Un nouveau rapport d’Allianz Global Corporate & Specialty (AGCS) révèle les tendances en matière de risques cyber qui expliquent la recrudescence des attaques par rançongiciel, avec double et triple extorsion, et des attaques contre la chaîne d’approvisionnement. L’interruption d’activité et la restauration des systèmes informatiques sont les principales causes de pertes financières pour les entreprises. Les demandes de rançon sont en augmentation, mais ne constituent qu’une faible part des pertes. La plupart des attaques pourraient être évitées si les entreprises renforçaient leur cybersécurité, souvent à l’aide de mesures simples.
Pendant la crise liée à la pandémie de Covid-19, une autre épidémie a éclaté, dans le cyberespace : celle des attaques par rançongiciel. Ces actes malveillants, qui consistent à chiffrer les données et systèmes informatiques des entreprises et à exiger le paiement d’une rançon pour les déchiffrer, sont en forte recrudescence dans le monde entier. Plusieurs facteurs ont entraîné l’augmentation de la fréquence et de la gravité de ces incidents : la multiplication des techniques d’attaque telles que la double et triple extorsion, la mise en place d’un modèle commercial de ‘‘services de ransomware’’ et le développement des cryptomonnaies, l’explosion récente des demandes de rançon, et la hausse des attaques contre la chaîne d’approvisionnement. Dans son nouveau rapport, l’assureur cyber Allianz Global Corporate & Specialty (AGCS) analyse les dernières évolutions en matière de risques d’attaques par rançongiciel. Il indique également comment les entreprises peuvent renforcer leur protection par de bonnes pratiques de cyberhygiène et de sécurité informatique.
Selon Accenture, les intrusions dans les systèmes informatiques ont augmenté de 125 % au premier semestre 2021 par rapport à l’année précédente, à l’échelle mondiale. Les demandes de rançon et autres opérations d’extorsion sont les principales responsables de ce phénomène. Pour le FBI, les demandes de rançon aux États-Unis enregistrent une croissance de 62 % au cours de la même période, après une hausse de 20 % sur l’ensemble de l’année 2020.
La dépendance accrue au numérique, le développement du télétravail pendant la pandémie et l’accroissement des contraintes sur les budgets informatiques sont quelques-unes des causes expliquant la multiplication des vulnérabilités informatiques. Les cyberdélinquants disposent ainsi d’innombrables points d’accès à exploiter. La généralisation des cryptomonnaies comme le Bitcoin, qui permettent des paiements anonymes, favorise également la hausse des attaques par rançongiciel.
Cinq tendances à surveiller
Dans son rapport, AGCS identifie cinq tendances en matière d’attaques par rançongiciel. Celles-ci sont toutefois en constante évolution et peuvent changer rapidement, dans le jeu du chat et de la souris que mènent les cyberdélinquants et les entreprises.
1. Le développement des ‘‘services de ransomware’’ facilite les attaques. Organisés sur un modèle commercial, les groupes de pirates comme REvil et Darkside vendent ou louent leurs outils à des tiers. Ils fournissent également plusieurs services d’assistance. Le nombre d’acteurs malveillants se multiplie en conséquence.
2. De l’extorsion simple à la double ou triple extorsion… Les stratégies de ‘‘double extorsion’’ se développent parmi les cyberdélinquants. Elles associent le chiffrement initial des données ou des systèmes –et de plus en plus souvent de leurs sauvegardes– avec une autre forme d’extorsion, telle que la menace de divulgation de données sensibles ou personnelles. Dans ce scénario, les entreprises touchées doivent donc gérer la possibilité d’une interruption d’activité et d’une violation de données de grande ampleur, ce qui peut accroître considérablement le coût final de l’incident. Les actes de ‘‘triple extorsion’’ peuvent combiner déni de service, chiffrement de dossiers et vol de données. Ils ne ciblent pas seulement une entreprise, mais aussi potentiellement ses clients et ses partenaires commerciaux. Une attaque contre un groupe finlandais de centres de psychothérapie en est un des exemples les plus connus. Une rançon a été réclamée à l’entreprise et de plus faibles sommes ont été exigées aux patients, sous la menace de révéler des données médicales.
3. Les attaques contre la chaîne d’approvisionnement, nouvelle forme de cyberdélinquance. Ces cyberattaques sont généralement de deux types. Elles peuvent cibler des fournisseurs de logiciels et de services informatiques, afin de les utiliser pour diffuser un programme malveillant, comme celles perpétrées contre Kaseya ou Solarwinds. Elles peuvent aussi viser des chaînes d’approvisionnement physiques ou des infrastructures essentielles, comme celle qui a touché Colonial Pipeline. Les prestataires de services risquent d’en être les principales cibles. En effet, ils fournissent souvent des solutions logicielles à des centaines, voire des milliers d’entreprises. Ils offrent donc aux cyberdélinquants des possibilités de gains plus importants.
4. La dynamique des demandes de rançon. Les tentatives d’extorsion se sont multipliées dans les dix-huit derniers mois. Selon Palo Alto Networks, le montant moyen des demandes de rançon aux États-Unis s’élève à 5,3 millions de dollars au premier semestre 2021, soit une hausse de 518 % par rapport à 2020. La plus grande somme exigée a été de 50 millions de dollars, contre 30 millions l’année précédente. Le montant moyen versé aux pirates est environ 10 fois inférieur au montant réclamé, mais la tendance générale à la hausse est préoccupante.
5. Payer ou ne pas payer. L’intérêt de payer la rançon fait débat. Les pouvoirs publics conseillent en règle générale de ne pas céder aux demandes de rançon, afin de ne pas entretenir le phénomène. En tout état de cause, lorsqu’une entreprise décide de payer, le mal est souvent déjà fait. La restauration de ses systèmes et la reprise de son activité représentent des tâches énormes, même lorsqu’elle a obtenu la clé de déchiffrement.
Pour une liste de bonnes pratiques en matière de sécurité informatique
AGCS a publié une liste de recommandations pour une meilleure gestion des risques cyber. « Dans environ 80 % des attaques par rançongiciel, le sinistre aurait pu être empêché si l’organisation avait adopté de bonnes pratiques. L’application régulière des correctifs, l’authentification multifacteurs, la sensibilisation à la sécurité de l’information, ainsi que la planification des actions en cas d’incident sont essentielles pour éviter les attaques par rançongiciel. Elles constituent également de bonnes mesures de cyberhygiène », explique Rishi Baviskar, responsable mondial des experts en cybersécurité chez AGCS Risk Consulting. « Si les entreprises suivent les recommandations de bonnes pratiques, elles ont de fortes chances de ne pas être victimes de demandes de rançon. Elles peuvent combler de nombreuses failles de sécurité, souvent par des gestes simples ».
La couverture d’assurance cyber a évolué. Elle prévoit généralement, en cas d’attaque, des services d’intervention d’urgence par des professionnels de la gestion de crise, des experts en sécurité informatique et des juristes. D’autres offres comprennent une formation à la sécurité informatique pour les salariés et l’aide à l’élaboration d’un plan de gestion de cybercrise.