Sécurité informatique : anciens dangers, nouvelles préoccupations
Le risque accru d'attaques cybercriminelles parrainées par l'État, les exigences environnementales, sociales et de gouvernance (ESG) et le manque d'experts en cybersécurité donnent des insomnies aux dirigeants d'entreprise. Mais il existe des moyens de se défendre.
Le vendredi 13, à sept heures, tout s'est soudainement arrêté dans la marque de mode allemande Marc O'Polo. Les téléphones sont restés muets, les e-mails ne fonctionnaient plus, les scanners et les systèmes de caisse dans les magasins de la marque étaient morts. Suite à une attaque de hackers, les systèmes informatiques de la chaîne de mode avaient été cryptés. Une rançon a été demandée. L'entreprise de mode a payé cette somme il y a trois ans. Il a tout de même fallu près de quatre semaines pour que le fonctionnement normal soit rétabli.
Une nouvelle tendance : davantage de doubles et triples pressions
Marc O'Polo fait partie d'une série de petites et grandes entreprises qui ont déjà été victimes d'une attaque de ransomware. Actuellement, ces attaques avec cryptage des systèmes et des données et demande de rançon représentent l'un des plus grands cyber-risques pour les entreprises du monde entier. Selon le dernier cyber-rapport d'Allianz Global Corporate & Specialty (AGCS), il y a eu un record de 623 millions d'attaques de ransomware dans le monde en 2021, soit deux fois plus qu'en 2020. Bien que la fréquence ait diminué de 23 % dans le monde au cours du premier semestre 2022, le nombre total d'attaques de ransomware jusqu'à présent dans l'année dépasse toujours celui de 2017, 2018 et 2019 : En Europe, les attaques ont même fortement augmenté au cours de cette période. On prévoit que les ransomwares causeront des dommages à hauteur de 30 milliards de dollars US dans le monde entier d'ici fin 2023. Du point de vue de l'AGCS, la valeur des sinistres d'assurance causés par les ransomwares, auxquels l'entreprise a participé avec d'autres assureurs en 2020 et 2021, a largement dépassé 50 % de tous les coûts des sinistres de la cyberassurance.
Les coûts des attaques de ransomware ont également augmenté parce que les criminels ont ciblé de plus grandes entreprises, des infrastructures critiques et des chaînes d'approvisionnement. En outre, les criminels ont affiné leur tactique pour extorquer plus d'argent. Les attaques de double et de triple chantage sont désormais la norme - outre le cryptage des systèmes, les données sensibles sont de plus en plus volées et utilisées comme moyen de pression pour exiger le paiement de partenaires commerciaux, de fournisseurs ou de clients.
Augmentation des tactiques de deep fake
La gravité des attaques de ransomware restera une menace majeure pour les entreprises, alimentée par la sophistication croissante des gangs et également par la hausse de l'inflation, qui se traduit par une augmentation des coûts des spécialistes de la sécurité informatique. En outre, les petites et moyennes entreprises, qui manquent souvent de ressources pour investir dans la cybersécurité, seront également de plus en plus ciblées par les gangs de ransomware. Ceux-ci utilisent un large éventail de techniques d'extorsion, adaptent leurs demandes de rançon à des entreprises spécifiques et font appel à des négociateurs expérimentés pour maximiser les bénéfices de leurs activités criminelles.
Le cyber-rapport a mis en évidence une série de menaces supplémentaires auxquelles les entreprises suisses devraient se préparer. Ainsi, la fraude Business E-Mail Compromise (BEC) continue de progresser. Ce phénomène est favorisé par la numérisation et la disponibilité croissantes des données, le déplacement des postes de travail vers le home office et la propagation des technologies de deep fake. Selon le FBI, les fraudes BEC s'élèvent à un total de 43 milliards de dollars US dans le monde entre 2016 et 2021, avec une augmentation de 65 % rien qu'entre juillet 2019 et décembre 2021. Les attaques sont de plus en plus sophistiquées et ciblées, car les criminels utilisent désormais des plateformes de réunion virtuelles pour inciter les employés à transférer des fonds ou à partager des informations confidentielles. De plus en plus, ces attaques sont rendues possibles par l'intelligence artificielle, qui imite à s'y méprendre les cadres supérieurs par le biais de faux audio ou vidéo profonds. L'année dernière, un employé de banque des Émirats arabes unis a transféré 35 millions de dollars après avoir été trompé par la voix clonée d'un dirigeant d'entreprise.
Impact du thème de la guerre sur les assurances
La guerre en Ukraine et les tensions géopolitiques générales sont également un facteur important qui modifie le paysage des cybermenaces : Le risque d'espionnage, de sabotage et de cyberattaques contre les entreprises liées à la Russie et à l'Ukraine, ainsi que contre les alliés et les entreprises des pays voisins, est accru. Les cyberattaques soutenues par l'État pourraient viser des infrastructures critiques, des chaînes d'approvisionnement ou des entreprises. Jusqu'à présent, la guerre entre la Russie et l'Ukraine n'a pas encore entraîné d'augmentation significative des demandes d'indemnisation au titre de la cyberassurance, mais elle indique un risque potentiellement accru de la part des États-nations. Bien que les actes de guerre soient généralement exclus des produits d'assurance traditionnels, le risque de cyberguerre hybride a accéléré les efforts sur le marché de l'assurance pour préciser la question de la guerre et des cyberattaques soutenues par l'État dans les contrats d'assurance et pour fournir aux clients des informations claires sur la couverture d'assurance.
Moins de personnel qualifié pour les concepts de sécurité informatique
Le manque de personnel qualifié est également une source de préoccupation majeure, car il entrave les efforts visant à améliorer la cybersécurité. Bien que le management soit de plus en plus sensibilisé, le nombre de postes non pourvus dans le domaine de la cybersécurité a augmenté de 350 % au cours des huit dernières années pour atteindre 3,5 millions, selon les estimations. Cette situation est d'autant plus préoccupante que, dans le même temps, la cybersécurité est de plus en plus considérée à travers les lunettes ESG : Aujourd'hui, le niveau de cybersécurité des entreprises intéresse bien plus de parties prenantes que par le passé. Les aspects de cybersécurité sont de plus en plus intégrés dans l'analyse de risque ESG des fournisseurs de données. Il n'a jamais été aussi important de s'assurer que des politiques et des processus de cybersécurité sont en place et qu'ils sont également ancrés au niveau du conseil d'administration.
Les entreprises sont-elles pour autant impuissantes face aux pirates ? Certainement pas ! Nous pouvons confirmer que les entreprises disposant d'un niveau élevé de sécurité informatique et d'une cyberdéfense bien rodée sont certes elles aussi victimes d'attaques, mais qu'elles parviennent beaucoup mieux à les repousser et à revenir rapidement à la normale. En tant que cyberassureur, nous assistons aujourd'hui à un tout autre débat sur les cyberrisques et les concepts de protection qu'il y a quelques années. Nous obtenons un bien meilleur aperçu par le biais de questionnaires et de dialogues sur les risques, et nous apprécions que les clients s'efforcent de nous fournir des informations complètes. Inversement, cela nous aide à fournir des conseils et des recommandations utiles, par exemple sur les contrôles les plus efficaces ou les domaines dans lesquels la gestion des risques peut encore être améliorée. Le résultat devrait être que les entreprises subissent moins d'événements cybernétiques - ou du moins moins moins graves - et que nous voyons par conséquent moins de sinistres d'assurance. Une telle collaboration contribuera à la création d'un marché de l'assurance viable à long terme, qui ne s'appuie pas uniquement sur les couvertures traditionnelles, mais qui intègre de plus en plus les cyber-risques dans les assurances captives et l'auto-assurance, ainsi que dans d'autres concepts alternatifs de transfert de risques.
