Le Far West ?
Ces derniers mois, les entreprises se sont, à juste titre, mises en quête d’une assurance en prévision de cyberattaques devenues quasi inévitables. Une récente étude révèle que 85 % d’entre elles ont été victimes d’une attaque de ransomware réussie en 2022, contre 76 % l’année précédente. Dans le même temps, le secteur de l’assurance peine encore à s’adapter à une menace qu’il ne comprend pas totalement. Au niveau mondial, les tarifs de la cyberassurance ont augmenté de 28 % au 4ème trimestre 2022, après une hausse de 53 % au 3ème trimestre.

Non contentes de renchérir leurs primes, les compagnies se montrent de plus en plus discriminantes dans le choix des entreprises qu’elles acceptent ou non d’assurer, en rehaussant les conditions minimales à satisfaire pour être assuré. Ainsi le périmètre des types d’incidents couverts se restreint. Cette situation était sans doute prévisible dans le cas présent où il s’agit d’un secteur jeune et volatile où les cyber-incidents présentent une complexité spécifique que les assureurs comme les entreprises ne maîtrisent pas encore. Ces dernières doivent cependant en tenir compte lorsqu’elles recherchent une assurance. La déclaration d’un sinistre peut s’avérer compliquée et la procédure risque de prendre beaucoup de temps notamment en demande de justificatifs, alors même que les ressources peuvent venir à manquer à la suite d’un cyber-incident.

Le scénario « optimiste »
Même si elle parvient à se faire indemniser, l’entreprise doit être consciente que ce ne sera pas la panacée face à un fléau comme le ransomware, car si l’argent reçu en compensation peut couvrir les pertes, cela ne répare en rien les conséquences plus générales de l’incident. Dans le cas d’une cyberattaque, les conséquences sont plus spécifiques et nuancées. Si un grave incident de sécurité s’est bel et bien produit et un matelas financier peut certes s’avérer utile, mais il ne suffira pas à lui seul pour éteindre l’incendie.

Immédiatement après une attaque de ransomware, les entreprises doivent relever le défi de la reprise d’activité, allant souvent de pair avec l’éventuelle enquête criminelle et la déclaration de sinistre. La restauration des données, des applications et de la disponibilité des systèmes est cruciale, car chaque seconde perdue peut coûter des milliers d’euros. À cela s’ajoute en général l’impossibilité de restaurer les systèmes là où l’attaque s’est produite, car, non seulement il s’agit d’une scène de crime à préserver pour les besoins de l’enquête, mais rien ne garantit que l’environnement soit sûr et intact.

En outre, l’incident peut avoir diverses retombées. La qualité des données étant l’une des principales préoccupations, il est indispensable de vérifier si certaines ont été endommagées. Dans le cas où d’anciennes versions de données ou systèmes sont restaurées, elles doivent être mises à jour le plus tôt possible. Il faut en priorité contrôler si tout est toujours intact et continue de s’intégrer et de fonctionner parfaitement. Il est toutefois difficile de savoir si ces incidents sont terminés, car le danger d’une réinfection par un malware demeuré dans le système ou bien d’une double ou triple extorsion reste élevé.

Bien entendu, tout cela suppose que l’entreprise reprenne son activité sans avoir cédé au chantage. Si elle paye la rançon en pensant que peut-être l’assurance allait couvrir le coût, cela pose quantité de problèmes. Le premier d’entre eux concerne le risque de ne pas pouvoir restaurer les données malgré ce versement. Même en cas de « succès » à l’aide des clés de déchiffrement fournies, le processus peut être extrêmement lent. Autre danger pour les entreprises payant les rançons, celui de voir les attaques se répéter. En effet, les groupes cybercriminels retiennent les noms des victimes qui ont cédé pour revenir à la charge ultérieurement.

Que peuvent faire les entreprises ?
En prenant en compte toutes ces considérations, il ne s’agit pas de ne pas contracter une assurance, mais plutôt de faire en sorte que celle-ci s’inscrive dans une stratégie plus vaste de cyber-résilience. Un modèle approprié de protection des données comprend la mise en place de procédures de sécurité robustes, de sauvegarde et de reprise d’activité, non seulement pour essayer de réduire la probabilité d’une attaque, mais surtout pour préparer l’entreprise à y répondre. Pour se faire, les tests et les corrections réguliers des systèmes permettent de découvrir et d’éliminer les vulnérabilités. La formation de tous les collaborateurs de l’entreprise à la cyber-hygiène et aux accès distants sécurisés est primordiale, puisqu’elle aura pour effet d’améliorer l’éligibilité de l’entreprise à une assurance voire de faire baisser les primes. L’étape suivante consiste à protéger les données et à faire en sorte de maintenir la disponibilité du SI en cas de cyber-incident.

Les entreprises doivent identifier les données et systèmes indispensables à leur bon fonctionnement et en conserver une copie en lieu sûr en prévision d’une attaque de ransomware. Parfois elles pensent que c’est déjà le cas, soit en interne, soit via leur prestataire cloud (une idée reçue très répandue), or le plus souvent il n’en est rien. Il est tout aussi important de conserver des copies multiples des données sous diverses formes, notamment hors site, hors ligne et sur des supports immuables.

Enfin, les entreprises doivent mettre en place des processus de maintien de leur disponibilité et de reprise d’activité après un sinistre pour éviter et limiter les temps d’arrêt autant que possible. Même en présence d’une sauvegarde à restaurer, les équipes informatiques doivent disposer d’un environnement pensé et prêt pour le rétablissement, ne serait-ce que temporairement, des systèmes. Les entreprises qui conçoivent leur infrastructure informatique dans l’optique de la reprise d’activité rebondissent bien plus facilement.

Le secteur de la cyber-assurance va continuer d’évoluer et de s’adapter à mesure que le paysage des menaces s’étend. Cela est tout à fait naturel compte tenu du flou et de la mutation constante des événements à assurer. Mais si une assurance peut aider une entreprise à rester à flot en cas de sinistre, elle n’est qu’une pièce du puzzle. Alors que les conditions d’éligibilité ne cessent de se durcir, les entreprises ne doivent donc pas se contenter de viser le strict minimum requis, mais plutôt s’efforcer d’aller bien au-delà en adoptant une approche plus globale de la protection de leurs données.