Écrit par Ruth Promislow, Michael Whitt and Kees de Ridder

Mis à jour le 28 mai 2021: Une version précédente de cet article indiquait à tort que l’attaque de ransomware sur AXA s’était produite après l’annonce d’AXA qu’elle suspendait la couverture d’assurance en France pour les paiements d’extorsion de ransomware.

L’assureur AXA, l’un des cinq principaux assureurs d’Europe, a récemment annoncé qu’il suspendait la couverture d’assurance en France pour les paiements d’extorsion de ransomware. AXA a déclaré avoir pris cette décision en réponse aux préoccupations soulevées par les responsables français de la justice et de la cybersécurité lors d’une récente table ronde du Sénat à Paris sur l’épidémie mondiale de ransomwares. Notamment, quelques jours avant l’annonce d’AXA, l’assureur a été touché par une attaque de ransomware.

La décision d’AXA reflète un sentiment croissant dans le monde entier selon lequel l’état actuel de la couverture d’assurance pour les paiements de ransomware alimente le secteur des ransomwares. Plus tôt cette année, The Guardian a interviewé le directeur fondateur du Centre national de cybersécurité des États-Unis, Ciaran Martin, qui a affirmé que le problème des ransomwares est exacerbé par la couverture d’assurance pour les paiements d’extorsion et a suggéré qu’il était temps d’envisager une interdiction légale sur les paiements de rançon. Le FBI a déclaré: « [l]a demande d’une rançon peut encourager ses adversaires à cibler d’autres organisations, encourager d’autres acteurs criminels à s’engager dans la distribution de ransomwares et / ou financer des activités illicites. »

En avril 2021, l’Institute for Security and Technology des États-Unis a publié un rapport intitulé « Combating Ransomware », qui présente les recommandations d’un groupe de travail sur les ransomwares composé d’une coalition d’experts de l’industrie, du gouvernement, des forces de l’ordre, de la société civile et d’organisations internationales. Ce rapport ne propose pas d’interdiction de la couverture d’assurance pour les paiements de ransomware. Le rapport recommande plutôt la création d’un « consortium du secteur de l’assurance pour partager les données sur les pertes de ransomwares et accélérer les meilleures pratiques en matière de souscription d’assurance et de gestion des risques », et suggère que le secteur de l’assurance peut « pousser les organisations assurées à mieux gérer leurs risques ».

Le rapport Sur la lutte contre les ransomwares décrit plusieurs statistiques récentes qui soulignent comment les ransomwares ont explosé au cours des dernières années:

• Les attaques de ransomwares sont les réclamations de cyberassurance les plus fréquent signalées, selon Coalition, une société de cyberassurance.
• Au cours du premier semestre de 2020, Coalition a observé une augmentation de 260% de la fréquence des attaques de ransomware parmi ses titulaires de police, la demande moyenne de rançon augmentant de 47% pour atteindre une moyenne de 338 669 $.
• En 2020, les victimes ont payé 350 millions de dollars en rançon, soit une augmentation de 311% par par référence à l’année précédente (Chainalysis).
• Le paiement moyen en 2020 reflète une augmentation de 171% par rapport à 2019 (Palo Alto Networks).
• En 2020, près de 2400 gouvernements, établissements de santé et écoles basés aux États-Unis ont été victimes de ransomwares.
• Une enquête menée en 2020 auprès de 5 000 responsables informatiques a révélé que 51% avaient été touchés par des ransomwares au cours de la dernière année et que dans 73% de ces attaques, les criminels avaient réussi à crypter les données.
• Tout au long de 2020, le nombre d’attaques de ransomware impliquant l’exfiltration de données a augmenté d’environ 50%.

D’autres études fournissent d’autres preuves de la façon dont la fréquence des attaques et le niveau d’extorsion augmentent considérablement. Selon un étatère par NetDiligence, la demande moyenne de rançons a plus que décuplé au cours des dernières années, certaines demandes étant de l’ordre de millions, et le nombre de demandes augmentant énormément. Un assureur n’a signalé que 8 réclamations de ransomware en 2015 et 108 en 2019. Il a récemment été révélé qu’un assureur canadien avait payé 40 millions de dollars pour retirer le rançongiciel de ses systèmes.

Il est concevable que d’autres assureurs suivent l’approche d’AXA en supprimant la couverture d’assurance pour les ransomwares, ou en limitant la couverture de ces paiements. À l’heure actuelle, il y a plusieurs indications que le marché de la couverture des paiements de ransomware se contracte. À plus court terme, il est raisonnable de s’attendre à ce que les assureurs exigent systématiquement un niveau particulier de normes de sécurité comme condition préalable à l’assurabilité. Il est également raisonnable de s’attendre à ce qu’en fin de compte, le secteur de l’assurance adopte des exigences de base en matière de sécurité comme norme pour la cyberassurance.

Les normes de sécurité qui peuvent être requises comme base de référence pour l’assurabilité comprennent : une stratégie proactive pour minimiser le risque d’une attaque réussie; un plan de réponse aux incidents bien répété pour maximiser la capacité d’une organisation à identifier les problèmes de sécurité et à récupérer rapidement; et une stratégie de sauvegarde robuste qui permet à une organisation de restaurer des systèmes chiffrés à partir de sauvegardes. 

Stratégie proactive

Une stratégie proactive pour résister aux attaques de ransomware comprend les étapes suivantes :

• Mettre en œuvre des mesures de protection pour protéger les services essentiels, par exemple :
  • Mettez régulièrement à jour les systèmes avec les correctifs de sécurité appropriés pour s’assurer que les cybercriminels ne peuvent pas tirer parti des failles connues.
  • Filtrez le contenu Web et de messagerie pour les URL malveillantes.
  • Utilisez l’authentification multifacteur sur tous les comptes.
  • Implémentez le moindre privilège afin que les utilisateurs ne disposent que des privilèges minimum dont ils ont besoin pour faire leur travail. Cela peut aider à réduire le risque que les attaquants aient accès à des systèmes critiques ou à des données sensibles.
  • Évitez d’utiliser les services d’accès Bureau à distance.
• Surveiller la sécurité de la chaîne d’approvisionnement, y compris les fournisseurs de logiciels et de matériel système.
• Faites preuve de diligence lors de l’achat de logiciels, de matériel ou de services informatiques ou réseau.
• Développer la sensibilisation et la responsabilité de l’organisation pour identifier les risques de cybersécurité. Par exemple, renseignez les employés sur ce qu’il faut rechercher en termes d’hameçonnage et de courriels suspects.
• Mobiliser les ressources internes de diverses divisions au sein de l’organisation telles que la gestion, le droit, la technologie, les ressources humaines et la conformité, et faire en sorte que l’équipe identifie les risques et les vulnérabilités qui sont propres à l’organisation, y compris les pires scénarios de cyberattaques.

Plan d’intervention en cas d’incident bien rodé

La capacité de récupérer rapidement d’une attaque de ransomware peut dépendre de la mise en place d’un plan de réponse aux incidents bien répété. Un plan d’intervention en cas d’incident devrait établir (entre autres choses) comment les événements de sécurité seront escaladés, qui sont les principaux décideurs au sein de l’organisation et leurs rôles respectifs, et une feuille de route pour gérer les différents types d’incidents de sécurité. Les scénarios réguliers « code-rouge » (essentiellement un exercice d’incendie de cyberattaque, également connu sous le nom de scénarios de table) sont importants afin que l’équipe d’intervention en cas d’incident puisse répéter comment elle gérera une cyberattaque et affiner sa stratégie de gestion d’un incident. Dans le cadre de scénarios « code-rouge », les organisations peuvent également tirer de précieuses leçons sur la façon dont elles peuvent minimiser le risque d’attaque ou l’impact d’une attaque sur les opérations.  

Stratégie de sauvegarde

Voici quelques-unes des caractéristiques d’une stratégie de sauvegarde robuste :

• conserver des copies de sauvegarde redondantes des systèmes et des données dans plusieurs emplacements hors site et hors ligne;
• stocker les actifs critiques hors ligne;
• séparer physiquement et numériquement les données et les réseaux critiques;
• la sauvegarde régulière; et
• tester régulièrement les plans de sauvegarde et de récupération.

Qu’une organisation soit ou non tenue par son assureur de mettre en œuvre une norme de sécurité particulière, il est préférable qu’elle mette en œuvre une stratégie robuste pour prévenir, détecter, contenir et récupérer des attaques. 

Le groupe Bennett Jones Cybersecurity group est disponible pour vous guider à travers des scénarios de code rouge réguliers et vous guider dans l’élaboration d’une stratégie de gestion proactive personnalisée des risques et des vulnérabilités de votre organisation et d’un plan de réponse aux incidents qui tient compte de vos opérations. L’équipe est également disponible 24/7 pour vous aider à gérer une cyberattaque. Les contacts clés pour les questions de cyberattaques sont Ruth Promislow et Michael Whitt.