Selon certaines sources, les attaques par ransomwares dans le monde ont quadruplé l’année dernière et représentent aujourd’hui 25 % de l’ensemble de l’activité cybercriminelle, ce qui devrait entrainer des pertes s’élevant à plus de 16 milliards d’euros en 2021.
L’assurance contre le risque cyber était autrefois perçue comme l’un des domaines les plus prometteurs du secteur de l’assurance commerciale, en raison de ses taux de pertes plus réduits et de sa profitabilité plus élevée comparée aux autres grandes lignes métier de l’assurance. Mais les attaques par ransomware sont en train de jouer le rôle de grand égalisateur. En effet, selon Fitch Ratings, au cours de l’année 2020, les compagnies d’assurances spécialisées dans le risque cyber ont enregistré un taux de pertes directes conséquent de 73 % principalement dû à l’activité des ransomwares. Les sinistres liés à l’activité cybercriminelle représentent jusqu’à 40 % du volume d’affaires de certains assureurs en matière de risque cyber.
Le statu quo concernant les ransomwares et l’assurance contre le risque cyber est donc intenable et la réponse du secteur jusqu’à présent a probablement joué un rôle primordial dans l’aggravation du problème. Certains des principaux assureurs français ont déjà commencé à s’exprimer publiquement sur le fait de continuer ou non à rembourser les sinistres liés aux ransomwares.
Si les acteurs du secteur de l’assurance ne parviennent pas à mettre au point des stratégies permettant de décourager les ransomwares, il est probable que l’étendue ou le prix de la couverture ne seront plus adaptés aux besoins des entreprises qui souhaitent transférer ce risque, ou bien que la couverture du risque cyber deviendra caduque. Dans ces deux cas, les entreprises ciblées demeureront exposées.
Du point de vue d’un assureur, une compagnie d’assurance peut favoriser la mise en place de bonnes pratiques sécuritaires et d’une certaine hygiène technologique chez ses clients. Si les avancées concernant les données actuarielles sur les incidents laissent fortement à désirer, les renseignements qui débouchent sur des actions concernant l’étendue de la menace et des vulnérabilités liées aux ransomwares se sont améliorés. Les vecteurs d’attaques les plus plébiscités passent par l’exploitation des protocoles de bureaux à distance (RDP), du phishing au moyen d’e-mails ou de spams, ainsi que des vulnérabilités serveurs et logicielles non corrigées. Mettre en place des mesures de protection élémentaires dans ces domaines peut permettre de réduire fortement l’exposition aux risques – et les assureurs ont donc un rôle essentiel à jouer afin de favoriser, voire d’exiger de leurs clients qu’ils fassent preuve d’une bonne hygiène informatique.
Pour aller plus loin, le secteur de l’assurance pourrait également initier une coordination de la réduction des risques. Une étape fondamentale consisterait à mettre au point et à diffuser des indicateurs de risque uniformes en matière de sécurité auprès des souscripteurs, des courtiers et des professionnels de la sécurité informatique. Par exemple, demander la contribution des assurés en fournissant et en vérifiant des informations fondamentales relatives à leur posture sécuritaire et aux événements liés à des attaques par ransomware réduirait l’incertitude des assureurs concernant l’évaluation du risque, la tarification et les paramètres de couverture.
Les assureurs peuvent également commencer à se coordonner sur l’utilisation de solutions de DFIR. DFIR est un concept du jargon de la sécurité qui signifie « Digital Forensics and Incident Response » (en français, « Renseignements numériques et réponse aux incidents »), destiné à rassembler des informations concernant les vecteurs d’attaque et les failles dans les contrôles de sécurité, y compris sur la manière dont les attaquants parviennent à accéder au réseau d’une entreprise ou sur les garde-fous qui se sont révélés inefficaces.
Jusqu’à présent, les assureurs ont laissé de côté de détail de ces analyses de sinistres liés aux ransomwares. Il arrive même que les entreprises victimes soumettent ces informations au secret professionnel, car les processus métier des assureurs ne sont pas conçus pour ingérer efficacement ces données post-incident. Ces lacunes au sein des workflows empêchent d’exploiter des données et des enseignements de valeur, perpétuant une approche fragmentaire de la souscription.
La collecte et la cartographie des données sur les mesures à prendre pour se protéger des risques cyber relatifs aux menaces, aux vulnérabilités, aux actifs, aux contrôles et aux incidents représentent une part importante de la valeur ajoutée que le secteur pourrait apporter et devraient guider les politiques en matière de risque cyber. Si les assureurs entraient ces données au sein de leur base actuarielle, ils multiplieraient leurs chances de réduire l’exposition et de prévoir les périls cyber pour lesquels les entreprises cherchent à transférer le risque.
Le secteur a également besoin d’alliés au sein des instances gouvernementales. En effet, grâce à la législation, aux outils réglementaires et aux décisions judiciaires, les organes gouvernementaux sont en mesure de jouer un rôle unique dans le domaine de la conformité concernant la gestion et la réduction des risques. À titre d’exemple, les lois obligeant le reporting et la révélation de failles de sécurité liées aux données sont la base sur laquelle repose la souscription de polices contre la violation des données. Les amendes réglementaires, les exigences en matière de reporting, ainsi que les coûts liés à la responsabilité civile et autres frais juridiques ont permis de quantifier les pertes liées à la violation des données de manière tangible. Ne pourrait-il pas en être de même pour les ransomwares ?
Un autre facteur essentiel du système de risque-récompense lié aux ransomwares concerne la crypto-monnaie, carburant qui alimente l’essor des ransomwares. Sans la crypto-monnaie, la pression face aux incidents et aux sinistres résultant d’attaques par ransomware serait extrêmement limitée. Le secteur doit ouvrir un débat concernant les réglementations et les politiques actuelles relatives à la crypto-monnaie et se demander si celles-ci ne constituent pas un facteur de développement des ransomwares.
Les gouvernements repensent continuellement leur approche concernant le paiement de rançons. En plus des outils réglementaires, d’autres voies possibles vont de l’interdiction pure et simple du paiement des rançons à l’amélioration de l’attribution et à l’application des règles destinées à lutter contre les acteurs malveillants.
Quelles que soient les mesures spécifiques qui seront prises, il est clairement nécessaire de mettre en place une coordination et d’entreprendre des actions à l’échelle de l’entreprise individuelle, du secteur et des gouvernements afin de garantir la résilience du marché de l’assurance contre le risque cyber et de réduire les risques liés aux ransomwares eux-mêmes.
___________________
Par Patrick Soulignac, Principal Solution Consultant, Guidewire
et Erin Kenneally, Cyber Risk Strategy Director, Guidewire