Quel a été le paysage des cybermenaces en 2023 ? Vaste sujet auquel l'assureur Allianz s'est attelé dans une dernière étude (Cyber security trends 2023) passant au crible les tendances sur ce sujet très sensible sur l'année écoulée. « Les rapports indiquent que le nombre de victimes de ransomware a bondi de 143 % au niveau mondial au cours du premier trimestre de 2023 », indique la société. « Les mois de janvier et février ont enregistré le plus grand nombre de cas de piratage et de fuites de données depuis trois ans ». Avec, à la clé, de gros dégâts financiers puisqu'Allianz estime que les ransomwares devraient à eux seuls coûter à leurs victimes environ 265 Md$ par an d'ici à 2031.
Sur l'année écoulée, l'étude pointe le fait que les groupes de ransomware continuent d'adapter leurs tactiques et leur modèle économique en réponse à l'évolution des pratiques en cybersécurité. « Le ransomware as a service reste un facteur clé de la fréquence des attaques et si celles par double ou triple extorsion ne sont pas nouvelles, elles sont désormais plus répandues et potentiellement plus impactantes et coûteuses pour les entreprises touchées », avertit Allianz. Par ailleurs selon l'assureur, les attaques de ransomware basées sur la supply chain sont désormais bien installées dans l'arsenal des cybergangs. « L'augmentation des attaques massives de ransomware signifie que les assureurs devront mieux comprendre les risques liés à ces attaques », avance le groupe. Sur le premier semestre 2023, la fréquence des sinistres en cybersécurité est repartie à la hausse selon la société, même si l'amélioration des mesures de défense au cours des deux dernières années a permis de contenir ces incidents et améliorer l'exposition globale aux risques.
L'exfiltration de données privilégiée aux cryptolockers
L'exfiltration de données est aussi montée d'un cran, passant de 40 % des cas recensés en 2019 à 77 % en 2022, sachant que cette proportion sera supérieure cette année. « Une fois qu'un acteur malveillant a infiltré un système, le chiffrement est beaucoup plus difficile que le vol de données », explique Michael Daum, responsable groupe des incidents cybersécurité d'Allianz Commercial. « Les attaquants essaieront toujours d'exfiltrer les données avant d'essayer de les chiffrer. C'est plus rapide et plus facile ».
Pour les assureurs, le défi de la cybersécurité est particulièrement grand à relever dans un contexte où les menaces n'ont jamais été aussi importantes et complexes nécessitant une adoption constante aux risques et aux menaces. « Cette année, nous avons eu notre premier événement ayant déclenché 40 règles en même temps », a expliqué Jens Krickhahn, directeur de l'activité assurance cybersécurité chez Allianz Commercial. « Du point de vue de la gestion des sinistres, cela crée un scénario complètement nouveau, car vous êtes en contact avec plusieurs assurés en même temps, sur le même site avec différents prestataires de services et vendeurs. Le risque autrefois théorique d'un cumul d'expositions est désormais une réalité ».
Renchérissement du coût des sinistres
Dans les mois qui viennent, Allianz ne croit pas que la situation va s'arranger, bien au contraire. Pour l'assureur, l'intelligence artificielle va constituer un levier pour les groupes de cybercriminels afin de rendre leurs attaques plus efficaces et rapides à effectuer. Pour les contrer, le besoin de recourir à des ressources humaines plus qualifiées apparaît plus que jamais nécessaire : « La crise des compétences techniques en matière de cybersécurité accroît également le coût de la réponse à un incident », peut-on lire dans l'étude. « L'IA aidera les acteurs de la menace, mais c'est aussi un outil puissant de détection. Nous pourrions voir plus d'incidents cyber basés sur l'IA à l'avenir, mais l'investissement dans la détection soutenue par l'IA devrait permettre de détecter plus rapidement davantage d'incidents ». L'éternel jeu du chat et de la souris en somme, alors que 70 % des entreprises indiquent ne pas avoir assez d'effectifs suffisants en cybersécurité.
Le coût des experts externes augmente, ce qui renchérit le coût d'un sinistre, prévient par ailleurs Allianz. « Aux États-Unis, par exemple, un avocat pouvait facturer 1 000 euros de l'heure il y a quelques années, et aujourd'hui il facturerait 1 500 € pour une affaire similaire », indique Jens Krickhahn. « Et à mesure que la complexité des sinistres augmente, les experts externes sont de plus en plus sollicités et passent plus de temps à résoudre les problèmes [...] Nous constatons donc non seulement des tarifs plus élevés, mais aussi un plus grand nombre de personnes travaillant sur ces sinistres plus complexes pendant plus longtemps ».