Crise sanitaire et risque cyber, deux risques viraux et systémiques

La crise COVID-19 nous rappelle que les risques systémiques peuvent considérablement fragiliser les organisations. Cela se traduit par la hausse conséquente des risques dans le cyberespace observée ces derniers mois.

Dans ces temps de distanciation sociale, le recours systématique aux systèmes d’information pour faire fonctionner les organisations provoque un affaiblissement des capacités défensives de celles-ci. Dans le même temps, les acteurs malveillants du cyberespace profitent de cette désorganisation et ne manquent pas d’imagination pour parvenir à leurs fins. La gestion du risque cyber requiert donc de la part des entreprises une attention plus soutenue que jamais.

Citalid et Ayming font le point sur ces évolutions et croisent leurs regards sur la gestion et la couverture de ces risques à forts enjeux. A l’heure où les entreprises sont préoccupées par la continuité et la reprise d’activité, un sur-incident cyber pourrait mettre en péril la résilience des organisations déjà mises à rude épreuve.

Les systèmes d’information, outils vitaux de résilience et porteurs de vulnérabilité

Les mesures de distanciation sociale imposées aux individus face à l’épidémie COVID-19 impliquent pour les organisations de nombreuses pratiques souvent inhabituelles et un recours quasi-systématique aux systèmes d’information. Ceux-ci permettent la continuité de l’activité et des liens sociaux et apparaissent comme un actif plus que jamais vital pour toutes les organisations. Sur-sollicités, accueillant de nouveaux usages, ils sont également fragilisés par ce contexte inédit. En particulier, systèmes d’information et utilisateurs subissent les conséquences suivantes :

  • Renforcement de la fracture numérique[1] – l’inégalité des utilisateurs devant l’équipement et la facilité d’usage se renforce, avec un accompagnement difficile à distance et un isolement de l’utilisateur.
  • Désorganisation des systèmes d’information – le télétravail massif, les nouveaux circuits de données (VPN), l’utilisation du own device, la nécessité de partager des données qui n’étaient pas partagées et l’altération des conditions de travail conduisent à la désorganisation des systèmes d’information et à l’ouverture de brèches exploitables par des acteurs malveillants. Certains services à distance n’étaient pas conçus pour accueillir une telle demande.
  • Conditions psychologiques d’utilisation – changement du cadre de travail, utilisation de matériels inhabituels, stress et manque de perspective peuvent générer des pratiques erratiques par les utilisateurs.
  • Situation de crise déjà présente – la situation sature la capacité opérationnelle à répondre à des sur-incidents cyber, les procédures et les conditions de réponse à incident peuvent être entravées. Les entreprises ne peuvent se permettre une atteinte supplémentaire à leur trésorerie.

Ces éléments constituent un affaiblissement des capacités défensives des organisations dans le cyberespace. Le contexte actuel présente donc un double défi pour les DSI et les RSSI : permettre la continuité de l’activité des organisations tout en faisant face à la nouvelle conjoncture cyber – et aux nouveaux moyens des acteurs malveillants.

Citalid Quantification Risque Cyber Assurance
Tableau de bord Citalid Quantification Risque Cyber Assurance

Quand le contexte COVID-19 devient une aubaine pour les acteurs cyber-malveillants

 La crise sanitaire COVID-19 génère indéniablement des opportunités pour les attaquants informatiques ou Sources de menace, qui savent exploiter les vulnérabilités occasionnées par ce contexte et adapter leurs opérations et leurs moyens en faisant plus ou moins preuve de créativité. La déstructuration et la réorganisation forcée des systèmes d’information ouvre de nouvelles opportunités aux attaquants qui tirent avantage des cibles plus isolées et plus vulnérables. Ainsi, les acteurs criminels répandent plus facilement leurs logiciels malveillants avec des mails piégés ou l’ouverture de sites Internet malveillants, dans l’objectif de susciter la curiosité et les craintes des victimes et de les inciter à cliquer plus facilement sur des liens compromettants.

Depuis fin février, la fréquentation quotidienne des noms de domaines reliés au COVID-19 n’a cessé d’augmenter. Sophos[2] observe plusieurs pics de connexions atteignant jusqu’à 130 000 visites quotidiennes sur des sites récents ayant un nom de domaine faisant référence au coronavirus. Or, en parallèle, selon des observations de Palo Alto[3], plus de 86 600 domaines risqués ou malicieux reliés à la pandémie sont apparus entre le 9 mars et le 26 avril 2020. En moyenne, 1 767 domaines de ce genre apparaissent chaque jour sur ces 7 dernières semaines.

De nombreuses attaques opportunistes menées par des cybercriminels ont été observées. Le télétravail oblige les salariés à installer de nouveaux outils, notamment des applications de visioconférence. Parmi ces applications, Zoom en est une des plus populaires qui a connu un gain de popularité énorme depuis le début du confinement. Ce gain de popularité n’a pas échappé aux criminels qui se sont empressés de compromettre des comptes utilisateurs pour les revendre sur le darknet, ou de joindre un mineur de cryptomonnaie à l’installateur de l’application. Plusieurs vulnérabilités 0-day concernant Zoom ont été publiées sur des forums et sont vendues pour $500,000.

Par ailleurs, on note également que certains groupes d’attaquants cybercriminels habitués à cibler des organismes de santé avec des rançongiciels, ont annoncé qu’ils cesseraient de viser des hôpitaux pendant cette période. L’appel lancé par le chercheur en sécurité informatique Mikko Hyppönen le 18 mars dernier[4] a d’ailleurs peut-être favorisé ces « initiatives ». Ces trêves ne sont cependant pas vérifiables, et pourrait aussi bien se traduire par un déplacement de la menace vers d’autres secteurs.

Certaines attaques n’ont pas pour but premier le gain financier mais l’espionnage. Cette période de trouble médiatique mêlée aux campagnes de désinformation profite également aux organismes voulant installer des outils de contrôle à distance pour exfiltrer des informations stratégiques, qui peuvent servir à des fins concurrentielles ou à des fins de surveillance sur les citoyens. Plusieurs rapports spécialisés (cf ZDNet[5] et Google[6]) mettent en avant des campagnes d’espionnage possiblement orchestrées par les états Chinois, Russe, Nord-Coréen ou Iranien exploitant la crise du COVID19 dans leurs cyberattaques.    

Toutes ces menaces sont susceptibles de représenter des situations critiques pour une organisation dans ce contexte où la réponse à incident est d’autant plus compliquée à mettre en œuvre. Une augmentation du risque a particulièrement été observée pendant la seconde quinzaine de mars pour l’ensemble des organisations, due à une menace amplifiée et à une sécurité amoindrie. Par conséquent, les risques opérationnels et financiers sont accrus, d’où la nécessité de prendre des mesures de prévention complémentaires. Les assurances cyber peuvent représenter un bon moyen de couvrir cette variation du risque.

Protéger le bilan de votre entreprise par la maîtrise de vos risques et le recours à l’assurance cyber

Protection des collaborateurs, continuité d’activité et gestion de la trésorerie sont la préoccupation n°1 des organisations dans le contexte actuel lié au Covid-19.

C’est leur pérennité qui en dépend.

A l’exception des secteurs opérant sur les produits de première nécessité, l’activité est désormais très largement pilotée à distance avec un recours massif aux systèmes d’informations. La maturité dans la réponse face à la situation a été très variable selon que les organisations avaient préalablement mis en place un Plan de Continuité d’Activité (PCA), que celui -ci était testé régulièrement ; ou que celui-ci n’était pas formalisé et partagé dans le cadre d’une approche globale de risk management.

Pourquoi un Plan de Continuité d’Activité ?

La vocation du PCA est de permettre à l’organisation de maintenir un certain niveau d’activité bien qu’en mode dégradé.

Il est établi sur la base de différents scenarios catastrophiques dont on cherche à évaluer les impacts. Il comprend par ailleurs le référentiel des actions à déployer en cas de survenance d’un évènement majeur compromettant les processus critiques ou susceptibles de les mettre partiellement voire totalement à l’arrêt.

Au même titre que pour la survenance d’un évènement de type épidémie, CAT-NAT (catastrophes naturelles), incendie, explosion, etc les risques cybers doivent être intégrés au plan de continuité d’activité.

Outil stratégique pour l’organisation, il est pertinent d’exploiter également le PCA lorsque l’on s’oriente vers une approche assurantielle permettant de transférer les conséquences financières dites « résiduelles » à une compagnie.

En effet, le rôle premier du PCA étant de réduire les impacts financiers résultant de la survenance d’un évènement majeur, cela contribue à réduire également le champ d’indemnisation de l’assureur en dernier recours et donc d’optimiser in fine le montant de la prime.

Quelles conséquences financières liées aux risques cyber ?

Les principales conséquences financières d’une attaque cyber sont liées aux frais de résolution de l’incident, à la reconstitution des données, à la perte d’exploitation, aux frais liés aux réclamations de tiers, aux cyber rançons, à l’impact collatéral sur l’image, …

Du fait du recours massif aux solutions et outils de travail à distance, les risques d’attaques accidentelles et malveillantes tendent à augmenter. Pour autant, l’AMRAE (Association du Management des Risques et Assurances d’Entreprises) observe que la sinistralité cyber n’a pas augmenté durant la période de confinement. Cela s’explique notamment du fait que certaines attaques relèvent davantage du champ d’intervention des garanties fraude tel le phishing. En effet il est important de rappeler que les contrats cyber n’intègrent pas tous une extension des garanties permettant la prise en charge d’une fraude consécutive à l’atteinte des données du système.  La confusion étant possible, il convient de clarifier la portée du contrat souscrit pour en avoir la bonne lecture et compréhension de l’application des garanties préalablement à un sinistre.

Autre raison, tout comme l’AMRAE, nous observons que les PME sont toujours peu assurées en cyber alors qu’elles demeurent les principales cibles et qu’elles n’allouent pas toujours nécessairement de budgets récurrents à la sécurisation des données.

Quelle réponse du marché de l’assurance cyber ?

La prise de conscience est toutefois progressive et la structuration du marché de l’assurance avec la commercialisation de produits spécifiquement conçus pour ce segment d’entreprise devrait contribuer à ce qu’elles recourent davantage à l’assurance. Les courtiers ont notamment développé leur propre intercalaire (texte de police) pour que les niveaux de couvertures et franchises soient mieux dimensionnés à leurs besoins réels. Quant aux assureurs, ils intègrent pour certains dans leurs contrats des modules « prévention » pour guider les assurés sur les bonnes pratiques en matière de sécurisation des systèmes d’information et les sensibiliser à la réelle nécessité d’agir en continu en prévention au regard du caractère évolutif de ces risques.

S’agissant des Grands Groupes et ETI, la prise de conscience a été plus rapide. Les raisons à cela sont notamment l’impulsion des directions métiers (Risk Management, Assurances,) et Directions Générales mais aussi la réponse indispensable à leurs expositions internationales en particulier en région nord-américaine, berceau de l’assurance cyber à la fin des années 90.

Cela explique notamment l’évolution du paysage des assureurs cyber en France puisque les premiers à s’être positionnés sont les américains et anglo-saxons : AIG, ACE/CHUBB, Beazley, … auxquels s’ajoutent AXA XL, Zurich, Allianz, …

Le COVID-19 va-t-il impacter l’évolution des primes ?

Notre constat sur le 1er trimestre et que nous partageons pleinement avec l’AMRAE est en effet que les primes poursuivent leur hausse sur le segment Grands Comptes (+0% à 10%). Cette tendance fait suite à un durcissement général du marché IARD (risques d’entreprises hors assurances collectives) qui a connu une baisse continue pendant près de 15 ans. A date, la sinistralité cyber n’ayant pas connu de hausse, cette tendance se maintient.

En revanche, s’agissant des PME, elles restent relativement préservées et peuvent de fait toujours bénéficier de primes compétitives voire d’une baisse.

Quel impact du COVID-19 sur les clauses du contrat ?

A date, les assureurs n’ont pas intégré d’exclusions particulières. Toutefois, des aménagements de clauses peuvent s’avérer nécessaires (utilisation de « BYOD », télétravail, etc) notamment dans la perspective d’un recours au télétravail plus fréquent post-déconfinement.

Pour en savoir plus :

Citalid

Fondée en 2017 par deux anciens agents de l’ANSSI, Citalid est une plateforme d’analyse et de gestion des risques cyber liant Cyber Threat Intelligence, quantification du risque, éléments stratégiques et pilotage des investissements de sécurité. Citalid a remporté en 2018 le Prix de l’Innovation des Assises de la Sécurité et en 2020 le Prix du Jury du Forum International de la Cybersécurité (FIC).

https://www.citalid.com/

Ayming

Nous sommes des experts en matière de performance d’entreprise, et nous combinons des connaissances très spécialisées — dans de nombreux domaines — avec une collaboration menée sur le terrain, afin de permettre à nos clients et à leurs collaborateurs d’aller plus loin. Nous intervenons dans 4 domaines clés d’expertise, avec une approche éprouvée et personnalisée de conseil opérationnel. Nous permettons aux organisations et à leurs collaborateurs d’aller encore plus loin dans leur développement.

https://www.ayming.fr/


[1] https://www.lemonde.fr/m-perso/article/2020/04/04/plein-de-gens-ne-savent-pas-envoyer-un-e-mail-vous-imaginez-telecharger-une-attestation-la-fracture-numerique-aggravee-par-le-confinement_6035531_4497916.html

[2] https://www.cyberthreatcoalition.org/covid-19-cyber-threat-updates-blog/2020-04-14-weekly-threat-advisory

[3] https://unit42.paloaltonetworks.com/covid-19-cloud-threat-landscape/

[4] https://twitter.com/mikko/status/1240225603565105152?lang=en

[5] https://www.zdnet.com/article/state-sponsored-hackers-are-now-using-coronavirus-lures-to-infect-their-targets/

[6] https://blog.google/technology/safety-security/threat-analysis-group/findings-covid-19-and-online-security-threats/