7].
QBE Insurance a publié une étude[8] sur la gestion des risques des ETI et PME. Au total, 300 dirigeants ont été interrogés dans le but de connaitre leur perception des risques. Seulement 30% de ces dirigeants se sentent préoccupés par les risques immatériels comme le risque cyber ; sachant qu’ils mettent surtout en avant leurs préoccupations liées à la réputation.
Cette enquête montre que 46% des entreprises ont mis davantage de moyen en place dans la protection contre les cyber-attaques. Et seulement 16% des entreprises pensent qu’un accompagnement spécifique est important pour gérer les cyber-attaques.
La problématique des cyber-attaques est donc largement sous-estimée par les entreprises.
Une étude[9] a été menée par Trend Micro auprès de 5300 responsables informatiques et commerciaux dans 26 pays. Dans cette étude ce sont les relations humaines qui sont surtout analysées. Le fait que les dirigeants ne soient pas plus engagés serait lié à la faible communication entre les équipes informatiques et les équipes de direction.
Selon cette étude, 90% des décideurs informatiques se disent préoccupés par les ransomwares. Malgré cela, le même pourcentage indique que leur société serait capable de mettre la sécurité informatique de côté pour d’autres problématiques comme la productivité de l’entreprise.
Le problème qui ressort en synthèse, est que le risque cyber n’est pas assez vu comme un réel risque métier. Seulement 42% des entreprises dépensent de l’argent dans des mesures pour que les activités opérationnelles (commerciales, production, logistiques) ne soit pas totalement impactée par des cyber-attaques.
Pourquoi le prix des assurances grimpe ?
L’AMRAE (Association pour le Management des Risques et des Assurances des Entreprises) a mené une étude nommée « LUCY » [10] (LUmière sur la CYber-assurance). Elle est basée sur une enquête auprès de toutes les entreprises en France qui souscrivent à un contrat d’assurance cyber par l’intermédiaire d’un courtier.
Les résultats parlent d’eux-mêmes car sont assurés :
- 87% de grandes entreprises
- 8% des ETI
- Moins de 2% des PME et Collectivités Locales
Ce que l’on peut retenir c’est qu’il y a une faible demande d’assurance du côté des ETI, PME et Collectivités. Ce qui est assez contradictoire puisqu’environ la moitié des PME victimes de cyber-attaques mettent la clé sous la porte[11]. En 2021, 68%des cyber-attaques avaient pour cibles les PME[12].
L’AMRAE a mené une étude en mai 2021 et a constaté une augmentation du montant des indemnisations versées. Elles sont passées de 73 à 217 millions d’euros sur une année. Le ratio sinistres sur primes a augmenté de 84 à 167%[13] : les assureurs ont remboursé beaucoup plus que les primes qu’ils ont encaissés.
A cause de cela, le prix des assurances augmente de manière significative. En effet, l’assurance cyber et fraude subit une hausse de +27% en 2022[14]. Selon l’AMRAE elle avait déjà augmenté en 2021 d’environ 20%.
Apparaissent alors des exigences de sécurité et des demandes de garanties par les assureurs. Par exemple que les entreprises soient équipées de Plan de Reprise d’Activité et/ou de sauvegarde externalisée.
Le télétravail, nouvelle cible des cyber-attaquants ?
En 2020, le chiffre de victimes a été multiplié par 4[15] et 6 entreprises sur 10 ont été victimes de cyber-attaque contre les télétravailleurs.
La première problématique avec le télétravail c’est qu’il a fallu l’instaurer dans un timing réduit. 83% des entreprises l’ont instauré. Malheureusement, la cybersécurité a été négligée dans ce processus et les hackers ont profité du télétravail pour intensifier leurs attaques.
Selon une étude de Tenale/Forrester Consulting[16], 64% des personnes en télétravail ont utilisés des appareils personnels pour accéder à des données clients.
Il y a eu une augmentation des risques liés au télétravail (connexion non sécurisée, fuite de documents, sécurité moindre).
Les entreprises françaises se sentent alors davantage vulnérables depuis la crise sanitaire.
Ransomwares, qu’en est-il du paiement des rançons ?
Selon une étude en 2020 de l’assureur Hiscox, 65% des entreprises payent les rançons[17].
Cette étude a été contestée par l’AMRAE car, selon elle, le simple fait d’admettre qu’elles ont des problèmes de cyber-attaques n’est pas toujours simple, le fait d’admettre payer la rançon l’est encore moins[18].
Les entreprises craignent d’avoir une mauvaise réputation et de ce fait, parfois perdre leurs clients ou partenariats. C’est pour cela qu’elles évitent d’avouer avoir des intrusions dans leur Système d’Information[19].
La position de l’AMRAE est claire au sujet des rançons : ne jamais les payer. Le principe étant que plus les attaquants sont sûrs d’être payés, plus ils continuent à attaquer.
Certains assureurs ont suivi ces recommandations : par exemple, Generali et Axa ne couvrent plus le paiement des rançons[20].
Axa a également suspendu son option « cyber rançonnage ». Cette option accompagnait les entreprises victimes dans le paiement des rançons[21]. Elle était proposée aux entreprises pour qui le paiement de la rançon était la dernière solution et également aux entreprises qui avaient porté plainte.
Le directeur de l’ANSSI (Autorité Nationale en matière de Sécurité et de défense des Systèmes d’Information) et le parquet de Paris pensent que si les rançons sont payées, les cybercriminels agissent davantage.
Les professionnels de la justice sont du même avis et pensent que payer les rançons ou encore couvrir ces risques cyber, incitent les pirates à demander des rançons. Le fait de payer une rançon n’est pas illégal mais n’est pas conseillé, sauf en cas d’attaques terroristes[22].
Marc Bothorel de la Confédération des petites et moyennes entreprises (CPME) pense que si les entreprises payent les rançons, elles renvoient une image d’entreprises solvables. Cela peut encourager les cyber-attaquants à renouveler leurs attaques[23].
Récemment, le ministère de l’Intérieur a proposé dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur 2022-2027 (la Lopmi) de mettre des conditions au remboursement des rançons. Il faudrait que l’entreprise porte plainte sous 48h après avoir payé la rançon[24].
Seulement 1 entreprise sur 270 cyber-attaquées porte plainte selon Marc Boget, commandant de la gendarmerie dans le cyberespace[25].
Le sujet du paiement des rançons a été mis en pause le temps que les pouvoirs publics se positionnent sur cette pratique.
Conclusion : les cyber-assurances ne suffisent pas
Externaliser ses données ne revient pas à externaliser le risque.
Le rôle d’une assurance est de prendre en charge le risque résiduel, pas l’intégralité des risques.
Les assureurs se sont lancés dans une campagne de vente sur ces produits et payent aujourd’hui le prix d’un risque mal maitrisé chez leurs clients. Les acteurs de ce secteur cherche dorénavant à rattraper le temps perdu en augmentant la liste des exigences et le montant des primes.
Les assurances seules ne sont plus en mesure de protéger les entreprises contre les risques de cyber-attaques sans solutions technologiques en parallèle.
Le risque principal et la sécurité des données reste et restera à la charge du Client.
Pour en savoir plus
Nous vous recommandons de creuser ce sujet avec les ressource suivantes :
- Site web : Les principes du Plan de Reprise d’Activité Cloud – Nuabee
- Ressource à télécharger : Livre Blanc – Tout savoir sur le Plan de Reprise d’Activité Cloud – Nuabee
- Article de blog : Qu’est ce que la cyber-résilience ? – Nuabee
Pour plus d’informations, jetez un coup d’oeil à notre site web Nuabee | Spécialiste du Plan Reprise Activité Cloud managé
[1] https://www.bfmtv.com/economie/entreprises/assurance-banque/cyberattaques-apres-axa-generali-decide-de-ne-plus-couvrir-le-paiement-des-rancons_AN-202202020296.html
[2] https://www.cio-online.com/actualites/lire-oliver-wild-president-amrae–le-marche-de-la-cyber-assurance-n-existera-peut-etre-plus-l-an-prochain-13828.html?s=09
[3] La sécurité absorbe 17% des budgets de la DSI | Silicon
[4] https://www.silicon.fr/dossiers/assurance-cyber-comment-reduire-la-prime
[5] Cyberassurance : Tout ce que vous devez savoir sur son fonctionnement – ZDNet
[6] Cyberassurance : Tout ce que vous devez savoir sur son fonctionnement – ZDNet
[7] https://www.latribune.fr/edition-quotidienne/318/page-18689?utm_campaign=La%20Tribune&utm_medium=email&utm_source=Mailjet
[8] PME et ETI identifient le risque cyber, mais le minimisent (cio-online.com)
[9] Le faible engagement des dirigeants sur la cybersécurité augmente l’exposition des entreprises au risque (cio-online.com)
[10] https://www.cio-online.com/actualites/lire-l-amrae-eclaire-la-cyber-assurance-avec-son-etude-lucy-13199.html
[11] https://www.usine-digitale.fr/article/il-est-urgent-de-trouver-une-solution-aux-problemes-d-assurance-cyber.N1779877
[12] https://www.ledauphine.com/economie/2022/03/21/hp-le-dirigeant-d-une-pme-doit-se-preparer-aux-cyber-attaques
[13] https://www.silicon.fr/dossiers/assurance-cyber-comment-reduire-la-prime
[14] https://www.moneyvox.fr/actu/87444/assurance-professionnelle-les-primes-flambent-de-8-en-2022
[15] https://www.silicon.fr/dossiers/assurance-cyber-comment-reduire-la-prime
[16] Plus de 2 entreprises sur 3 relient les cyberattaques récentes aux mesures prises pour le télétravail (cio-online.com)
[17] https://www.cio-online.com/actualites/lire-oliver-wild-president-amrae–le-marche-de-la-cyber-assurance-n-existera-peut-etre-plus-l-an-prochain-13828.html?s=09
[18] https://www.cio-online.com/actualites/lire-philippe-cotelle-pcsi-amrae–nous-avons-besoin-de-rationalite-dans-la-lutte-contre-les-ransomwares-13188.html
[19] https://www.latribune.fr/edition-quotidienne/318/page-18689?utm_campaign=La%20Tribune&utm_medium=email&utm_source=Mailjet
[20] https://www.bfmtv.com/economie/entreprises/assurance-banque/cyberattaques-apres-axa-generali-decide-de-ne-plus-couvrir-le-paiement-des-rancons_AN-202202020296.html
[21] https://www.zdnet.fr/actualites/ransomware-l-assurance-ne-pourra-pas-toujours-payer-la-rancon-39922197.htm#:~:text=Axa%20France%20ne%20paiera%20plus,Cyber%20Secure%20propos%C3%A9e%20par%20Axa
[22] Quels cyber-risques sont assurables ? (cio-online.com)
[23] https://www.latribune.fr/edition-quotidienne/318/page-18689?utm_campaign=La%20Tribune&utm_medium=email&utm_source=Mailjet
[24] http://www.agefiactifs.com/investissements-financiers/article/le-gouvernement-est-favorable-lindemnisation-des-93282
[25] https://www.latribune.fr/edition-quotidienne/318/page-18689?utm_campaign=La%20Tribune&utm_medium=email&utm_source=Mailjet