L’extorsion par ransomware arrive en tête des menaces déclarées

A l’automne dernier, AIG Europe s’est penché sur 221 sinistres déclarés par les clients de ses produits assurance des cyber-risques dans la région EMEA (Europe, Moyen-Orient et Afrique), entre 2013 et septembre 2016. Le chiffre peut paraître limité, mais il souligne surtout la nature encore émergente de ce marché. Et l’étude d’AIG Europe tend tout de même à fournir un début d’éclairage sur les menaces qui affectent véritablement les entreprises. 

En cela, elle confirme, si c’était nécessaire, l’importance du phénomène des rançongiciels : représentant 16 % des sinistres déclarés, ils s’imposent en première place. Kathy Avery, Financial lines major loss adjuster, explique ainsi que, « au cours des neuf premiers mois de l’année [2016], beaucoup d’entreprises ont déclaré avoir été victimes d’attaques par ransomware […]. De nombreuses TPE-PME ont été touchées ». En janvier dernier, un sondage OpinionWay pour le Club des experts de la sécurité de l’information et du numérique (Cesin) plaçait également cette menace en tête de celles rencontrées l’an passé.

A l’extorsion par rançongiciel, AIG ajoute celle par attaque en déni de service, qui représente 4 % des déclarations. Le décalage semble là important avec la perception des professionnels de la sécurité informatique. A l’été dernier, Corero Networks avait sondé une centaine de visiteurs de la conférence Infosecurity Europe, à Londres. Et 80 % d’entre eux s’attendaient à ce que leur entreprise soit menacée par une attaque DDoS au cours des 12 mois suivants. Et pour 43 % de ceux-ci, il apparaissait possible que leur organisation accepte de verser une rançon. 

La seconde place du podium d’AIG Europe est occupée par les atteintes à la sécurité des données par des pirates, avec 14 % des sinistres déclarés. Viennent ensuite les « autres types d’atteintes à la sécurité/accès non autorisé » et les incidents liés à des logiciels malveillants autres que des ransomwares, ex-aequo à 10 %. 

Les atteintes à la sécurité des données liées à la menace interne - sans malveillance, et donc par négligence - ne représentent que 8 % des sinistres déclarés. Cela représente en fait 36 % des atteintes à la sécurité des données. C’est moins que ce qu’estimait McAfee (alors encore Intel Security) en septembre 2015 : pour lui, des acteurs internes étaient impliqués dans 43 % des pertes de données. Peut-être le signe d’un certain recul de la négligence sous l’effet d’une sensibilisation renforcée ? Difficile à dire, car les données examinée par AIG Europe n’offrent qu’un recul limité. 

De fait, 170 des sinistres étudiés ont été déclarés en 2016, contre 70 pour 2015. L’assureur voit là la progression de la demande en matière d’assurance cyber. Début mars, Deloitte faisait le point sur les multiples obstacles qui freinent le décollage d’un marché pourtant prometteur. Mais AIG Europe estime que la croissance de la demande est bien là, notamment sous l’effet des « nouvelles règles sur la protection des données et de la médiatisation de certaines affaires ». 

Pour l’heure, dans l’échantillon de l’assureur, c’est le secteur des services financiers qui est le plus représenté (23 %), suivi de celui des communications, médias et technologies (18 %), puis du commerce de détail et de gros (17 %).