Fuites de données, virus, logiciels malveillants, hackers. Les dommages sont de plus en plus nombreux et les entreprises ont constamment une longueur de retard. Pour AIG, la menace est claire: “Les attaques massives ont été remplacées par un modèle opérationnel très ciblé.”
Les cyberassurances n’ont fait leur apparition dans l’offre des assureurs que relativement récemment. Les assureurs n’ont réellement commencé à émettre des polices contre les cyberrisques qu’à partir de 2013, lorsque l’Europe s’est attachée à harmoniser les législations du Vieux Continent en matière de protection de la vie privée. L’accent était alors mis avant tout sur les violations de la vie privée, le vol de comptes bancaires ou encore la fuite d’informations confidentielles.
Le modèle opérationnel le plus efficace des cybercriminels consiste à prendre les entreprises en otage en verrouillant leurs systèmes informatiques ou en les menaçant de le faire – c’est ce que l’on appelle les attaques par ransomware. Toute organisation ou entreprise qui dépend d’un système informatique ou qui détient des données est une cible potentielle, quels que soient sa taille et le secteur dans lequel elle est active.
Les nouveaux risques
“Nous constatons que les entreprises de production, entre autres, apparaissent aussi sur le radar des collectifs de hackers depuis qu’elles numérisent toujours davantage leurs processus”, indique Frederic De Blieck, Underwriting Manager Financial Lines chez AIG. “Il est possible de paralyser leurs processus de production de l’extérieur; il est alors beaucoup plus difficile pour ce type d’entreprise de rattraper son retard de production et son chiffre d’affaires.”
Nous remarquons que les cybercriminels ont aujourd'hui les prestataires de services externes et/ou sous-traitants dans le collimateur: en passant par eux, ils ont la possibilité d’attaquer plusieurs entreprises d’un seul coup.
“Nous avons vu un changement s’opérer dans les cyberrisques ces trois dernières années”, souligne de son côté Frank Vanhoonacker, Underwriting Manager Professional Liability and Cyber chez AIG. “L’extorsion par vol de données ou simplement le chiffrage de systèmes informatiques sont de plus en plus fréquents.”
Des sinistres graves
Toutes les 11 secondes, une attaque par ransomware se produit quelque part dans le monde. Depuis 2018, AIG a vu les notifications de sinistres augmenter de 150%.
“Je me souviens d’incidents tels que le ransomware WannaCry et le malware Petya”, acquiesce Frederic De Blieck. “Ces attaques étaient lancées en masse dans l’espoir que quelqu’un quelque part cliquerait sur un lien, serait coincé et verserait une petite somme d’argent pour être débloqué. Ce mode opératoire a évolué vers un modèle dans lequel le pirate est aux aguets, choisit ses proies et attend le bon moment pour frapper. Ce genre d’attaque plus profond, plus invasif est en forte hausse ces dernières années. Nous remarquons également que les cybercriminels ont aujourd’hui les prestataires de services externes et/ou sous-traitants dans le collimateur parce que, en passant par eux, ils ont la possibilité d’atteindre plusieurs entreprises d’un seul coup.”
“Par ailleurs, la gravité des dommages occasionnés par une attaque a elle aussi augmenté. Ainsi, la durée moyenne de l’interruption du réseau est passée de sept à dix jours. Pour les entreprises de plus grande ampleur, cela peut même se chiffrer en semaines ou en mois. Les frais consécutifs à une attaque par un ransomware, impliquant un vol puis un chiffrage de données – une tendance récente dans le domaine –, sont en outre deux fois plus élevés.”
Évaluation détaillée des risques
L’évolution négative des cyberrisques a une influence sur les conditions des polices proposées sur le marché. Alors que le nombre de sinistres explose, les primes flambent, les franchises sont revues à la hausse et les montants assurés sont en baisse. Les entreprises doivent recourir à davantage d’acteurs pour ériger leur “forteresse d’assurances”.
“Particulièrement pour ce qui concerne les conditions des polices et le risque d’extorsion et de ransomware, nous voyons arriver sur le marché des solutions dont les sous-limites, éventuellement combinées à une clause de coassurance, sont très détaillées”, précise Frederic De Blieck.
Nous avons vu un changement s’opérer dans les cyberrisques ces trois dernières années. L’extorsion par vol de données ou simplement le chiffrage de systèmes informatiques sont de plus en plus fréquents.
“Nous accordons désormais nettement plus d’attention à évaluer plus précisément les risques”, prolonge Frank Vanhoonacker. “Cela nous donne une meilleure idée du risque; parallèlement, le feed-back que nous offrons au client est un service supplémentaire: il obtient ainsi un point de référence pour situer la maturité de son niveau de protection.”
First response
Les risques sous-jacents ont évolué, tout comme le rôle de l’assureur. “AIG aide ses clients à mieux s’armer contre les ransomwares et autres cybermenaces”, avance Frank Vanhoonacker. “D’une part, dans le cadre du processus de souscription, nous présentons notre analyse au client et lui suggérons d’éventuelles améliorations à apporter à sa protection. D’autre part, en tant qu’assureur, nous mettons gratuitement une série d'outils de prévention à sa disposition.”
“Alors que, typiquement, un assureur n’intervient que quand il s’agit d’indemniser les dommages subis, nous avons vite compris chez AIG que cela n’était pas suffisant pour une cyberassurance efficace”, embraie Frederic De Blieck. “Une attaque par ransomware exige en effet une assistance technique immédiate.”
“C’est pour cette raison qu’AIG a mis en place une ligne téléphonique First response, par le biais de laquelle nos clients peuvent entrer en contact avec des experts informatiques, des juristes, etc., afin de prendre les décisions qui s’imposent en cas de crise.”