Mieux vaut prévenir que guérir : une assurance contre les ransomwares n’est pas une stratégie de cybersécurité. 2021 a été l’année du ransomware, d’après le baromètre 2022 de la cybersécurité du CESIN, 54% des entreprises françaises ont fait l’objet d’une cyberattaque en 2021 et une entreprise sur cinq a été visée par une cyberattaque par ransomware !
Le cybercriminel exploite les vulnérabilités surgies du travail hybride
La tendance était déjà à la hausse avant la pandémie mais, lorsque le monde des affaires a massivement basculé vers le télétravail, les cybercriminels ont sauté sur l’occasion d’exploiter les vulnérabilités nouvellement exposées qui ont surgi dans l’environnement de travail hybride. Les employés en télétravail sont ainsi rapidement devenus les premières cibles des pirates, et le volume de violations réussies dues à des ransomwares a atteint des sommets. Tout comme le coût de la récupération des données. Un récent rapport d’IBM le montre, le coût total moyen d’une violation de données a augmenté en 2021, passant de 4,24 millions de dollars à 4,35 millions de dollars, soit le plus haut niveau jamais enregistré.
L’entreprise ne peut plus compter sur sa seule assurance pour se protéger
Les assurances ont commencé à couvrir ces coûts pour les entreprises, y compris via le paiement de rançons. Toutefois, la situation est bien différente en 2022. Tout comme le paysage des menaces de cybersécurité, le marché de la cyber assurance a rapidement évolué l’année dernière.
Les cyberassureurs, qui se remettent de deux années historiques, affinent leurs processus de qualification et haussent la barre pour les indemnisations, de sorte que les entreprises ne peuvent plus compter sur les seules assurances dans le cadre de leurs stratégies de protection et de récupération.
Il est désormais nécessaire de mettre en place une stratégie de cybersécurité sophistiquée permettant autant que possible aux personnes, aux processus et à la technologie d’œuvrer ensemble vers un objectif de « prévention ». Des processus doivent également être définis pour le cas où la technologie ferait défaut ou serait contournée par des cybercriminels, y compris des processus de contrôle proactif, de détection rapide et de réponse et d’endiguement immédiats. L’assurance demeure pertinente uniquement en tant que « remède » d’urgence, dans la mesure où une bonne cyber-résilience est plus que jamais déterminante pour les entreprises.
Et effet, même si la France travaille actuellement sur un projet de loi autorisant l’indemnisation par les assurances des rançons payées par leurs clients, c’est bien dans un objectif global d’élever le niveau de cybersécurité des entreprises car il est évident qu’une cyberassurance sera conditionnée au fait que l’entreprise justifie d’investissements préalables.
Le nouveau « Far West » du ransomware
Les résultats sensationnels et très lucratifs obtenus par les cybergangs d’envergure mondiale via le déploiement de ransomwares ne sont pas passés inaperçus. Et ils ont conduit à un déferlement de nouveaux acteurs – souvent moins expérimentés – sur le marché, qui cherchent à tirer leur épingle du jeu. Le problème, c’est que tous les gangs de cybercriminels ne se valent pas.
Les précédents développeurs de ransomwares fonctionnaient avec un niveau de sophistication et des capacités techniques qui leur permettaient non seulement de voler et de conserver les données d’une entreprise, mais également de les restituer intactes une fois la rançon payée.
Ils se comportaient comme des entreprises, proposant des ransomwares en tant que service (RaaS) et vendant leurs codes au plus offrant sur le Dark Web, avec pour conséquence indirecte d’avoir réduit les obstacles à l’entrée pour une nouvelle génération de cybergangs.
En plus de n’avoir pas le même niveau de compétences et de connaissances permettant de gérer ce type d’entreprise complexe, ces nouveaux acteurs malveillants font également peu de cas des règles établies par les gangs notoires, tels que GandCrab. Il y a un véritable risque pour les victimes de la génération 2022 (et suivantes) de se retrouver à verser une rançon sans que leurs données leur soient restituées. Si elles consentent à payer une rançon ne serait-ce qu’une fois – ce que les cybercriminels perçoivent comme une faiblesse –, les entreprises s’exposent au risque d’être à nouveau ciblées.
Les données ont une valeur inestimable, et leur perte peut paralyser les entreprises. Et même les assurances les plus onéreuses ne permettent pas de les récupérer.
Ainsi, la seule option valable pour prévenir cette situation est d’empêcher en premier lieu les violations de données de se produire. Cela signifie mettre en place des pratiques exemplaires en matière de cybersécurité.
Les augmentations pratiquées par les assureurs relèvent toutes les normes
Dans la plupart des cas, les entreprises qui ont été victimes d’un ransomware ont payé la rançon. Cette situation n’a fait qu’encourager les acteurs malveillants à multiplier leurs attaques, avec pour conséquence indirecte de pousser les assureurs à réévaluer leurs offres de polices et même pour certaines, notamment en France, à mettre fin à leurs politiques de cyberassurance.
Les compagnies d’assurance réagissent au nombre croissant de réclamations en augmentant le prix de leurs polices ou en refusant de couvrir certains vecteurs d’attaques afin d’éviter de se retrouver sur la paille.
Par exemple, en France, AXA a complètement cessé de couvrir le paiement des rançons liées aux ransomwares tandis qu’au Royaume-Uni la Lloyd’s of London a exclu les attaques étatiques de ses polices.
De nombreux assureurs dans le monde ont divisé par deux le montant de leurs couvertures après que la pandémie et le télétravail ont entraîné une flambée des attaques de ransomwares dont la lourde indemnisation leur a laissé un sentiment d’amertume.
Cette hausse des prix et des seuils d’indemnisation par les assureurs a une conséquence positive cachée pour le monde des affaires. Elle contraint les entreprises à réévaluer leurs défenses et leurs faiblesses et à mettre en place des pratiques cyber sécuritaires exemplaires. Et cela contribue également à intensifier la sensibilisation à la cybersécurité au sein des organisations.
Dans la mesure où le rôle principal des assureurs consiste à évaluer les risques, ils exigent des entreprises qu’elles leur fournissent la preuve qu’elles sont préparées à faire face à une future attaque, les incitant ainsi à relever leurs normes.
Cette combinaison de polices d’assurance plus strictes et de hausses des prix, associée à l’arrivée de nouveaux acteurs issus du « Far West » du ransomware, a été le déclic dont de nombreuses entreprises avaient besoin pour ne plus considérer leur assurance comme unique filet de sécurité.
Afin de ne pas s’effondrer suite à une attaque, les entreprises doivent s’astreindre à ne plus compter exclusivement sur leurs assurances et se concentrer sur la mise en place de mesures proactives pour défendre leurs données.
Une meilleure visibilité dans un monde où prévaut le télétravail
La technologie XDR (détection et réponse étendues) est aujourd’hui l’un des concepts de cybersécurité à la mode. Et pour cause, l’XDR améliore la visibilité sur les opérations de sécurité et renforce l’efficacité des équipes de défense en leur donnant accès à un contexte plus riche mais également un accès centralisé à un ensemble d’outils pour stopper les attaques.
La cyber assurance est vraisemblablement en passe de devenir indispensable aux organisations. Mais, ce n’est pas parce que l’on dispose d’une cyberassurance que l’on peut se passer d’une posture de sécurité robuste et proactive.
Les violations coûtent plus cher aux entreprises que leurs primes d’assurance : outre la perte des données et le processus de récupération, les entreprises doivent également assumer les frais liés à la remédiation, à la perte de réputation et aux amendes réglementaires.
Les hausses de prix ne sont pas une bonne chose en soi, mais l’augmentation des primes de cyber assurance pourrait bien faire exception à la règle, en incitant toutes les entreprises à revoir sans délai leurs protocoles de cybersécurité et à s’assurer que leurs équipes sont correctement outillées pour identifier, signaler et traiter les menaces afin qu’un basculement d’une attitude de récupération réactive vers une attitude de prévention proactive et de cyber-résilience puisse s’opérer.