Dans un rapport publié début 2020, l’Anssi (Agence nationale de la sécurité des systèmes d’information) pointait une hausse des signalements d’attaque par ransomware de 255% par rapport à 2019. Les entreprises ne sont plus à l’abri d’une intrusion et doivent s’en remettre aux cyberassurances pour couvrir le risque. Mais est-ce que cette couverture, prévoyant notamment une indemnisation en cas de paiement de rançon, n’est pas exactement ce que les ransomers cherchent ?
Dans le business du ransomware, devenir riche semble un jeu d’enfant. Selon l’entreprise singapourienne de détection des cybermenaces Group-IB, la rançon moyenne exigée au cours d’une cyberattaque a plus que doublé en l’espace d’un an, passant de 80 000 dollars en 2019 à 170 000 dollars en 2020. On comprend pourquoi ces pratiques attirent de plus en plus d’experts en informatique – souvent issus du domaine “légal” de la cybersécurité.
Si le montant des rançons a grimpé ces dernières années, c’est parce que ces “ransomers” ont gagné en puissance. Les bénéfices tirés des rançons ou encore de la vente de données ont permis d’alimenter leur propre réseau et de se constituer comme une réelle plateforme de “Ransomware as a service”. Le temps des bandes de hackers isolées lançant un appât dans la nature pour espérer toucher le maximum de particuliers est révolu. La pêche au filet est délaissée au profit de celle au harpon pour s’attaquer aux multinationales, aux industries, aux banques et aux services publics et ainsi viser des rendements qui se comptent en milliards.
Le 16 mars dernier, une interview d’un membre d’un des groupes de rançonneurs les plus virulents au monde nous donne plus de détails sur le sujet. Le hacker en question fait partie de REvil, une vraie mafia du cybercrime organisée, hiérarchisée et munie de techniques de plus en plus sophistiquées pour arriver à ses fins. Dernièrement, REvil a dérobé des données à la multinationale Acer et exigé une rançon s’élevant à 50 millions de dollars. Rien que ça.
Mais ce qui est surtout intéressant ici, c’est le fait d’apprendre que ces cybercriminels ciblent volontairement les entreprises assez grosses pour payer une rançon ou bien pour souscrire à une cyberassurance. Lorsque l’expert en cybersécurité Dmitry Smilyanets demande au membre de REvil si c’est bien le cas, ce dernier répond par la positive et ajoute même que le mieux est de s’attaquer aux assureurs en premier lieu pour obtenir leur base de données client.
Ensuite, la méthode reste souvent la même : les hackers s’infiltrent dans le système d’information d’une entreprise, lui extirpent des données sensibles et exigent une rançon. Et lorsque les victimes sont récalcitrantes, le groupe REvil utilise son blog sur le darkweb intitulé “Happy Blog” pour mettre aux enchères les données dérobées.
Un manque de recul de la part de assureurs
Lors d’un webinaire le 4 mars dernier sur “l’état des lieux du ransomware en France’, Trend Micro a déclaré avoir enregistré au total plus de 66 milliards de menaces bloquées, soit 20% de plus qu’en 2019. Dans ces chiffres, les ransomwares ont été identifiés plus de 40 millions de fois, c’est 33% de plus que l’année précédente. Pour l’éditeur de logiciels de cybersécurité, il y a deux raisons principales à ce phénomène : d’une part, la généralisation du home office depuis la crise a créé de nombreuses opportunités d’attaques, notamment à cause de VPNs défaillants et de la multiplication des échanges par email (augmentant le risque de phishing). D’autre part, un écosystème légal s’est formé autour des offres de cyberassurances qui proposent de plus en plus des services de paiement de rançons.
Pour Gérôme Billois, expert en cybersécurité chez Wavestone, un cabinet de conseil en transformation, il y a eu trois grandes phases avant d’arriver à cette situation délicate. D’abord, des années 2000 à 2015, les premiers produits de cyberassurance sont apparus, surtout aux États-Unis, en réponse aux premiers cas de fuite de données. Puis, à partir de 2015, c’est le temps des grandes attaques avec l’apparition de programmes malveillants ultra sophistiqués comme WannaCry et NotPetya.
« De leur côté, les assureurs ont commencé à proposer plusieurs types de souscriptions pour protéger leurs clients mais ils n’ont pas assez de recul sur ces cyberattaques et le coût réel des incidents, ajoute Gerome Billois. Résultat : les risques ont mal été évalués, les rançons ont souvent été payées et les produits d’assurance ont dû être réadaptés. Ce qui nous amène donc à la troisième phase, dès 2020, avec un effet de tension qui pousse désormais à envisager le risque cyber de manière plus systémique. »
La fin de l’année 2020 est donc marquée par une augmentation de 30 à 70% des primes d’assurance et un durcissement des conditions de souscription. Concrètement, les questionnaires deviennent de plus en plus précis et les expertises bien plus poussées sur les mesures de cybersécurité mises en place par les organisations.
La difficulté d’adaptation à la volatilité du risque cyber
Il y a quelques semaines, Gerome Billois faisait référence à des échanges rendus publics avec un cybercriminel faisant partie de l’écosystème des ransomwares. Ce dernier partageait le fait que les entreprises européennes sont des cibles de choix car il est plutôt aisé de trouver des données non conformes au RGPD et ainsi leur faire du chantage. Cette information, en apparence anecdotique, nous donne plus de détails sur la manière dont les ransomers choisissent leurs victimes.
Du côté des assureurs, ces éléments de contexte sont aussi pris en compte pour confectionner leurs produits. Pour Jean Bayon de La Tour, responsable cyber de Marsh Europe Continentale, société de courtage en assurances d’entreprise, il y a deux grosses tendances qui se rejoignent : les polices de cyberassurances apparues aux États Unis dans les années 2000 sont nées en même temps que les lois sur la protection des données personnelles qui impliquent des coûts nouveaux pour les entreprises en cas de fuites (réclamations, frais de notifications…).
En Europe, ces polices sont également arrivées au début des années 2000, pour couvrir plus particulièrement les risques d’indisponibilité du système d’information ; un événement avec des conséquences financières souvent bien plus désastreuses que le simple paiement d’une rançon.
« Apres 2010, ces deux types de couverture ont eu tendance à s’uniformiser pour couvrir les risques informatiques au sens large (c’est-à-dire couvrant le problématiques de Confidentialité, d’Intégrité et d’indisponibilité), précise Jean Bayon de La Tour. En 2020, nous avons tous subis la vague ransomware de plein fouet ce qui a mené les assureurs à réduire la capacité engagée pour chacun de leurs assurés. Ainsi, les grandes entreprises ont dû multiplier le nombre d’assureurs pour obtenir le même niveau de leur protection ». Les entreprises du CAC40 souscrivent dépenseraient en général quelques centaines de 150 millions d’euros pour s’assurer et ce, auprès d’une dizaine de compagnies différentes. Ces dernières années, la prime a été également revue à la hausse de l’ordre de 20 à 40%.
« Depuis 20 ans, les cyberassurances étaient rentables, explique Jean Bayon de La Tour. Mais en 2020, les sinistres ont coûté bien plus cher que les primes. ». D’une part, certains assureurs ont donc décidé de réduire les couvertures dédiées au phénomène des ransomware. D’autre part, la plupart des cyberassureurs ont augmenté le prix de leurs offres pour tenter de les adapter à la volatilité du risque cyber, tout en demandant beaucoup plus d’informations sur les investissements et les dispositifs mis en œuvre par leurs clients pour assurer la sécurité de leurs systèmes d’information.
« Moins de chance de payer la rançon avec une cyberassurance »
Intéressons nous maintenant à la question fatidique du paiement de la rançon… Tous les experts vous le diront, il faut éviter à tout prix de payer pour, à terme, tarir les sources de revenus des criminels. Il est même parfois conseillé de communiquer clairement sur le fait de ne pas être enclin à le faire. C’est ce que l’hôpital de Dax a affirmé par le biais d’un discours ferme rendu public.
« La très grande majorité de nos assurés refuse ce chantage, et ne paie pas les rançons, notamment en France, affirme Pauline Vacher, Directrice de la ligne d’activité Lignes Financières et chargée de la partie cyber pour Allianz Global Corporate & Specialty (AGCS). Bien que nos prestataires d’assistance en cas d’incident le déconseillent, une minorité de nos assurés peut toutefois accepter de verser la rançon pour diverses raisons. Il s‘agit de leur décision. Nous ne pouvons pas nous y opposer. Dans ce cas, sous certaines conditions, nous pouvons prévoir le remboursement (à l’assuré) des sommes versées au titre de la rançon. »
En matière de rançon, il y a encore une fois une différence de culture : quand environ 20% des rançons sont payées en Europe, elles le sont pour plus de la majorité des cas aux Etats-Unis. Mais dans les faits, la décision est plus difficile à prendre qu’il n’y paraît. « Cela ne fait plaisir à personne de payer la rançon mais des entreprises se retrouvent acculées et s’exposent au risque de mettre la clé sous la porte, rappelle Jean Bayon de La Tour. Mais cela n’empêche pas que vous avez moins de chance de payer la rançon si vous avez souscrit à une cyberassurance… »
En effet, les cyberassurances prévoient l’aide d’experts pour la négociation avec ses propres cyberattaquants. Cela peut faire gagner du temps, faire baisser le montant de la rançon et aider les dirigeants à prendre une décision éclairée. Mais souscrire à une cyberassurance ne sert à rien si les investissements en cybersécurité ne suivent pas. Prenez par exemple une garantie couvrant les dommages d’un incendie : est-ce que cela vous empêche d’équiper vos bâtiments d’extincteurs, de prévoir des issues de secours et d’organiser des exercices d’évacuation ?
De l’importance d’allier cyberassurances et sécurité du SI
Lorsqu’une entreprise a les moyens pour le faire, se munir d’une cyberassurance robuste est importante. Mais cela ne doit pas occulter toutes les mesures de cybersécurité nécessaires à la protection d’un système d’information. Il ne faut pas non plus croire que le paiement d’une rançon permet de mieux amortir les effets d’une attaque ou bien de redémarrer son activité plus rapidement.
Dès paiement, il vous faudra déjà recevoir la clé de déchiffrement, puis déchiffrer tous les appareils infectés un par un et enfin redémarrer l’ensemble du système d’information avec un meilleur niveau de sécurité. Tout en gardant à l’esprit que les données récupérées ne seront définitivement pas protégées car aucune garantie ne permet d’affirmer qu’elles ne referont pas surface à l’avenir.
Il y a donc tout un panel de mesures préventives à adopter pour limiter les dégâts d’une cyberattaque. Et ces efforts auront directement un impact sur le montant de la souscription à la cyberassurance à laquelle souscrit une entreprise. « Il est certain que nous avons revu nos exigences à la hausse, confirme Pauline Vacher. De manière quasi-systématique sur les grands comptes, nous impliquons notre département d’ingénierie interne « Allianz Risk Consulting » dans l’étude des risques. Par ces compétences techniques, et après un entretien d’1h00 – 1H30 avec le RSSI du groupe, ce département nous permet d’obtenir une analyse précise et détaillée de la maturité de la sécurité informatique de nos assurés au regard de nos critères de souscription. »
Depuis 2019, AGCS se concentre davantage sur plusieurs points techniques :
- La sensibilisation du personnel, notamment face au « Hameçonnage »
- La segmentation des réseaux
- La sécurité des sites internet
- La sécurité de la messagerie et des accès à internet
- Le déploiement d’un antivirus de nouvelle génération (EDR)
- La gestion et la sécurité des accès, y compris des comptes à privilèges
- La sécurité de l’annuaire de l’entreprise (Active Directory) et la gestion des droits d’administration associés
- La gestion des mises à jour des systèmes selon les vulnérabilités publiées ou connues (Patch management) et la gestion de l’obsolescence,
- Les procédures de sauvegardes et les tests de restauration
- La surveillance (automatisée) des réseaux
Si les cyberassurances ont pour effet de valider le modèle économique des ransomers, elles n’en demeurent pas pour autant inutiles. Pour une entreprise, l’impossibilité d’accéder aux données ou aux services peut avoir de graves conséquences sur le chiffre d’affaires, compte tenu de la dépendance croissante aux ventes en ligne et de leur présence dans le cloud. Et puisque le risque zéro n’existe pas en SI, elle doit souscrire à une cyberassurance.
Dans le même temps, les organisations doivent comprendre que ce qui alimente le business du ransomware n’est pas spécialement le paiement des rançons grâce aux cyberassurances. C’est bien un défaut de sécurité de leur système d’information qui mène en premier lieu à cette situation. Elles doivent donc accentuer leur effort dans la recherche de failles potentielles.
De leur côté, les cyberassureurs resserrent le verrou du côté des modalités de souscriptions, augmentent les primes et tentent de trouver des solutions pour mieux maîtriser ce risque. AGCS a par exemple lancé, en partenariat avec le réassureur allemand Munich Ré et Google, une nouvelle police d’assurance pour couvrir les risques cyber d’entreprises américaines. Un moyen de recourir à la puissance de calcul d’un géant technologique pour mieux évaluer le niveau de sécurité informatique et ainsi adapter l’éligibilité à la souscription de leur cyberassurance. Pour rattraper le retard face aux ransomers, les cyberassureurs devront dès à présent jouer sur un terrain – technologique – qui n’est initialement pas le leur.
2020, un tournant dans l’âge d’or du ransomware
L’arnaque en ligne existe depuis toujours sur Internet. Mais dès 2017, une prise de conscience sur ces enjeux est à l’œuvre avec notamment l’apparition des ransomwares célèbres WannaCry et NotPetya. En mai 2017, le virus WannaCry infecte plus de 300 000 ordinateurs dans plus de 150 pays. Un mois plus tard, c’est au tour de NotPetya de surgir et d’infliger plus de 10 milliards de coûts à des multinationales et des infrastructures critiques, comme les ordinateurs de contrôle du site nucléaire de Tchernobyl, les ports de Bombay et d’Amsterdam.
À lire : Infographie – L’âge d’or du ransomware
Les attaques ransomware ont aussi été particulièrement virulentes cette année en France. Nous avons vu les hôpitaux de Dax et de Villefranche-sur-Saône être la cible de ces attaques, suivi de Manutan ou encore l’Afnor… si bien que le président de la République Emmanuel Macron a réagi en tenant un discours le 18 février dernier sur la stratégie française en matière de cybersécurité.
Et malgré les opérations “coup de poing” de ce début d’année, visant à démanteler des groupes cybercriminels d’envergure comme Emotet et Netwalker, force est de constater que les autorités publiques peinent encore à éradiquer le problème. Il est donc urgent que les entreprises n’attendent pas dans leur coin pour se protéger et se rapprochent d’experts en cybersécurité et de cyberassureurs.