Skip to main content

Article

L’évolution du paysage des cybersinistres

Dans le monde en constante évolution de la cybercriminalité, l'environnement des rançongiciels semble changer de nouveau, avec une augmentation des attaques d'extorsion sans chiffrement.
Cybercrime, hacking and technology concept - hands typing on computer keyboard

Attaques d’extorsion sans chiffrement et risques pour la chaîne d’approvisionnement des TI

Dans le monde en constante évolution de la cybercriminalité, l'environnement des rançongiciels semble changer de nouveau, avec une augmentation des attaques d'extorsion sans chiffrement. En même temps, des événements récents ont mis en évidence les risques dans la chaîne d’approvisionnement des TI.

L’abandon du chiffrement

Au cours de la dernière année, les observateurs ont constaté une augmentation des attaques qui n’utilisent pas de chiffrementet une augmentation du nombre de groupes d’extorsion qui opèrent de cette manière. Plutôt que de chiffrer les données, une tactique qui est à la base des attaques par rançongiciel, de nombreux cyberextorsionnistes menacent maintenant de les rendre publiques si aucun paiement n'est effectué.

En ne chiffrant pas les données volées, les responsables de la menace éliminent le temps, les efforts et les coûts nécessaires pour développer et prendre en charge des logiciels de chiffrement et de déchiffrement. Ce type d’attaque peut également être moins visible et moins susceptible d’attirer l’attention des forces de l’ordre, contrairement à l’attaque par rançongiciel Colonial Pipeline en 2021, par exemple, qui a suscité une réaction importante des forces de l’ordre parce qu’elle touchait des infrastructures critiques.

Avant ce dernier changement de tactique, les acteurs de la menace chiffraient les données exfiltrées et menaçaient de les rendre publiques si une rançon n’était pas versée. Ces attaques par rançongiciel « double extorsion » étaient la méthode la plus courante utilisée par les acteurs de la menace au cours de la dernière année ou des deux dernières années. En menaçant de rendre les données publiques, les attaquants pourraient augmenter la probabilité qu’une entreprise accepte de payer, même si elle avait sauvegardé toutes les données volées.

Avant les rançongiciels, la principale activité des acteurs de la menace consistait à voler des données et à les vendre. De nombreuses entreprises n’apprennent l’existence d’un vol qu’après que le FBI ou une autre organisation leur a fait savoir que leurs informations étaient en vente sur le web caché. Le développement d’un rançongiciel, puis d’un rançongiciel en tant que service (RaaS), a permis aux cybercriminels de chiffrer et de garder en otage des données et des systèmes, et d’exiger un paiement en échange des clés permettant de les déverrouiller. Pour les criminels, l’extorsion était un moyen plus efficace d’opérer. Pour les entreprises, cela a ajouté le spectre des pertes d’exploitation ainsi que le coût de respecter les exigences réglementaires, telles que les notifications de violation et la surveillance du crédit dans le cas de données personnelles volées.

Il reste à voir si la tendance à l'extorsion sans chiffrement se poursuit, et quel pourrait être son impact sur la cyberassurance et les demandes d'indemnisation.  

Paiements de rançon

Quel que soit le type de cybermenace, les entreprises devront décider si elles paieront une rançon pour obtenir la clé de déchiffrement ou pour empêcher sa diffusion.

L'une des complications liées au vol sans chiffrement est qu'il peut être plus difficile pour les entreprises de décider si elles doivent payer une rançon, et combien elles doivent payer si elles le font. Les organisations doivent évaluer les dommages possibles résultant d’une divulgation ou d’une menace de divulgation de données tout en évaluant la « fiabilité » des acteurs de la menace — vont-ils se conformer si une rançon est payée? Ou va-t-il conserver des données pour une nouvelle tentative d'extorsion?

Un autre facteur de complication est que la perte ou la divulgation de données pourrait déclencher des enquêtes réglementaires et des actions collectives ou d'autres litiges/arbitrages.

La responsabilité potentielle en matière de protection de la vie privée est un élément déterminant des décisions, mais il peut être extrêmement difficile d'en évaluer la valeur lorsqu'il s'agit de décider si le paiement d'une rançon sera bénéfique d'un point de vue économique ou s'il permettra effectivement de réduire la responsabilité future. Les demandes d'indemnisation au titre de la responsabilité civile en matière de protection de la vie privée ont considérablement augmenté au cours des dernières années, et les montants des règlements ont également augmenté, ce qui fait de cette question une grande inconnue.

La décision peut être plus simple lorsque les criminels chiffrent des données et causent des pertes d'exploitation. Par exemple, une entreprise pourrait être en mesure de déterminer que les pertes d'exploitation coûtent 1 million de dollars par jour. Si le coût de déchiffrement est de X milliers de dollars, mais qu’il permettra à l’entreprise d’être opérationnelle en quelques jours, le calcul peut conduire à une décision de payer la rançon. Cependant, chaque situation est unique et une décision de payer ou de ne pas payer une rançon peut avoir des conséquences au-delà de l'incident en question.

Si des données sont volées mais non chiffrées, le scénario sera différent. Bien qu’il n’y ait pas de dommages sous forme de pertes d’exploitation, selon les circonstances particulières, la réglementation pourrait exiger que l’entreprise envoie tout de même des notifications de violation et éventuellement payer pour la surveillance du crédit des clients. Cela peut également augmenter la probabilité d'une poursuite.

D'autres facteurs peuvent influencer la décision de payer, notamment le fait que les données exfiltrées soient sensibles pour l'entreprise ou éventuellement embarrassantes.

Dans certains cas, les assureurs peuvent examiner de plus près les paiements de rançons lorsqu'il n'y a pas de chiffrement, en particulier si les lois sur la notification des violations sont appliquées. Si l’ambivalence concernant le paiement des rançons augmente, certains observateurs se demandent si le vol de données ne va pas boucler la boucle, avec de plus en plus de criminels qui se contenteront de vendre les données volées sur le web caché et éviteront de travailler avec leurs victimes.

Attaques de la chaîne d'approvisionnement des TI

Plusieurs attaques cette année contre les fournisseurs de services de transfert de fichiers ont renforcé la nécessité d’être vigilant en ce qui concerne les contrôles de cybersécurité, notamment de surveiller rigoureusement les mesures prises par les vendeurs et les fournisseurs.

Les services de transfert de fichiers sont largement utilisés par des organisations de toutes tailles, et une violation ou un vol peut concerner des centaines de milliers de clients. L' une des récentes attaques a exposé les données de centaines d'organisations et de dizaines de millions de personnes.

La compréhension du risque peut être compliquée si l’attaque a réussi en passant par un fournisseur situé deux ou plusieurs niveaux plus bas dans une chaîne d’approvisionnement des TI qui utilise le service de transfert de fichiers sur un compte. Lors du renouvellement, les assureurs posent maintenant des questions visant à mieux comprendre les risques dans les chaînes d’approvisionnement des TI.

Pour les assureurs, ces situations soulèvent la question du risque systémique, où des milliers d'assurés peuvent potentiellement être exposés à une attaque contre une seule entreprise. Certains assureurs ont même envisagé d’élaborer une sorte d’exclusion pour « événement systémique », mais une telle limitation est extrêmement difficile à définir et à appliquer.

Intervention en cas d’incident

Dans l’étude State of Cyber Resilience (État de la cyberrésilience) publiée par Marsh et Microsoft, les personnes interrogées ont généralement placé les rançongiciels en tête des cyberrisques auxquels leur entreprise est confrontée. Il est essentiel de disposer d’un plan d’intervention efficace et mis à jour en cas d'incident pour lutter contre l'extorsion. Le plan doit faire l'objet d'une discussion à l'échelle de l'entreprise, y compris au niveau du conseil d'administration, et doit traiter des problèmes majeurs, notamment la décision de paiement de la rançon et les facteurs financiers, la réputation et d'autres facteurs.

À mesure que les entreprises passent en revue leurs cybercontrôles, elles doivent porter une attention particulière à ceux qui se sont avérés les plus efficaces au sein de leur secteur ou à l'échelle de l'entreprise.

Veuillez communiquer avec votre conseiller Marsh si vous avez des questions concernant les cyberrisques.

Webinaire

De l’incident à la résolution : une gestion réussie des cybersinistres

Découvrez notre webinaire sur les tendances en matière de cyberrisques, la planification des cyberincidents et la façon dont Marsh peut vous aider avec votre programme de cyberassurance et de cybersinistres. Il est disponible sur demande.

* Disponible en anglais seulement

L’utilisation de groupes de fournisseurs peut améliorer la gestion des sinistres

Lorsqu'un cyberincident se produit, de nombreuses entreprises se tournent vers des fournisseurs externes pour gérer les aspects de l'événement. De nombreux assureurs ont un groupe de fournisseurs préapprouvés pour travailler sur les cyberincidents et les sinistres. Marsh a constaté que les clients qui utilisent les fournisseurs préapprouvés de leur assureur peuvent considérablement améliorer le délai moyen entre la notification de l'événement et la réception de la confirmation de la couverture ou du premier paiement. La durée moyenne d’utilisation des groupes de fournisseurs est d’un peu plus de 2 mois; pour les fournisseurs ne faisant pas partie des groupes, le temps passe à plus de 12 mois.