Les mentalités seraient-elles en train d'évoluer dans les entreprises face aux tentatives d'extorsion des cybergangs spécialisés dans les ransomwares ? Des récents indicateurs montrent en effet des changements de comportement avec des rançons de moins en moins payées. On peut donc se demander si ces évolutions auront des conséquences sur le marché de la cyberassurance, des assureurs eux-mêmes, mais aussi des organisations victimes de chantage pour récupérer leurs données chiffrées.
Sur les derniers indicateurs de l'étude Risk Insights de Corvus Insurance, qui analyse les données sur l'atténuation des cyber-risques, les réclamations et les données des compagnies d'assurance, rendent compte d'une évolution de la situation. Il ressort que les coûts associés aux réclamations contre les ransomwares évoluent considérablement. Ainsi, bien qu'il y ait eu une augmentation des demandes de rançon du deuxième trimestre 2020 au premier trimestre 2021, elles ont chuté de 50 % au deuxième trimestre 2021. Une tendance qui s'est largement maintenue sur ce troisième trimestre. De plus, les demandes de ransomware entraînant un paiement de rançon sont passées de 44 % au 3e trimestre 2020 à seulement 12% un an plus tard.
L'atténuation des risques bien perçue par les cyber assureurs
Corvus Insurance explique que ces changements sont dus à une meilleure préparation et résilience des assurés. Ces derniers ont notamment adopté des stratégies de gestion efficace en matière de sauvegarde des données, indispensables pour récupérer ses systèmes. L'enquête suggère aussi que les fournisseurs IT ayant des clients importants, ont davantage de capacité à se prémunir et à se remettre d'une attaque de ransomware. Jusque là, rien de très étonnant, mais l'étude montre aussi que plus une entreprise est importante, plus elle est encline à poursuivre son fournisseur informatique en justice. Par exemple, une entreprise de 250 employés ou plus a 3 fois plus de chance de poursuivre son prestataire IT qu'une entreprise de 10 employés ou moins, et deux fois plus qu'une entreprise de 11 à 50 employés.
Les résultats indiquent des changements clairs dans les tendances des réclamations contre les ransomwares. Mais comment pourraient-ils avoir un impact sur le marché de la cyberassurance à l'avenir ? Le prix des polices pourrait-il changer pour refléter la baisse des attaques de ransomware et des demandes de rançon ? De même, les entreprises seront-elles récompensées par de meilleures offres si elles mettent davantage l'accent sur la prévention et la remédiation ? « Les stratégies globales de continuité des activités associées à ces tendances seront probablement perçues favorablement par le marché de la cyberassurance », explique Lori Bailey, directrice des offres chez Corvus Insurance. « Non seulement cela montre que les entreprises prennent des mesures proactives pour atténuer ce risque, mais cela indique également une tendance générale à une plus grande cyber-résilience dans le cadre du processus de gestion des risques, ce qui devrait réduire les coûts des pertes à l'avenir ».
Sociétés d'assurance et fournisseurs cybersécurité plus proches
Trent Cooksley, directeur des opérations chez le fournisseur de cyber-assurance pour PME Cowbell Cyber, déclare que la cyber-assurance est un marché en transition et que les évaluations des cyber-risques menées par les assureurs sont de plus en plus approfondies et innovantes. Objectifs : aider à créer une meilleure couverture assurantielle, plus flexible et sur mesure pour les assurés en fonction de leur exposition au risque cyber. « Des partenariats plus étroits entre fournisseurs d'assurance et de cybersécurité sont certainement payants et vont continuer à porter leurs fruits au cours de l'année à venir pour l'ensemble du marché de l'assurance », fait savoir Trent Cooksley. « Cela va inciter les entreprises à déployer les contrôles de sécurité plus importants, non seulement pour obtenir une meilleure couverture d'assurance, mais également pour assurer la sécurité des organisations ».
Les techniques d'évaluation continue des risques et de leur résolution basées sur l'IA commencent aussi à être bénéfiques, soit en limitant d'abord l'étendue des dommages et en empêchant les incidents, soit en identifiant plus finement les risques, ajoute Trent Cooksley. Pour le dirigeant, une « vague de transformation » devrait se poursuivre ces 12 prochains mois.
Responsables et coupables en payant les rançons ?
De son côté, le directeur technique de BreachQuest, Jake Williams, exhorte cependant à prendre en compte d'autres facteurs pouvant expliquer certains indicateurs de l'étude. « Compte tenu des mesures judiciaires contre Revil, il n'est pas surprenant que les demandes de rançons aient diminué au deuxième et au troisième trimestre. La statistique selon laquelle il y a une baisse des paiements au troisième trimestre est sans aucun doute correcte, bien qu'il puisse y avoir une erreur d'attribution de la cause », prévient Jake Williams. Et le directeur technique de prendre à titre d'exemple les conseils de l'Office of Foreign Assets Control sur les risques associés au paiement de rançons : « les parties prenantes demandent de plus en plus si elles ont une responsabilité potentielle en payant. Cela influence sans aucun doute le choix de leur décision. Bien qu'une meilleure préparation puisse expliquer certains changements, d'autres facteurs rentrent probablement en jeu ».
Commentaire