Un phénomène qui ne fait que s'amplifier
© Allianz Global Corporate & Specialty
Le phénomène frappe, en silence, des milliers d’autres institutions et entreprises. Ce sont, en 2022, pas moins de 831 “intrusions avérées” dans des systèmes d’informations français qui ont été signalées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pire, selon Le Club des experts de la sécurité de l’information et du numérique (CESIN), 45 % des entreprises ont souffert des conséquences d’une cyberattaque réussie en 2022.
Un niveau de menace bien identifié par la plupart des grandes sociétés, comme en témoigne, le dernier Baromètre 2023 des risques d’Allianz Global Corporate & Speciality qui m'a été remis cette semaine et que vous trouverez en pièce jointe à cet article.
Un niveau de menace bien identifié par la plupart des grandes sociétés, comme en témoigne, le dernier Baromètre 2023 des risques d’Allianz Global Corporate & Speciality qui m'a été remis cette semaine et que vous trouverez en pièce jointe à cet article.
Trois exemples d’interventions en agence de voyages
Cryptage des données
Une agence a été victime d’une cyber-attaque. Elle a été infectée par un programme de cryptage qui avait également menacé l’intégrité de ses données.
Prise en charge
Après avoir enquêté pour déterminer la gravité de l’intrusion, l'assureur a mandaté un expert informatique qui a désinstallé le logiciel malveillant et remédié aux failles de sécurité dans les systèmes.
L'assureur a aussi mandaté son cabinet d’avocats experts afin de l’accompagner dans ses obligations de notification et a effectué les notifications aux autorités de régulation et aux personnes concernées.
Un email piégé qui coûte cher
Un salarié a reçu un faux email usurpant la véritable adresse du dirigeant. Il lui demandait de transférer 50 000 € sur un compte bancaire désigné. Croyant la demande authentique, le salarié a débloqué les fonds ; ni la banque de l' agence de voyages, ni la banque destinataire n’ont réussi à recouvrer les fonds par la suite.
Prise en charge
En réalisant ce qui s’était passé, l'agence a appelé l'assureur, il a immédiatement dépêché un expert en sécurité informatique pour déterminer le problème. Il a remboursé les sommes escroquées.
Réclamation d’un client
Suite à un cyber incident, une entreprise a perdu les données commerciales confidentielles de son client sans qu’aucun des deux ne soient en mesure de les récupérer. Son client mécontent lui envoie une réclamation d’un montant de 150 000 € au titre des dommages et intérêts subis et le menace de ne plus travailler avec lui.
Prise en charge
L'assureur a mandaté un avocat spécialisé afin d’essayer de régler ce cas à l’amiable. Les objectifs sont d’éviter ainsi un procès coûteux et d’essayer de maintenir de bonnes relations commerciales entre l'assuré et son client. Cette médiation s’est soldée à 80 000€ qui ont été réglés par l'assureur. Il a également payé les 10 000 € de frais d’avocats.
Une agence a été victime d’une cyber-attaque. Elle a été infectée par un programme de cryptage qui avait également menacé l’intégrité de ses données.
Prise en charge
Après avoir enquêté pour déterminer la gravité de l’intrusion, l'assureur a mandaté un expert informatique qui a désinstallé le logiciel malveillant et remédié aux failles de sécurité dans les systèmes.
L'assureur a aussi mandaté son cabinet d’avocats experts afin de l’accompagner dans ses obligations de notification et a effectué les notifications aux autorités de régulation et aux personnes concernées.
Un email piégé qui coûte cher
Un salarié a reçu un faux email usurpant la véritable adresse du dirigeant. Il lui demandait de transférer 50 000 € sur un compte bancaire désigné. Croyant la demande authentique, le salarié a débloqué les fonds ; ni la banque de l' agence de voyages, ni la banque destinataire n’ont réussi à recouvrer les fonds par la suite.
Prise en charge
En réalisant ce qui s’était passé, l'agence a appelé l'assureur, il a immédiatement dépêché un expert en sécurité informatique pour déterminer le problème. Il a remboursé les sommes escroquées.
Réclamation d’un client
Suite à un cyber incident, une entreprise a perdu les données commerciales confidentielles de son client sans qu’aucun des deux ne soient en mesure de les récupérer. Son client mécontent lui envoie une réclamation d’un montant de 150 000 € au titre des dommages et intérêts subis et le menace de ne plus travailler avec lui.
Prise en charge
L'assureur a mandaté un avocat spécialisé afin d’essayer de régler ce cas à l’amiable. Les objectifs sont d’éviter ainsi un procès coûteux et d’essayer de maintenir de bonnes relations commerciales entre l'assuré et son client. Cette médiation s’est soldée à 80 000€ qui ont été réglés par l'assureur. Il a également payé les 10 000 € de frais d’avocats.
Le paiement des rançons vers une mesure controversée !
© Pixabay
Pour un nombre croissant d’entreprises et d’entités publiques, la question se pose de payer ou pas les rançons demandées en cas de cyberattaques. La loi pourrait légaliser cette pratique et le gouvernement parie sur un développement du marché des cyber assurances.
Selon le projet de loi d’orientation et de programmation du ministère de l’intérieur, le LOPMI, qui a été jugé partiellement non conforme par le conseil constitutionnel le 19 janvier dernier, les entreprises auront la possibilité de payer les rançons demandées en cas de cyberattaques, le plus souvent basées sur des ransomwares, à la seule condition de porter plainte dans les 72 heures suivant la connaissance de l’infraction.
Cette mesure a sans aucun doute été la plus discutée de ce projet de Loi. D’autant qu’elle va à l’encontre des recommandations de l’ANSSI qui rappelle dans son rapport annuel que le paiement d’une rançon « ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »
L’une des volontés derrière cette mesure controversée est de faciliter la tâche des enquêteurs en leur permettant d’être informés et surtout d’être rapidement informés pour mener une enquête efficace.
Par ailleurs, cette mesure est assortie d’un durcissement des sanctions contre les cyber-escrocs.
Selon les pouvoirs publics, il s’agit d’aller dans le sens d’une meilleure information de la police et de la justice et d’encadrer les clauses de remboursement des cyber-rançons par les assurances. Les pouvoirs publics ont conjointement mis en avant un rapport effectué par la direction générale du trésor en collaboration avec des professionnels du secteur intitulé « Le développement de l’assurance du risque cyber ».
La mesure pourrait s’avérer être une fausse bonne idée. On imagine d’abord facilement le côté "open bar" pour les hacker puisque ces rançons seront payées quoiqu'il advienne.
Quant aux mesures coercitives, elles auront un peu de mal à s’appliquer à des hackers localisés dans des pays comme la Russie, la Corée du Nord, la Chine…
Pour conclure, les assureurs sont loin de partager l’optimisme des pouvoirs publics sur le développement du marché de l’assurance cyber, et au final les entreprises risquent de voir leurs primes fortement augmenter, voir à un retrait de certains assureurs du marché, ce qui réduirait à néant les efforts engagés pour couvrir les victimes.
Selon le projet de loi d’orientation et de programmation du ministère de l’intérieur, le LOPMI, qui a été jugé partiellement non conforme par le conseil constitutionnel le 19 janvier dernier, les entreprises auront la possibilité de payer les rançons demandées en cas de cyberattaques, le plus souvent basées sur des ransomwares, à la seule condition de porter plainte dans les 72 heures suivant la connaissance de l’infraction.
Cette mesure a sans aucun doute été la plus discutée de ce projet de Loi. D’autant qu’elle va à l’encontre des recommandations de l’ANSSI qui rappelle dans son rapport annuel que le paiement d’une rançon « ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. »
L’une des volontés derrière cette mesure controversée est de faciliter la tâche des enquêteurs en leur permettant d’être informés et surtout d’être rapidement informés pour mener une enquête efficace.
Par ailleurs, cette mesure est assortie d’un durcissement des sanctions contre les cyber-escrocs.
Selon les pouvoirs publics, il s’agit d’aller dans le sens d’une meilleure information de la police et de la justice et d’encadrer les clauses de remboursement des cyber-rançons par les assurances. Les pouvoirs publics ont conjointement mis en avant un rapport effectué par la direction générale du trésor en collaboration avec des professionnels du secteur intitulé « Le développement de l’assurance du risque cyber ».
La mesure pourrait s’avérer être une fausse bonne idée. On imagine d’abord facilement le côté "open bar" pour les hacker puisque ces rançons seront payées quoiqu'il advienne.
Quant aux mesures coercitives, elles auront un peu de mal à s’appliquer à des hackers localisés dans des pays comme la Russie, la Corée du Nord, la Chine…
Pour conclure, les assureurs sont loin de partager l’optimisme des pouvoirs publics sur le développement du marché de l’assurance cyber, et au final les entreprises risquent de voir leurs primes fortement augmenter, voir à un retrait de certains assureurs du marché, ce qui réduirait à néant les efforts engagés pour couvrir les victimes.
