Le marché de la cyberassurance est en forte croissance avec le développement des menaces. Mais il existe peu d’historique sur les contrats et sur les types de risques. L’assureur AIG a mené une étude au niveau EMEA (Europe, Moyen-Orient et Afrique) pour radiographier un peu plus de 1 100 demandes d’indemnisation entre 2013 et 2018. Premier enseignement, le piratage d’e-mail domine en 2018 les réclamations des clients d’AIG en représentant 23%. Dans la plupart des cas, la compromission est liée à du phishing en incitant la victime à cliquer sur un lien ou télécharger une pièce jointe. Les cibles sont souvent des personnes disposant d’un droit (administrateur, paiement, accès à des données sensibles).
En second lieu, les attaques par ransomware ont généré 18% de l’ensemble des réclamations en 2018, en baisse par rapport à 2017 qui affichait 26% des notifications. Mais cette chute est un trompe l’œil selon l’étude qui souligne que les attaques sont de plus en plus ciblées comme le montre l’affaire Norsk Hydro et le ransomware « LockerGaga ». Le montant des rançons a aussi évolué pour passer de quelques centaines d’euros pour Wannacry à des dizaines de milliers voire millions de dollars.
Sur le podium, on retrouve en troisième position le piratage de données (14%) et la violation des données due à la négligence des collaborateurs (14%). Sur ces points, l'assureur constate un effet RGPD entré en application le 25 mai 2018. Cette réglementation impose des délais de notification d’incident et engendre des coûts. AIG EMEA peut gérer cette partie-là, mais observe qu’un peu moins de 20% des réclamations comprennent une notification aux régulateurs. A noter que sur le plan géographique, l’Irlande est un bon élève (48%) en matière de notification contre moins de 10% de sociétés espagnoles qui ont notifiées leur incident de sécurité.
Commentaire