Si 2015 a été une année fortement marquée par un nombre important de cyber-attaques, 2016 marque une nouvelle étape dans l’évolution de cette menace. Comme le souligne le baromètre 2016 des risques d’entreprise d’un assureur allemand, les incidents de cybersécurité se classent parmi les trois premiers risques selon un panel de risk-managers interrogés dans plus de 40 pays. Le bilan chiffré du nombre de cyber-attaques ayant eu lieu en 2016 n’a pas encore été dressé, mais un certain nombre d’entre elles ne sont pas passez inaperçues. Le constat reste sans appel : un nombre d’attaques toujours élevé et de nature de plus en plus dommageable. De plus, la complexité à déterminer le risque encouru et à trouver les auteurs de ces attaques contribuent à augmenter le besoin d’une réaction devenue indispensable aussi bien pour se protéger des attaques que pour bien réagir face à elles. C’est là tout l’enjeu pour les assureurs et leurs offres de cyber-assurance que de répondre à une demande grandissante et, à terme, de se placer en capacité de prévenir les risques.
Une année encore bien remplie pour les cybercriminels
En 2016, outre le nombre d’attaques dont l’estimation reste encore à déterminer, c’est surtout le caractère conséquent des attaques et l’originalité dont ont fait – et continuent à faire – preuve les cybercriminels que l’on retiendra. L’une des dernières en date et qui a marquée récemment le Web aux États-Unis, est l’attaque massive entrainant l’indisponibilité pendant plusieurs heures d’une série de sites internet tels que Twitter, Netlflix, Spotify ou encore le New York Times. Cette attaque de type « déni de service » (DDoS[1]), consistant à saturer un service de connexion, n’a pas visé les sites eux-mêmes mais leur fournisseur de service de résolution de noms de domaine (DNS[2]), l’entreprise Dyn. Cette panne a touché majoritairement les internautes américains mais certains sites étaient également inaccessibles en Europe. L’ampleur de cette attaque en « ricochet » montre la portée et le spectre important que peuvent avoir les actions des cybercriminels.
Autre exemple, dans l’univers ultra-sécurisé de la banque, encore une autre attaque d’envergure a été conduite envers le système de paiement SWIFT qui n’est pas sans rappeler celle menée à l’encontre de la Banque centrale de Bangladesh dont le montant dérobé s’est élevé à 81 millions d’euros. Une série de banque ont été attaquées sur ce que certains qualifient de schéma indiquant très probablement des campagnes visant le secteur de la finance mondiale.
Si les entreprises sont la première cible des cybercriminels, les organismes publics et les particuliers sont aussi de plus en plus touchés par ce nouveau fléau. A l’instar d’un hôpital de l’état du Kansas aux États-Unis paralysé par un ransomware, une attaque informatique dont l’objectif est d’obtenir une rançon contre la levée d’un chiffrement des fichiers paralysant le système de la victime, de très nombreuses entreprises et organisation publiques ont subi ce type de « prise en otage » avec des demandes de rançons ayant atteint 50.000 euros.
Pour les particuliers, les attaques sont différentes mais existent tout autant. Au palmarès de 2016, les attaques liées au Smart Home ou Maison Connectée émergent à mesure que ces systèmes se développent et se démocratisent. En ligne de mire, les serrures connectées qui peuvent être ouvertes par n’importe qui. C’est le test qu’a réalisé en direct le chercheur en cybersécurité Anthony Rose lors de la conférence Def Con de Las Vegas durant laquelle il a réussi à pirater 12 serrures sur 16. Le cambriolage du futur se dessine et sera sans doute lié au piratage et sans effraction…
Lors de ce même salon, deux autres chercheurs ont aussi piraté des thermostats connectés dont la plupart des foyers et établissements seront probablement équipés d’ici à quelques années. Si la conséquence directement visible est la possibilité de modifier la température, ce qui peut être dommageable selon le contexte, l’objet de cette démonstration repose sur la volonté de mettre en avant l’un des points communs des cyberattaques, et certainement aujourd’hui l’un des risques informatique importants existant : l’absence de sécurisation des objets connectés. Ces objets déjà très présents dans notre quotidien ne vont cesser d’augmenter, tant en nombre que dans leurs fonctions. Selon les prévisions, il y aura 50 milliards d’objets connectés sur le marché en 2020. La question du risque lié se pose sérieusement et les attaques possibles ont commencé à être identifiées pour être mieux comprises.
Quelles sont les attaques à prévoir pour 2017 ?
Il est quasiment impossible de prévoir les attaques qui auront lieu en 2017 tant la diversité de celles rencontrées en 2016 et les années précédentes montrent que tous les secteurs et toutes les activités peuvent être potentiellement touchées.
Cependant, des tendances peuvent être imaginées par rapport aux grandes catégories d’attaques :
1/ En ce qui concerne les menaces diffuses, celles touchant tout le monde, sans cible particulière tels que les virus, le spam ou le phishing, les ransomwares devraient encore connaître une croissance forte. L’observation des marchés noirs montre que les cybercriminels gagnent de l’argent avec ces attaques et qu’ils se professionnalisent de plus en plus, en particulier avec des ransomwares de « haute qualité » mais aussi via la multiplication des services de « Ransomware as a service » permettant de lancer des attaques sans avoir un niveau d’expertise avancée. Les objets connectés devraient également être à nouveau la cible de nombreuses attaques avec le développement de « Botnet » les exploitant, en particulier suite à la démonstration de l’efficacité de telles méthodes avec le cas Mirai.
2/ Pour les menaces opportunistes, celles qui visent les entreprises les moins sécurisées, détectées suite aux phases de reconnaissance des cybercriminels, les failles sur les sites Internet seront encore largement exploitées. Notre dernier benchmark de la sécurité des sites Internet montre que malgré des années d’alertes, plus de 50% des sites Internet des grandes entreprises que nous avons audités sont vulnérables et peuvent voir leurs données capturées.
3/ En ce qui concerne les menaces ciblées, visant en particulier une organisation, les fraudes au président devraient toujours représentées le plus grand nombre d’attaque. Et elles seront toujours aussi pénalisantes, car les cybercriminels changent leur cible. Au-delà des directions financières qui commencent à être sensibilisées, ils visent plusieurs directions transverses, dont les directions RH, pour capturer des données de plus en plus personnelles. Même la CNIL a récemment communiqué pour alerter sur des cybercriminels usurpant son identité pour récupérer des informations confidentielles.
Ces trois types de menaces montrent à quel point les cybercriminels vont non seulement continuer à opérer mais tout en élargissant leurs champs d’intervention. Elles montrent aussi que ces attaques ne sont plus réservées qu’aux professionnels des cyberattaques car la motivation financière sous-jacente attire tout type de profils dans un contexte amplifiant l’ « accessibilité » à ces outils de piratage. De plus, le risque est présent dans une multitude d’objets, de services ou de comportements d’utilisateurs. C’est la raison pour laquelle, il devient urgent de sécuriser les objets et services tout comme de sensibiliser et de proposer des offres permettant de se couvrir contre ces risques.
Comment se protéger face à ces attaques ?
Il existe de vrais risques liés aux cyberattaques, et ces derniers continuent de s’accentuer d’années en années. En moyenne, un piratage peut coûter à une entreprise plusieurs millions de dollars. Ce sont les entreprises qui sont les plus touchées aujourd’hui, dont une bonne partie sont des PME, amenant l’estimation d’un marché de la cyber-assurance qui pourrait atteindre plusieurs milliards d’euros en 2020. Et la demande est déjà au rendez-vous. Plus de 50% des entreprises françaises seraient prêtes à s’assurer contre les cyber-risques, alors que le taux d’équipement est inférieur à 5% aujourd’hui. Cependant il existe un écart significatif entre l’offre des assureurs et les attentes du marché. Cela s’explique par différents aspects que sont la difficulté de définir et de prévoir le risque encouru et le périmètre à dédommager ou encore le manque de données historiques. Face à ce défi majeur, les assureurs peuvent y voir de réelles opportunités de développement de nouvelles offres de protection.
Des offres existent pourtant et se décomposent en deux axes majeurs que l’on retrouve dans presque tous les produits proposés par les assureurs :
- – Recouvrir les coûts liés à une attaque : couverture des pertes d’exploitation, pertes pécuniaires, frais de notification et d’information liée à une attaque, etc.
- – Restreindre l’impact de l’incident : prise en charge de la reconstitution des données endommagées, intervention d’experts, suppression des programmes malveillants et correction des données altérées, etc.
Il reste néanmoins un vrai travail à faire sur la prévention du risque – certains assureurs ont d’ores et déjà commencé à avancer sur ce sujet – et la possibilité de couvrir les éventuelles pertes immatérielles et c’est là toute la réflexion actuelle des assureurs.
Quel bilan pour 2016 donc ?
Très certainement un nombre de cyberattaques en hausse selon la tendance de ces dernières années. Mais retenons surtout la capacité toujours plus forte des cybercriminels à innover pour trouver de nouveaux moyens d’attaques. À moyen terme, le manque de sécurité des objets connectés est, et va devenir de plus en plus un sujet sensible du fait de l’augmentation considérable à prévoir de leur nombre. Enfin, si des offres de cyber-assurance existent déjà, les assureurs vont devoir redoubler d’imagination afin de pouvoir parer à cette menace grandissante et répondre à la demande exigeante du marché.