6 mois plus tard, une nouvelle analyse de sinistres en matière de cyber-assurance, réalisée par l’assureur spécialiste Hiscox, vient apporter un éclairage supplémentaire sur l’état des lieux de la cybersécurité.

En voici les principales conclusions :
• Le constat d’une hausse des sinistres de 15 % par rapport à l’année précédente, reflétant une augmentation des incidents de cybersécurité qui se poursuit tant chez Hiscox que sur le marché en 2024.
• S’agissant des types d’incidents, les attaques par ransomware représentent 40 % des sinistres, suivies par les violations de données à 30 % et les attaques par phishing à 20 %.
o Les données ainsi piratées deviennent ensuite les moyens de pression pour leur non-divulgation et ainsi le paiement de la rançon, dont le montant a baissé de 77% en 2023 par rapport à l’année précédente.
• Les secteurs de la santé, de la finance et de la technologie sont les plus touchés par les incidents de cybersécurité, représentant 60 % des réclamations totales.
o Pour la santé et la finance, le risque est majoritairement lié à la nature des données en leur possession, auquel s’ajoute la possibilité d’action de fraude et cyber fraude (monétisation de la donnée sensible + exploitation à des fins de fraude via phishing notamment).
o Le secteur de la technologie devient, lui, de plus en plus sensible de par la nature même de l’activité des prestataires, comme les MSP (managed services provider), qui ont accès aux systèmes informatiques de leurs clients. Cibler ces structures permet donc à la fois de perturber les services qu’ils vendent, mais aussi d’avoir une chance d’accéder aux systèmes de leurs clients.
• Les entreprises qui investissent dans des mesures de prévention et de réponse aux incidents de cybersécurité ont réduit leur temps de récupération de 25 % en moyenne.
o La prévention n’empêche bien évidemment pas la survenance des sinistres, mais permet d’agir afin de réduire l’intensité de ces derniers et son impact sur l’activité et l’intégrité de l’organisation ciblée.
Au regard de ce dernier point et afin d’accompagner les entreprises dans la réduction des risques cyber, Hiscox formule aux dirigeants des recommandations à l’égard des dirigeants, dont voici une sélection :
• Appliquer des correctifs aux systèmes d’information à intervalles réguliers et exiger la même chose des fournisseurs.
• Auditer ses fournisseurs, surtout ceux qui traitent les données sensibles.
• Sensibiliser les employés aux risques cyber (phishing, ingénierie sociale, compromission des courriers électroniques…).
• Mettre en place l’authentification multi-facteurs (MFA), notamment pour les comptes administrateurs.
• Tester et valider régulièrement les stratégies de sauvegarde.
• Auditer et gérer l’exposition de son système d’information aux menaces, notamment les services accessibles sur Internet.