La cyberassurance crée un cercle de sécurité vertueux

Il n'y a pas si longtemps que ça, de nombreuses entreprises faisaient le choix de contracter des polices de cyber assurance pour couvrir les pertes liées aux attaques de ransomware, plutôt que de réaliser les investissements supplémentaires pour contrer cette menace. Aujourd'hui, il semblerait qu'elles ne puissent plus souscrire à ces politiques d'assurance si elles n'ont pas fait les investissements nécessaires.

Après avoir accumulé des pertes importantes liées aux déclarations de cyber-attaques, les assureurs exigent désormais des évaluations de cybersécurité des entreprises avant la création d'une police ou son renouvellement. Une récente étude menée par Microsoft et Marsh, fournisseur de cyber assurance, révèle que 61 % des entreprises ont déjà souscrit à ce genre de police.

Alors que nombre de ces entreprises ont mis en place un système robuste de défense de cybersécurité, il y en a sans doute autant qui n'ont rien fait de particulier. Les polices de cyber assurance initialement contractées pour couvrir toute perte éventuelle lors d'une attaque de ransomware sont désormais les vecteurs qui conduisent de plus en plus d'entreprises à enfin améliorer leur approche de cybersécurité. En effet, de nombreuses exigences, comme l'authentification à double facteur, vont bien au-delà du niveau de sécurité de base mis en place par les entreprises pour être conformes à l'une ou l'autre des règlementations en vigueur.

Ce besoin de cyber assurance crée en quelque sorte un cercle vertueux qui entraînera une amélioration globale de la cybersécurité. C'est essentiel car une chose est sûre, les entreprises sont encore trop vulnérables face aux ransomware. De nombreux processus fondamentaux et outils de base, comme les mots de passe complexes, les mises à jour logicielles régulières et les tests de sauvegarde contre les attaques de ransomware, n'ont simplement jamais été mis en place.

La plupart de ces entreprises n'ont pas encore réalisé que le ransomware est devenu un business à part entière. Les entités qui orchestrent ces attaques fonctionnent désormais comme des consortiums évalués à plusieurs milliards de dollars, comptant des milliers d'employés qui reçoivent des avantages et des congés payés, comme s'ils travaillaient pour une entreprise légale. Non seulement ces entités étudient aujourd'hui méthodiquement leurs cibles avant de lancer une attaque, elles ont également des seuils de prix de rançon en tête avant même de débuter les négociations.

Les entreprises qui n'obtempèrent pas et ne négocient pas risquent de voir leurs données sensibles bientôt mises en ligne sur le Dark Web. Évidemment, même après le paiement d'une rançon, il n'est pas rare que les gangs de ransomware récidivent, soit en lançant une nouvelle attaque soit en demandant une rançon plus élevée pour éviter de voir les données sensibles divulguées publiquement. Une récente étude réalisée auprès de 1 456 professionnels de la cybersécurité, publiée par Cybereason, un fournisseur de plateforme XDR, révèle que seuls 22 % des répondants touchés par une attaque admettent avoir payé une rançon pour récupérer leurs données. Toutefois, 80 % de ces entreprises ont subi une autre attaque de ransomware et 68 % signalent que la deuxième attaque est survenue moins d'un mois après la première.

Il va clairement falloir attendre longtemps avant que le fléau actuel des ransomware ne s'apaise. En attendant, les entreprises doivent mettre en place les fonctionnalités fondamentales de cybersécurité nécessaires, à la fois pour déjouer une attaque et pour pouvoir souscrire à une police de cyber assurance, désespérément utile lorsqu'une faille est détectée.