Mai 2017, le monde de l’informatique se réveille avec une migraine comme il en a rarement connu. Dans plus de 150 pays, Wannacry, un ransomware s’attaque à une faille sur les versions de Windows antérieures à Windows 10. Cette attaque d’un nouveau genre par sa propagation, son ampleur et sa rapidité (quelques heures ont suffi pour toucher le monde entier) en fait l’une des cyberattaques majeures de l’histoire de l’informatique moderne.
Mais Wannacry ne faisait que poser la première pierre des fondations d’un édifice bien plus vaste qu’allait devenir le monde des cyber rançons.
Cette montée en puissance du secteur est à mettre en corrélation avec la démocratisation des cryptomonnaies, leur acceptation et leur utilisation à travers le monde.
De quelques centaines de dollars en Bitcoin en 2017 à plusieurs millions parfois, les cyber rançons s’attaquent à tout le monde, quel que soit l’argent disponible sur le compte en banque de la victime.
En 2020, le secteur a connu une accélération notable du fait de l’arrivée soudaine de la COVID et de l’instauration du télétravail à marche forcée auquel la majorité des entreprises n’étaient pas préparées. Nous en avions parlé dans notre dernier article publié en juillet 2021, les entreprises n’étaient pas en capacité d’organiser le télétravail complet de leurs équipes, contrôler l’accès, l’utilisation et la sécurité de ses données dans un laps de temps si court. Les salariés ont été dans l’ensemble peu formés et sensibilisés à ce type de risque.
Cette période a été une opportunité pour le crime organisé qui s’est engouffré dans la brèche, le centre de lutte contre les criminalités numériques (C3N) rattaché à la Gendarmerie Nationale notant une migration de la criminalité vers le dématérialisé depuis quelques années.
Pourquoi parler de mutation en 2022 pour les ransomwares et pour le marché du cyber-risque ?
Le marché de l’assurance opère une mise au point sur le sujet et commence sa mue en matière de cyber-risques.
Soyons clair sur un point, les assureurs ne payent plus les rançons, mais, dans certains cas ils payent les frais de reconstruction et d’aide pour les entreprises qui ont souscrit un contrat cyber ou si l’une de leurs garanties le prévoit, les aident à remettre sur pied leur business. Mais en aucun cas les assureurs ne payent les rançons en Bitcoin.
Le risque cyber reste difficilement assurable en France, sujet de tension entre toutes les parties prenantes, les dirigeants d’entreprises sont maintenant convaincus de l’utilité d’être mieux équipés et mieux couverts contre les cybercrimes mais il reste difficile de trouver un assureur qui s’occupera de couvrir ce risque.
Pourquoi cette subite réticence sur le sujet alors qu’il y a encore peu de temps les assureurs planchaient sur de nouvelles offres et se lançaient sur le secteur qui était un secteur d’avenir ?
Prenons le sujet sous l’angle financier, en 2020, 4 sinistres ont coûté l’intégralité des primes récoltées.
En reprenant les informations issues de l’étude Lucy publiée en mai dernier par l’Amrae (https://www.amrae.fr/recherche?search_api_fulltext=lucy), on observe une tendance :
- En 2019, pour 87 millions d’euros de primes, il y a eu 73 millions d’euros d’indemnisation.
- En 2020, pour 130 millions d’euros de primes, il y a eu 217 millions d’indemnisation, mais la fréquence des sinistres n’a pas augmenté.
« On a vu apparaître de très gros sinistres, dont quatre ont coûté à eux seuls 130 millions d’euros, c’est-à-dire la totalité des primes du marché français », souligne Philippe Cotelle (Head of Airbus Defence and Space Insurance Risk Management & Président de la Commission Systèmes d’information de l’AMRAE).
« Si un assureur ne peut pas maîtriser un risque, il va l’exclure », rappelle Olivier Lopez qui confirme l’idée de Florence Lustman, présidente de l’association professionnelle des assureurs France Assureurs (ex-Fédération Française de l’Assurance, FFA), selon laquelle « la maîtrise du risque cyber ne passe pas par l’assurance, mais par la prévention » (cf. notre article de juillet 2021).
Mais alors il est légitime de se poser la question de la place de la réassurance dans l’assurance de ce type de risque. En octobre 2021, Standards and Poor’s estimait que le taux de primes cédées en réassurance pour les risques cyber est entre 35 et 45%. Or, selon l’ACPR, en 2019, le taux de cession de primes en réassurance est de l’ordre de 7% pour la vie, et 20% pour la non-vie. Nous avons donc un taux 2 fois supérieur à la moyenne des risques non-vie.
Il s’agit ici d’un signal d’alarme, le risque est-il trop instable ? Les réassureurs se posent-ils ici en stabilisateur d’un marché qui manque de temps pour se stabiliser ou d’un marché au bord du gouffre ?
Quel avenir pour le marché assurantiel de la cyber protection ?
Oliver Wild (président de l’AMRAE) n’y va pas par quatre chemins : « le marché de la cyber-assurance n’existera peut-être plus l’an prochain »
Le cas de la cyber-assurance est à la fois celui qui intéresse le plus les DSI et l’un de ceux les plus significatifs. « Nous sommes en retrait par rapport à il y a cinq ans où les assureurs se bousculaient pour en vendre » a dénoncé Oliver Wild. Les cyber-risques ont été exclus des autres contrats (où il y avait auparavant des clauses génériques les couvrant) puisqu’il y avait des contrats spécifiques de cyber-assurance.
« Mais, aujourd’hui, les contrats sont vidés de leur substance… quand ils sont toujours proposés » continue Oliver Wild. Le marché s’est retourné. Les tarifs explosent. Et les risques acceptés par les assureurs se réduisent comme peau de chagrin avec d’innombrables clauses d’exclusion et des franchises colossales.
De plus en plus souvent, l’offre de cyber-assurance n’est même plus proposée. Or les entreprises ont construit une stratégie avec, d’un côté, une politique d’investissement sur la cybersécurité mais aussi, de l’autre, un filet de sécurité, la cyber-assurance.
Pour Oliver Wild, « aujourd’hui, le filet n’existe plus ».
De son côté l’Etat continue son plan d’aide et de sensibilisation sur les risques cyber en annonçant le lancement du « 17 cyber », numéro d’urgence dédié aux cyberattaques.
A titre de comparaison, les Etats-Unis ont annoncé que la lutte contre la cybercriminalité était une cause nationale au même titre que la lutte contre le terrorisme. La France tente de dimensionner ses ressources de protection en la matière et de positionner le sujet comme un enjeu incontournable de ces prochaines années.
« Le cyber est l’élément de menace de demain », a appuyé le ministre de l’Intérieur Gérald Darmanin, mardi 11 janvier 2022, face à l’Assemblée nationale. Lors d’une séance de questions au gouvernement, le locataire de Beauvau a détaillé des annonces sur la sécurité émises la veille par le Président de la République en déplacement à Nice. En plus de l’ajout de 1500 « cyber défenseurs » aux forces de l’ordre françaises, un « 17 cyber » doit être mis en place. « Une entreprise sur deux, y compris les PME, a été victime d’une attaque cyber dans l’année. Et une personne sur deux a connu une tentative de phishing, une escroquerie à l’identité ou à la carte bancaire. Ce sera le cas de quasiment tous les citoyens dans les cinq prochaines années », contextualisait Gérald Darmanin devant les députés.
Pour répondre à cette menace, le gouvernement souhaite créer un service d’urgence dédié aux cyberattaques, un numéro semblable au 112 ou au 17. Il sera destiné aux particuliers, aux entreprises mais aussi aux administrations. La ligne disponible « 24h/24 et 7 jours sur 7 » mettra en relation les victimes avec des experts issus de structures comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou du ministère de l’Intérieur.
Au-delà de la simple résolution du problème, les effectifs du « 17 cyber » auront un rôle d’assistance judiciaire auprès des victimes. Les services fourniront un accompagnement « à la prise de plainte ou aux actions de premier niveau pour garantir la préservation de la preuve ».
Le point à noter sur cette mutation du secteur des cybercrimes et des ransomwares est que les cybercriminels ne se contentent plus de chiffrer les données et d’exiger une rançon pour obtenir la clé de déchiffrement, ils pratiquent désormais de façon systématique la « double extorsion », c’est-à-dire l’exfiltration des données personnelles, leur exploitation et leur revente.
Il s’agit alors d’une double peine pour l’entreprise victime, elle paye la rançon, est identifiée comme « bon payeur » par le marché des cybercriminels et voit ses données mises en ligne ou revendues pour être exploitées par d’autres organisations criminelles.
La prévention, maître mot de la sécurité des entreprises ?
Nous avions abordé le sujet et nous en sommes convaincus, la prévention liée aux cyber-risques reste la clé pour lutter contre toutes les attaques et les ransomwares.
Les premières attaques et demandes de rançons n’ont pas tardé en 2022, le 24 janvier, la 1ère rançon demandée a été rendue publique (lien).
Il est important pour toutes les entreprises qui développent leurs compétences sur ce domaine et déploient de nouvelles formations ou guides pratiques pour leurs salariés, de mettre en place quelques règles primordiales.
L’ANSSI a mis à disposition sur son site internet un guide sur les bonnes pratiques à adopter dans le domaine de l’informatique, vous pouvez le consulter en cliquant sur le lien suivant : https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/
Enfin un partenariat signé le 28 septembre 2021 par la FFA avec AGEA et la Gendarmerie Nationale, qui vise à former et sensibiliser les agents généraux d’assurance au risque cyber, devrait permettre aux agents d’être en mesure de dispenser des conseils de prévention aux TPE et PME. Les assureurs espèrent donc voir la situation s’améliorer. Car il y a certes des explications à la situation actuelle mais également des solutions pour y remédier.