Allianz : la cyber-délinquance entraîne des pertes importantes pour les entreprises, mais les défaillances internes sont la première cause de sinistres cyber

Les attaques informatiques contre les entreprises provoquent les sinistres cyber les plus coûteux, mais ce sont les erreurs humaines et les problèmes techniques qui causent le plus grand nombre de sinistres cyber, selon un nouveau rapport d’Allianz Global Corporate& Specialty (AGCS), intitulé Managing The Impact Of IncreasingInterconnectivity – Trends In Cyber Risk. Cette analyse porte sur 1 736 sinistres cyber, d’un montant total de 660 millions d’euros, déclarés auprès d’AGCS et d’autres assureurs entre 2015 et 2020.

« Aujourd’hui, les pertes dues à des incidents tels que les attaques en ‘’déni de service distribué’’ (DDoS) et les campagnes de phishing ou de ransomware représentent une grande part du montant des sinistres cyber, indique Catharina Richter, Directrice mondiale du Centre de compétences cyber d’Allianz, au sein d’AGCS. Toutefois, si la cyber-délinquance fait la Une de la presse, les incidents quotidiens liés aux défaillances informatiques, aux pannes de systèmes ou aux erreurs humaines peuvent aussi poser des problèmes aux entreprises, avec un impact financier moyen moins élevé. Les entreprises et leurs personnels doivent travailler ensemble pour améliorer la sensibilisation et la résilience dans ce domaine. »

Le nombre de sinistres cyber déclarés à AGCS est en constante progression depuis quelques années. Il est passé de 77 en 2016, lorsque l’assurance cyber était relativement nouvelle, à 809 en 2019. AGCS a déjà enregistré 770 demandes d’indemnisation lors des trois premiers trimestres de 2020. Cette augmentation continue est en partie due à la croissance du marché mondial de l’assurance cyber, actuellement estimé à 7 milliards de dollars, selon Munich Re. AGCS a commencé à proposer une assurance cyber en 2013 et a émis plus de 100 millions d’euros de primes brutes sur ce segment en 2019. Le rapport révèle également une hausse de 70% du coût moyen de la cyber-délinquance pour les entreprises sur les cinq dernières années, atteignant aujourd’hui 13 millions de dollars, et une augmentation de 60% du nombre moyen de violations de sécurité[1].

Toujours selon ce rapport, les pertes causées par les incidents externes, tels que les attaques en ‘’déni de service distribué’’ et les campagnes de phishing ou de ransomware et malware, représentent la majorité du montant des sinistres analysés (85%). Les actions internes malveillantes sont peu fréquentes (9%), mais souvent coûteuses. Les accidents internes, tels que les erreurs humaines pendant le travail, les pannes de systèmes ou de plateformes, les problèmes de migration informatique ou encore la perte de données représentent plus de la moitié des sinistres cyber analysés (54%), mais leur impact financier est généralement limité par rapport à la cyber-délinquance. Les pertes peuvent néanmoins augmenter rapidement en cas d’incidents plus graves.

L’interruption d’activité (en incluant les coûts d’atténuation et de responsabilité civile) est le principal facteur de coûts des sinistres cyber, avant les violations de données. Elle représente environ 60% du montant total des sinistres analysés.

Le contexte des cyber-risques ne devrait pas s’améliorer dans l’avenir, selon les estimations du rapport, avec un durcissement de la réglementation, une augmentation des litiges, et l’expression des conflits politiques dans le cyberespace sous la forme d’attaques financées par les États. Les entreprises et les assureurs sont ainsi confrontés à plusieurs défis, tels que la perspective d’interruptions d’activité plus coûteuses, la fréquence croissante des attaques par ransomware, la hausse des coûts de violations de données plus importantes. L’impact de ces tendances fait également l’objet d’un nouveau podcast d’AGCS.

Le développement du télétravail, lié à la pandémie Covid-19, soulève un autre problème. En effet, l’isolement du personnel offre de nouvelles occasions aux cyber-délinquants d’accéder aux réseaux et aux informations sensibles. Les attaques par ransomware et malware auraient déjà augmenté de plus d’un tiers depuis le début de l’année 2020, tandis que les arnaques en ligne et les campagnes de phishing sur fond de coronavirus continuent de proliférer. Parallèlement, l’impact potentiel des erreurs humaines ou des défaillances techniques pourrait aussi augmenter.

Malgré la hausse des expositions, il est encore impossible de dire si la pandémie Covid-19 est la cause directe de certains sinistres cyber. AGCS en a déjà enregistré quelques uns qui pourraient lui être attribués indirectement, notamment des attaques par ransomware profitant de la mise en place du télétravail. Il est cependant trop tôt pour constater l’existence d’une tendance plus large.

Hausse des risques liés au ransomware

Déjà fréquentes, les campagnes de ransomware causent des dommages plus importants, ciblant davantage les grandes entreprises par des attaques sophistiquées et des tentatives d’extorsions considérables. L’année dernière, près d’un demi-million d’incidents de ce type ont été déclarés dans le monde et ont coûté aux entreprises au moins 6,3 milliards de dollars de rançon[1]. Le coût total lié à la gestion de ces incidents devrait dépasser largement les 100 milliards de dollars.

« Les outils de piratage haut de gamme sont plus facilement disponibles avec la “commercialisation” croissante du cyber-piratage, explique Marek Stanislawski, directeur mondial du risque cyber chez AGCS.De plus en plus souvent, les hackers vendent des logiciels malveillants à d’autres hackers, qui attaquent ensuite les entreprises pour exiger une rançon. Les tentatives d’extorsion ne sont pas le seul aspect du problème, toutefois. Les interruptions d’activité, de plus en plus longues, peuvent entraîner des pertes bien plus importantes, et les coûts de restauration des systèmes et des données peuvent vite s’envoler. »

Augmentation des interruptions d’activité et des vulnérabilités de la chaîne d’approvisionnement numérique

« Qu’elle soit due à une attaque de ransomware, à une erreur humaine ou à une défaillance technique, la perte de systèmes ou de données critiques peut mettre une entreprise à genoux, dans notre économie aujourd’hui numérisée, observe Jérôme Chartrain, responsable cyber chez AGCS France. L’impossibilité d’accéder aux données pendant une période prolongée peut avoir de graves conséquences sur le chiffre d’affaires, par exemple si l’entreprise ne peut plus gérer les commandes. De manière similaire, si une plateforme en ligne n’est plus disponible en raison d’un incident technique ou d’une cyber-attaque, les entreprises qui l’utilisent peuvent subir des pertes importantes, compte tenu de la dépendance croissante aux ventes en ligne et aux chaînes d’approvisionnement numériques. »

 Violations de données et attaques financées par les États

Les coûts liés à la gestion d’une violation de données de grande envergure sont en hausse car les systèmes informatiques et les incidents cyber sont de plus en plus complexes, et les services de cloud computing et de tiers en plein essor. La réglementation sur la confidentialité des données, récemment renforcée dans de nombreux pays, est aussi un facteur d’augmentation des coûts, puisqu’elle accroît le nombre de litiges en responsabilité civile et les possibilités d’actions de groupe. Les méga-violations de données (concernant plus d’un million de comptes) sont plus fréquentes et plus onéreuses, avec un coût moyen de 50 millions de dollars[2], en hausse de 20% par rapport à 2019.

L’impact de la participation croissante d’États-nations dans les cyber-attaques est une autre source de préoccupation croissante. Les grands événements tels que les élections ou la pandémie de Covid-19 créent de 

nouvelles opportunités. Google a annoncé qu’il avait dû contrer plus de 11 000 tentatives d’attaques financées par des États, au cours de chaque trimestre de 2020.[1]. Ces dernières années, des infrastructures essentielles, telles que des ports, des terminaux ou des installations de pétrole et de gaz, ont été visées par des cyber-attaques et des campagnes de ransomware.

 Préparation, formation et prévention

La préparation et la formation des personnels permettent de réduire considérablement les conséquences des incidents cyber, notamment du phishing et de la compromission d’e-mails, impliquant souvent une erreur humaine. Elles peuvent aussi atténuer les attaques par ransomware, mais ce sont surtout les sauvegardes de sécurité qui permettent de limiter les dommages. Les initiatives d’échanges et de coopération inter-entreprises, comme la Charter of Trust, sont aussi essentielles pour déjouer la cyber-délinquance commercialement organisée, grâce à l’élaboration de normes de sécurité communes ou l’amélioration de la cyber-résilience.

La crise sanitaire soulève de nouveaux défis. Avec le développement du télétravail, la sécurité des points d’accès et d’authentification est capitale. Les entreprises doivent aussi assurer une capacité de réseau suffisante, car une panne peut entraîner des pertes d’exploitation importantes.

ZAM fait partie de Zurich Insurance Group (Zurich). Elle a commencé son activité au Maroc en 1951. Offrant des produits et services, principalement en assurances dommages pour les entreprises et les particuliers du marché marocain, elle emploie actuellement environ 230 personnes. Zurich Assurances Maroc sert sa clientèle à travers un important réseau de 150 Agents Généraux ainsi que de très nombreux cabinets de courtage dans tout le pays. Vous trouverez des informations complémentaires à propos de Zurich au Maroc sur www.zurich.ma.