Les attaques par ransomware poursuivent leur recrudescence, les attaquants persistent et signent, ils se professionnalisent, innovent, se regroupent, s’entraident, et vont même à partager leur butin avec des nouveaux complices, qui ne sont autres que des employés de l’entreprise cible.
Ce sujet continue à prendre de l’ampleur, à se diffuser auprès l’opinion publique en même temps qu’il occupe de plus en plus régulièrement l’espace médiatique.
Les Etats et gouvernements se saisissent du sujet, au point d’en faire une priorité nationale, et concentrent leur attention sur ces menaces qui peuvent peser dangereusement sur leur stabilité.
La récente attaque par ransomware contre Colonial Pipeline aux États-Unis a occupé bien des discussions lors du dernier sommet du G7. Le président des Etats Unis, Joe Biden, a obtenu un accord de principe de son homologue russe, Vladimir Poutine, pour lutter contre les attaques par ransomware, dès lors qu’elles ciblent des infrastructures critiques.
Autre débat, plus récent celui-là : l’interdiction du paiement des rançongiciels
Le sujet alimente aussi les discussions sans réellement faire émerger de conviction consensuelle pour le moment :
- Faut-il laisser les victimes s’acquitter de cette rançon pour ainsi limiter leur propre préjudice ?
- Mais en agissant de telle sorte, ne contribue-t-on pas à encourager les cybercriminels ?
Choix cornélien n’est-ce pas ?
La réponse qui vient naturellement à l’esprit, c’est Assurance ! C’est incontestablement son rôle d’assurer les sinistres, elle est donc invitée à répondre à ces nouveaux besoins.
En effet, l’évolution de la fréquence et du nombre d’attaques par des ransomwares a modifié le paysage de la cyber assurance, qui propose désormais de dédommager les coûts engendrés par les rançongiciels (dont les éventuelles rançons versées).
Mais l’assureur est frileux et prudent dans les couvertures proposées, par méconnaissance du sujet?, par manque d’historique et de données ?
Comment ajuster une police d’assurance à un domaine dont les sinistres ne sont pas suffisamment évalués en tant que risques ?
L’assurance fait belle et bien partie du panorama Cybersécurité, a obligation de se transformer, d’évoluer pour pouvoir couvrir ces nouveaux risques.
L’assureur va contribuer aux efforts de remédiation, à la reconstruction/réparation des sinistres.
Pour ce faire il a besoin de données réelles, de statistiques et surtout d’un retour d’expérience des attaques passées et des nouvelles vulnérabilités.
Or, ce point « retex » constitue un autre débat tant il apparait évident que les ‘’victimes’’ concernées rechignent à partager leurs données !
Il est donc bien question de répondre à un besoin d’anticipation et de gestion des risques, de leur priorisation, de la limitation de leurs impacts et enfin, d’une couverture assurantielle correctement dimensionnée pour garantir la continuité de nos activités.
La règle stricte, la véritable réponse, repose sur le fait qu’on ne peut assurer que ce qui est assurable, à savoir :
- Une activité sécurisée et contrôlée dont les risques sont connus, maîtrisés, suivis, et cartographiés en termes de criticité
- Une attaque ou un incident de sécurité rapidement diagnosticable afin de délimiter les sinistres à assurer, les données détenues (par le cybercriminel), leurs criticités. Ce qui suppose d’avoir préalablement qualifié l’impact/gravité de leur détournement ou altération.
A partir de l’ensemble de ces éléments, l’assureur aura à sa disposition suffisamment de données pour aider, évaluer, dédommager et payer le cas échéant.
On l’a compris, les négociations relatives aux ransomwares se feront au cas par cas.
Dans certains cas, les données menacées seront tout simplement trop importantes pour être abandonnées ; dans d’autres, le préjudice sera exagéré par les pirates, et la rançon disproportionnée.
La nature, l’origine et l’étendue de la cyberattaque dicteront la réponse à donner aux exigences des assaillants.
En conclusion, nous devons veiller à ne pas perdre de vue l’identité des criminels, leurs modes opératoires.
Mais il convient aussi de faire le nécessaire pour contrecarrer les initiatives cybercriminelles et notamment mettre à mal le modèle économique des ransomwares. Cela nécessite en premier lieu de maîtriser nos données sensibles pour qu’elles ne tombent dans l’escarcelle de ces gangs.