Un rapport récent de Resilience, un fournisseur de solutions de gestion des risques cybernétiques, met en garde contre le fait que les pirates profitent de l’augmentation des activités de fusions et acquisitions, combinées à la dépendance envers des fournisseurs de logiciels omniprésents, pour mener des campagnes de rançongiciels à grande échelle.
Le rapport, intitulé Midyear 2024 Cyber Risk Report, s’appuie sur les données de l’équipe de recherche en menaces de Resilience et de son portefeuille de réclamations d’assurance pour analyser les tendances des incidents cybernétiques.
Parmi les points saillants de cette analyse, on note que le rançongiciel reste la principale cause de perte depuis janvier 2023, avec 64 % des réclamations liées aux rançongiciels ayant entraîné une perte.
Interconnexion et interdépendance
Dans son analyse, Resilience a constaté que certaines des principales cyberattaques récentes « ont impliqué des systèmes fortement interconnectés ou des entreprises récemment acquises. Les réclamations liées aux fournisseurs sont le secteur de réclamations qui croît le plus rapidement dans notre portefeuille, et constituent désormais la cause de perte qui croît le plus rapidement pour l’ensemble des réclamations », explique-t-on dans le rapport.
Ses auteurs ajoutent que bien que 35 % des réclamations provenaient d’une défaillance de fournisseur en 2023, ce chiffre est passé à 40 % jusqu’à présent en 2024 et devrait continuer d’augmenter. « Peu importe à quel point une entreprise protège son propre environnement numérique, les entreprises sont interconnectées et interdépendantes en ce qui concerne la résilience cybernétique des autres », avertit Resilience.
Incidents de grande envergure
La firme souligne que les récents cyberincidents de grande envergure montrent « qu’une attaque contre un système fortement interconnecté peut avoir des effets dévastateurs et durables en aval — au point même de mettre un système économique entier en pause ».
Un exemple cité par Resilience est celui de Change Healthcare. L’entreprise, acquise par UnitedHealth à la fin de 2022, a été victime d’une cyberattaque en février 2024. « Soudainement, la firme ne pouvait plus effectuer de paiements ni préapprouver des traitements, créant de graves problèmes pour les médecins, les hôpitaux et les patients », explique-t-on dans le rapport. L’entreprise a dû payer une rançon de 22 millions de dollars.
À titre d’exemple de risque lié aux fournisseurs, le rapport met en lumière le cas de CDK, qui a été infecté par un rançongiciel en juin 2024. Cette attaque a paralysé et mis hors ligne de nombreux systèmes, explique Resilience. « Les ventes ont été suspendues alors que les concessionnaires se sont précipités pour vendre des voitures en revenant aux feuilles de calcul et aux contrats papier. » Les concessionnaires automobiles, les fabricants et les clients ont tous été touchés de différentes manières par cet incident.
Gravité financière des réclamations
L’analyse de Resilience a révélé que la gravité financière des réclamations liées aux attaques de rançongiciels a augmenté de 411 % entre 2022 et 2023. « Cependant, les pertes des clients de Resilience ne résultent pas toujours du paiement des frais d’extorsion ; moins de 10 % des clients ont payé des frais d’extorsion, les autres ayant opté pour une récupération sans paiement de rançon. »
Cette augmentation spectaculaire des réclamations souligne que les coûts augmentent pour « se remettre des attaques de rançongiciels, que l’extorsion soit payée ou non », indique-t-on dans le rapport.
Resilience a également détaillé que depuis janvier 2023, 35 % des réclamations dans son portefeuille résultaient « d’une violation de données d’un fournisseur ou d’une attaque par rançongiciel exploitant un fournisseur tiers ». En 2024, ce pourcentage est passé à 40 %, et devrait continuer d’augmenter, selon l’entreprise.
« L’interdépendance accrue des fournisseurs et l’activité de fusions et acquisitions ont créé une opportunité sans précédent pour les pirates, avec bien plus de points de défaillance et de potentiel d’erreur humaine », déclare Vishaal Hariprasad, cofondateur et PDG de Resilience. « Plus que jamais, nous devons repenser la façon dont la haute direction aborde le risque cybernétique. Les entreprises sont interconnectées comme jamais auparavant, et leur résilience dépend désormais de celle de leurs partenaires et d’autres acteurs de l’industrie. »