La protection, meilleure parade à la hausse des coûts de cybersécurité

Si les organisations cybercriminelles pouvaient être cotées en bourse, un nouveau secteur industriel qui pèserait plusieurs milliards de dollars apparaitrait. Les cybermenaces sont désormais si répandues que le programme France Relance, mis en place par le gouvernement comprend un volet dédié à la cybersécurité.

A ce jour, 500 collectivités territoriales ont pu bénéficier d’un diagnostic et de recommandations pour se protéger de la part de l’ANSSI. Parallèlement, une vaste coalition composée d’experts de l’industrie, des pouvoirs publics, des services répressifs, de la société civile et d’organisations internationales s’est formée au sein de la Ransomware Task Force afin de définir un cadre pour la lutte contre les ransomwares.

Les attaques par ransomware ne représentent toutefois qu’une méthode parmi d’autres. Les cybercriminels ont également recours à des attaques par déni de service distribué (DDoS) pour accroître la pression sur leurs victimes. Par exemple, dans le cas des campagnes d’extorsion DDoS, les pirates informatiques menacent les personnes ou les organisations d’interrompre leur service si elles ne paient pas la rançon demandée. Cette technique a notamment été utilisée par Lazarus Bear Armada (LBA) pour cibler de nombreuses industries. Sur le même principe existent les attaques de triple extorsion, qui combinent le chiffrement de fichiers, le vol de données et les attaques DDoS pour aggraver encore la situation de la victime. Les organisations adeptes des ransomwares SunCrypt et Ragnar Locker ont été les premiers à utiliser cette tactique, et elle se déploie aujourd’hui par le biais de modèles commerciaux organisés qui comprennent des offres de ransomware en tant que service (RaaS), des affiliations et des centres d’assistance.

La cyberassurance en question

De nombreuses victimes de ces attaques choisissent de payer la rançon, pour essayer de limiter les dégâts causés par une interruption de service prolongée. C’est l’une des raisons pour lesquelles la cyberassurance est devenue un choix de plus en plus prisé par les entreprises, qui cherchent à couvrir les pertes potentielles liées à une cyberattaque. Selon une récente étude de l’Amarae, encore trop peu d’entreprises françaises se protègent contre les cyberattaques, et d’après le CESIN, 54% ne contactent pas leur assureur en cas de menace cyber. L’Assemblée Nationale propose donc de légiférer pour éviter le paiement de rançon, qui souvent ne résout pas le problème de la victime, mais aussi pour proposer à tous une offre de cyberassurance cohérente.

Cependant, le coût de ce type d’assurance augmente de façon exponentielle à mesure que les attaques se multiplient. Selon un rapport publié en avril par Fitch Ratings, les primes d’assurance couvrant les cyber-risques ont augmenté de 22% par rapport à l’année précédente et devraient poursuivre leur hausse dans les années à venir.

L’explosion des primes n’est pas la seule raison pour laquelle la cyberassurance n’est pas une panacée. Par le code pénal, les paiements de rançons sont considérés comme du terrorisme et doivent donc être traitées comme tel. Ainsi, les assureurs pourront éviter de verser des indemnités au titre de la cyberassurance, si une attaque est considérée comme un acte de terrorisme, dans la mesure où l’assurance contre le terrorisme fait généralement l’objet d’une police distincte. De plus, le fait de sanctionner le paiement de rançon pourrait inciter l’entreprise à améliorer sa sécurité pour éviter ces amendes et les risques que la cyberattaque entraine.

Renforcer la sécurité

À mesure que le coût et la complexité de la cyberassurance augmentent, il devient évident qu’elle ne suffit pas. En effet, selon un rapport d’Accenture, face au durcissement du marché de la cyberassurance, les souscripteurs ont à leur disposition une multitude de données leur permettant d’éliminer les entreprises à haut risque qui ne pratiquent pas une bonne hygiène informatique. Ces assureurs privilégieront de plus en plus les entreprises en mesure de démontrer l’existence de bonnes pratiques en matière de cybersécurité, telles que :

  • Ne pas avoir de failles dans le réseau. Pour s’en prémunir, il est nécessaire d’apprendre aux utilisateurs à adopter une bonne cyber-hygiène et à utiliser des solutions de protection des réseaux et des terminaux. Ainsi, il est possible de détecter les logiciels malveillants, les activités inhabituelles ou les indicateurs de compromission (Indicators of Compromise – IoC).
  •  Connaître les fondamentaux. Il est important de sauvegarder les données importantes et de tester les plans de restauration des données. Pour ce faire, l’organisation peut effectuer des évaluations de la vulnérabilité, appliquer des correctifs et mettre à jour les systèmes informatiques en conséquence afin d’éviter toute compromission.
  •  Effectuer une veille permanente des menaces. En restant au fait des dernières informations sur les menaces, les entreprises peuvent détecter, investiguer ou rechercher de manière proactive les IoC qui pourraient précéder une attaque par ransomware.
  •  Assurer une protection adéquate contre les attaques DDoS qui ne cessent de gagner en ampleur, en fréquence et en complexité. Pour les atténuer, voire les éviter, la mise en place de solutions qui comprennent une combinaison hybride et intelligente de mitigation des DDoS basée sur le cloud et sur site est essentiel.

La lutte contre la cybercriminalité est une guerre menée sur plusieurs fronts, et les attaques DDoS modernes sont plus complexes, multisectorielles et dynamiques que jamais. Les entreprises doivent donc investir continuellement dans la sécurité pour s’adapter à l’évolution constante des menaces et y faire face. Plus la défense est solide, plus l’organisation sera alors en mesure de repousser les cybermenaces, toujours plus nombreuses et avancées. Les cyberattaques peuvent être particulièrement nuisibles à l’activité d’une entreprise. Il est donc important de prendre en compte ce risque, par la protection et par la prise en charge dans des polices d’assurance spécifiques.