Tendances mondiales en matière de cyber-risque

Tendances mondiales en matière de cyber-risque

Les technologies numériques, allant de l'intelligence artificielle et de l'Internet des objets à la disponibilité des données et à la blockchain, continuent d'évoluer à une vitesse fulgurante. Pour ne pas être dépassés, les cyber-risques évoluent encore plus vite. Le coût mondial de la cybercriminalité en 2020 a atteint 945 milliards de dollars, soit près du double des chiffres de 2016.[1]  Selon l'organisme de recherche Cybersecurity Ventures, le coût mondial devrait augmenter de 15 % par an, pour atteindre 10 500 milliards de dollars par an en 2025.[2]

Les entreprises doivent se préparer aux nouveaux défis posés par l'évolution des cibles, des techniques et des impacts des cybercrimes. Cet article se concentre sur les risques croissants liés à l'augmentation des ransomwares, à la perspective d'interruptions d'activité plus perturbatrices et plus coûteuses, aux conséquences d'une réglementation plus stricte et aux risques de litige, au vol généralisé de la propriété intellectuelle, ainsi qu'aux nouveaux obstacles à la réussite des fusions et acquisitions.

Lire le rapport complet

Les ransomwares en hausse

 L'ampleur et la portée des attaques par ransomware augmentent à un rythme sans précédent.  Cela est dû à une combinaison de facteurs, notamment l'essor rapide de la numérisation, l'utilisation croissante des crypto-monnaies, l'augmentation des tensions géopolitiques, l'environnement extraordinaire créé par la pandémie et l'amélioration des schémas qui ont rendu les ransomwares encore plus rentables.

Les rançongiciels sont des logiciels malveillants qui infectent les appareils informatiques et peuvent verrouiller l'accès à des réseaux informatiques entiers, prenant ainsi une entreprise en otage jusqu'au paiement d'une rançon.

Le logiciel malveillant s'infiltre souvent dans les serveurs d'un système par le biais d'un courriel inoffensif ("phishing") envoyé à un employé de l'entreprise ciblée. La couche humaine est souvent le maillon le plus faible de la cyber-défense et constitue donc une cible de choix pour les cybercriminels. On estime qu'entre 50 et 90 % des violations de données sont causées ou encouragées par des employés.[3] 

Le prix des rançons augmente parallèlement à la hausse de l'utilisation des ransomwares. La rançon moyenne payée par les entreprises basées en Europe, aux États-Unis et au Canada a presque triplé, passant de 115 123 dollars à 312 493 dollars en un peu plus d'un an.[4]  Cette augmentation est due, en partie, aux nouvelles tactiques employées par les cyber-pirates qui combinent la captivité des données avec la menace de les divulguer sur des sites publics, une double menace qui ne laisse aux entreprises que peu ou pas de recours, si ce n'est de payer la rançon.[5]

Elle est également due en partie au changement de cible. Plutôt que de cibler des ordinateurs personnels, les cybercriminels s'en prennent à des organisations des secteurs public et privé de tailles diverses, ce qui permet d'augmenter à la fois le montant de la rançon demandée et la probabilité d'un paiement réussi.[6]

La menace d'une attaque par ransomware ne devrait que s'aggraver avec l'utilisation croissante du modèle de "franchise" adopté par les cybercriminels, selon lequel les logiciels malveillants sont loués sur le dark net à des "affiliés" dans le cadre d'un système de "ransomware-as-a-service", les bailleurs percevant une redevance, ce qui rend les ransomwares sophistiqués plus largement disponibles et plus rentables.[7]

 

PERTURBATION DES ACTIVITÉS

Qu'un cyber-incident entraîne ou non le paiement d'une rançon, les coûts associés à l'interruption des activités qui en résulte dépassent de loin le montant demandé .En effet, ces coûts peuvent être de cinq à cent fois supérieurs au coût de la rançon elle-même, ce qui incite souvent les entreprises à payer la rançon uniquement pour éviter les coûts de perturbation.[8]

La perturbation des activités est le revenu perdu lorsqu'une ressource ne peut pas être utilisée ou un service ne peut pas être fourni, ce qui entraîne une perte de ventes, une réduction de l'efficacité, une augmentation des dépenses liées au cyber-incident (récupération des systèmes informatiques, dommages versés aux clients, etc.) et une atteinte à la réputation.

Si les grandes entreprises sont généralement mieux placées pour supporter les pertes engendrées par les perturbations commerciales, ce sont les petites et moyennes entreprises (PME) qui souffrent de manière disproportionnée lorsqu'elles sont victimes d'une cyberattaque.

On estime que 45 % des attaques en ligne visent les PME.[9]  Contrairement aux grandes entreprises, les PME ont une cyber-défenses limitée, voire inexistante. Pour les entreprises de toutes tailles, le coût moyen d'une perturbation est d'environ 200 000 dollars ; pour les PME, ce coût peut être insurmontable, puisque 60 % d'entre elles doivent cesser leurs activités après avoir été victimes d'une attaque.[10]

Quant au paiement d'une rançon pour éviter les coûts d'interruption de l'activité, il ne garantit pas une récupération complète et n'élimine certainement pas tous les coûts d'interruption de l'activité liés à la vérification que chaque machine est exempte d'infection. En outre, le paiement d'une rançon ne garantit pas que les données d'une entreprise seront restituées dans leur intégralité. La société de cybersécurité Sophos a constaté que les personnes ayant payé une rançon n'ont récupéré en moyenne que 65 % des données cryptées, laissant plus d'un tiers inaccessible.[11] Et même si les données sont restituées, rien ne garantit qu'elles n'ont pas été copiées en vue d'une utilisation ultérieure, d'une vente et/ou d'un chantage.

Alors que de nombreuses entreprises comptent sur l'assurance contre les pertes d'exploitation et l'assurance des biens pour les aider à compenser les coûts des cyber-incidents, les compagnies d'assurance s'appuient de plus en plus sur les clauses "d'acte de guerre" pour se mettre à l'abri des paiements. L'attaque très médiatisée du ransomware NotPetya et le procès qui en a résulté contre Zurich American Insurance pour son refus de couverture en vertu de sa politique d'exclusion des "actes de guerre" montrent que la cyber-assurance ne peut être considérée comme un remplacement de la cyber-sécurité.[12]

 

RESPONSABILITÉ ACCRUE

Outre les risques liés aux interruptions d'activité et aux paiements de rançons, les entreprises sont également confrontées à une responsabilité potentielle croissante s'il s'avère qu'elles n'ont pas respecté les lois et réglementations en vigueur dans les pays où elles opèrent ou si elles sont jugées négligentes, n'ayant pas fait preuve de la diligence requise pour limiter le cyber-risque.  

En Europe, le règlement général sur la protection des données (RGPD) prévoit des amendes pour les entreprises qui ne respectent pas les directives en matière de protection des données ou les exigences en matière de signalement des violations de données. Les entreprises risquent de se voir infliger une amende pouvant aller jusqu'à 4 % de leur chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé, si elles enfreignent le règlement.[13] 

La mise en œuvre du RGPD a déjà entraîné une augmentation des notifications de sinistres. Selon le cabinet d'avocats Pinsent Manson, entre mars 2019 et mai 2020, un total de 190 amendes RGPD ont été émises par les autorités européennes de protection des données, pour une valeur de près de 500 millions de dollars.[14] Les plus grosss amendes pour violation comprennent 57 millions de dollars pour Google en France et 41 millions de dollars pour H&M Allemagne.[15]

De l'Europe aux États-Unis, en passant par le monde entier, les réglementations sur la confidentialité des données et les lois sur la divulgation obligatoire des violations varient considérablement, ce qui rend la Due Diligence juridique entre les marchés essentielle pour les entreprises et en particulier les multinationales .Le groupe hôtelier Marriott et l'agence de notation de crédit Equifax ont subi des violations de données très médiatisées en 2018 et 2017 et ont fait l'objet de nombreux procès et actions réglementaires dans de multiples juridictions, Marriott devant faire face à une amende de 130 millions de dollars rien qu'au Royaume-Uni pour la violation.[16]  

 

 LE VOL DE LA PROPRIÉTÉ INTELLECTUELLE  

Compte tenu de l'omniprésence des atteintes à la protection des données, les entreprises les considèrent de plus en plus comme un coût supplémentaire de leur activité.  Ce n'est toutefois pas du tout le cas du vol de données concernant la propriété intellectuelle (PI), qui est considéré comme l'une des plus grandes menaces auxquelles les entreprises doivent encore faire face.

Si le vol de propriété intellectuelle existe depuis aussi longtemps que la propriété intellectuelle elle-même, les derniers développements en matière de cyber-espionnage et de vol devraient inquiéter les entreprises.

Les cyber-pirates s'appuient de plus en plus sur les menaces persistantes avancées (APT), qui permettent d'accéder à un système sans être détecté pendant une période prolongée, dans le but de voler des données ou de pénétrer dans un réseau. Les attaques APT ont souvent pour but de voler des données ou des biens de propriété intellectuelle sensibles contre des gains politiques ou économiques.[17]

Au cours des premiers mois de la pandémie, les pirates ont ciblé l'Organisation mondiale de la santé en infiltrant ses réseaux à l'aide de l'APT connu sous le nom de "Dark Hotel", dans le but de voler des informations sensibles relatives à Covid-19.[18]  Le secteur des soins de santé et plus récemment, la recherche sur les vaccins, sont fortement ciblés car, leur propriété intellectuelle a une grande valeur.

Pourtant, dans certains cas, le vol de propriété intellectuelle a pour but de dérober un avantage concurrentiel, de détourner de nouvelles technologies et des secrets commerciaux et de faire perdre des centaines de millions de dollars d'investissements en R&D.  C'est ce qui s'est passé pour le fabricant de puces AMD, où des attaquants ont volé et divulgué le code source des graphiques de la série X de la Xbox.

Dans tous les cas, l'impact sur les flux de revenus du vol de PI par des cyber-intrusions peut entraîner une réduction des efforts de R&D et une augmentation du coût du capital si la PI est perçue par les investisseurs comme n'étant pas suffisamment protégée.[19] 

 

RISQUES LIÉS AUX FUSIONS ET ACQUISITIONS          

Les fusions et acquisitions (F&A) sont un terrain fertile pour les cybercriminels, qui y trouvent des opportunités à court et à long terme.

À court terme, les opérations commerciales étant en transition, les données sont plus vulnérables et risquent davantage d'être ciblées.  À long terme, les opérations de fusion et d'acquisition sont une excellente occasion d'infiltrer les réseaux de l'entreprise fusionnée ou acquise, souvent par l'intermédiaire d'APT, dans le but d'accéder à l'environnement et aux informations de l'entreprise ciblée sur une longue période.

Les menaces qui pèsent sur les fusions et acquisitions soulignent l'importance de mener une cyber-diligence dès la phase de pré-acquisition. En effet, plus de 50 % des entreprises interrogées par IBM attendent que la Due Diligence soit achevée avant de procéder à une évaluation de la cyber-sécurité des opérations de fusion et d'acquisition.[20] 

Bien qu'une entreprise puisse disposer d'une cyber-sécurité de pointe, si elle acquiert une entreprise dont la sécurité est faible ou qui présente des vulnérabilités existantes, elle pourrait être responsable de tout dommage lié à des incidents survenus avant la fusion, comme l'a montré la violation de données du groupe hôtelier Marriott. Bien que la violation de données ait été découverte en 2018, elle a été retracée à une cyber-intrusion survenue en 2014 chez Starwood, un groupe hôtelier qu'elle a acquis en 2016.[21] Si Marriot avait effectué une cyber-diligence au cours de la période précédant l'acquisition, cette vulnérabilité aurait pu être découverte et/ou des mesures auraient pu être prises en même temps qu'une évaluation révisée. En outre, l'acquisition d'une société qui peut présenter des vulnérabilités peut revenir à intégrer un cheval de Troie.

Nos solutions de Due Diligence

CONSTRUIRE LA CYBER-RÉSILIENCE : CONNAISSEZ VOS LOGICIELS

Malgré ces défis et le fait qu'être victime de la cyber-criminalité devient une question de temps plutôt que d'éventualité, la plupart des organisations n'ont pas de plan en place pour prévenir et répondre aux violations de la cyber-sécurité.[22] 

Proportion d'organisations qui disposent d'un plan pour prévenir et répondre aux incidents de sécurité informatique

Figure 1. . Proportion d'organisations qui disposent d'un plan pour prévenir et répondre aux incidents de sécurité informatique. Source :McAfee, "The Hidden Costs of Cyber crime" (Les coûts cachés de la cybercriminalité)

L'importance de disposer d'un solide programme de gestion des cyber-risques ne peut être sous-estimée.  Chaque jour, de nouvelles failles techniques et de sécurité sont découvertes.  Chaque changement d'activité peut créer des vulnérabilités involontaires.  Chaque nouvel employé, consultant ou entrepreneur représente un nouveau risque qui doit être géré. Un pirate n'a besoin de réussir qu'une seule fois, alors que les mesures de sécurité d'une entreprise doivent être efficaces 100 % du temps, dans un paysage de menaces en constante évolution.  La réalisation régulière d'audits de cyber-sécurité, l'évaluation de leurs résultats ainsi que la recherche et la mise en œuvre d'améliorations constituent donc un processus essentiel et sans fin qui devrait être adopté par toutes les organisations qui prennent le cyber-risque au sérieux.

Vaultinum, une entreprise suisse spécialisée dans les solutions numériques, a mis au point un outil d'audit intelligent qui permet aux entreprises d'effectuer leur propre contrôle préalable en matière de cyber-sécurité, en examinant le programme de gestion des risques de sécurité d'une organisation, les procédures de protection des données, les certifications de sécurité et les protections des bureaux, des équipements et des infrastructures.  La solution Know Your Software est un questionnaire d'auto-évaluation élaboré par des experts de premier plan en matière de cyber-sécurité dans le but d'aider les entreprises à améliorer leur sensibilisation à la cyber-sécurité, à atténuer les risques et à mettre en place des politiques et des procédures recommandées basées sur les normes du secteur, afin de contribuer à prévenir les cyber-incidents et à renforcer la résilience face à un incident.

Je commence

Références :

[1] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

[2] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[3] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[4] Sroxton, Alex. “Average ransomware cost triples, says report”. Computer Weekly.com, 17 Mar. 2021

[5] Singleton, C. (2021). X Force Threat Intelligence Index 2021. IBM Corporation.

[6] (2020). Internet Organized Crime Threat Assessment 2020. Europol.

[7] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[8] Riley, Tonya. “The Cybersecurity 202: Global losses from cybercrime skyrocketed to nearly $1 trillion in 2020, new report finds”. Washington Post, 7 Dec. 2020

[9] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[10] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[11] Bajak, Frank. “Ransomware gets paid off as officials struggle for fix”. Associated Press, 22 June 2021

[12] Garrie, Daniel; Rosen, Peter. “'Act Of War' Questions In Cyberattack Insurance Case”. Law 360, 23 April 2019

[13] EU General Data Protection Regulation (GDPR): Article 83, Section 6.

[14] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[15] Idem

[16] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[17] Adam, M. “Cyber Risk in a new era: insurers can be part of the solution”. S&P Global Ratings, 2 Sep 2020

[18] Seals, T. “Hackers amp up Covid-19 IP Theft Attacks”. Threat Post, 28 Dec 2020

[19] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. Center for Strategic and International Studies.

[20] Idem.

[21] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018

[22] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.