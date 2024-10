L’augmentation des violations de données accroît la fréquence et la gravité des grands sinistres cyber

octobre 2024 par Allianz Commercial

Sur l’année écoulée, les sinistres cyber ont poursuivi leur tendance à la hausse, en raison notamment de l’augmentation des violations de données et atteintes à la vie privée, signale Allianz Commercial dans son panorama annuel des risques cyber. Au premier semestre 2024, les grands sinistres cyber (> 1 million €) ont bondi de 14 % en fréquence et de 17 % en gravité, selon l’analyse effectuée par l’assureur. Sur l’année 2023, ils n’avaient enregistré qu’une hausse de 1 % en gravité. Des éléments liés aux violations de données et aux atteintes à la vie privée sont présents dans deux tiers des cas. De manière générale, le nombre total de sinistres cyber devrait se stabiliser en 2024, après une hausse de 30 % en fréquence au cours de 2023, qui avait donné lieu à plus de 700 demandes d’indemnisation.

« La part des violations de données sur l’ensemble des sinistres cyber a augmenté pour plusieurs raisons, indique Michael Daum, directeur mondial des sinistres cyber chez Allianz Commercial. La hausse des attaques par rançongiciel, dont les exfiltrations de données, s’explique par les changements de tactique des pirates et les interdépendances croissantes entre les entreprises, qui partagent de plus en plus de données personnelles. Dans le même temps, l’évolution du cadre réglementaire et législatif a entraîné une multiplication des actions de groupe pour des atteintes à la vie privée non liées à des attaques, mais à des collectes ou traitements illicites de données personnelles. Sur deux ans seulement, la part de ces sinistres a triplé en valeur. »

Hausse des sinistres causés par des litiges en matière de protection de la vie privée

L’augmentation des sinistres pour des atteintes à la vie privée non liées à des attaques est due aux progrès de la technologie, à la hausse de la valeur marchande des données personnelles et à l’évolution des cadres réglementaires et législatifs. Comparativement au règlement général sur la protection des données (RGPD), les réglementations américaines sur la confidentialité des données sont moins prescriptives et ouvertes à l’interprétation. En outre, les avocats des demandeurs réclament des dommages-intérêts plus élevés. Cette situation crée une zone grise propice aux actions de groupe, selon le rapport de l’assureur.

« Nous constatons une augmentation des sinistres pour violation de données aux États-Unis, avec une tendance à la hausse des actions de groupe intentées contre de grandes entreprises américaines ou internationales, en matière de protection de la vie privée. Les litiges portent notamment sur le consentement et l’utilisation des données, précise Michael Daum. Le coût de ces sinistres peut parfois dépasser celui d’une attaque par rançongiciel et s’élever à des centaines de millions de dollars. » Sur l’année écoulée, en particulier, les violations de données sont devenues l’un des domaines où les actions de groupe ont le plus progressé aux États-Unis. S’appuyant sur un large éventail de réglementations relatives à la confidentialité des données, plus de 1 300 actions ont été ouvertes en 2013, soit plus du double qu’en 2022 et quatre fois plus qu’en 2021, selon le cabinet d’avocats Duane Morris.

De multiples actions de groupe ont été engagées contre des entreprises de différents secteurs, comme la santé, les réseaux sociaux et les jeux, pour avoir utilisé des outils, tels que Meta Pixel, qui permettent de suivre le comportement des clients. Plusieurs demandeurs ont également reproché à des plateformes de streaming de violer leurs droits à la vie privée. Les sinistres causés par des violations de données de grande ampleur peuvent aussi évoluer en ‘‘hyper-contentieux’’, un seul incident déclenchant une série d’actions de groupe. Plus de 240 actions portées devant plusieurs juridictions, pour la violation des données de MOVEit de 2023, ont ainsi été regroupées en une seule procédure, en octobre 2023. Compte tenu du nombre de demandeurs, les parties ont tout intérêt à conclure un accord. L’année dernière, les dix plus grands règlements effectués dans ce type de contentieux ont totalisé 516 millions de dollars, ce qui représente une hausse importante par rapport aux 350 millions de dollars enregistrés en 2022.

Le risque de litige pour violation de données augmente également en Europe. La sensibilisation aux droits en matière de protection des données, la disponibilité du financement des actions intentées par des tiers et le contexte judiciaire plus favorable aux consommateurs pourraient permettre l’ouverture d’un grand nombre de procédures, sans atteindre toutefois les dimensions observées aux États-Unis, note le rapport.

L’IA pourrait à la fois alimenter et prévenir les violations de données

L’utilisation de l’IA, désormais présente dans la plupart des entreprises, aura des effets sensibles sur le panorama des risques en matière de cybersécurité et de protection de la vie privée. La collecte et le traitement de grandes quantités de données, notamment d’informations personnelles, sanitaires et biométriques, permettent d’entraîner les modèles d’IA pour effectuer des prévisions ou des recommandations. Toutefois, certains outils comme les chabots peuvent entraîner des risques sur la confidentialité, la fiabilité de l’information et la sécurité, si leur gestion n’est pas maîtrisée. Les données collectées et traitées sont si nombreuses que certaines peuvent tomber entre de mauvaises mains, en cas de piratage ou de faille de sécurité. Par ailleurs, les risques de non-respect de la législation sur la protection de la vie privée sont une autre source d’inquiétude. Ils concernent notamment le recueil formel du consentement au traitement des données par l’IA.

De l’exfiltration à la protection des données

Malgré l’augmentation générale des investissements dans la cybersécurité observée ces dernières années, de nombreuses violations de données, dont certaines des exfiltrations en masse perpétrées ces dix-huit derniers mois, sont dues à des défauts de cybersécurité au sein des entreprises ou de leurs chaînes d’approvisionnement. Ces incidents peuvent causer d’importantes pertes, liées aux amendes, aux coûts de notification et aux actions intentées par des tiers, qui s’ajoutent aux demandes de rançon, aux dommages et aux pertes d’exploitation.

La meilleure façon d’atténuer les risques de violation de données est d’adopter une bonne cyberhygiène prévoyant des contrôles d’accès rigoureux, une séparation des bases de données, des sauvegardes et des correctifs, ainsi qu’une formation du personnel. De nombreuses entreprises doivent améliorer la prévention des failles de cybersécurité sur leurs chaînes d’approvisionnement.

« Les capacités de détection et de réponse précoce sont également essentielles. Près de deux tiers des violations de données sont généralement signalées par un tiers ou par les propres attaquants, signale Rishi Baviskar, directeur mondial du conseil en risques cyber chez Allianz Commercial. Les violations de données peuvent s’avérer 1 000 fois plus coûteuses si elles ne sont pas détectées et contenues rapidement. En bref, un sinistre de 20 000 euros peut se solder par 20 millions d’euros de pertes.

« L’IA est également devenue un outil indispensable dans la lutte contre les cyberattaques. Elle peut identifier rapidement une faille de sécurité et isoler automatiquement les systèmes et les bases de données concernés. Elle peut aussi réduire considérablement le coût et le cycle de vie d’une violation de données en automatisant certaines tâches, comme l’analyse et les notifications, ce qui permettrait aux entreprises d’économiser des millions de dollars. »