Tous les deux ans, Aon recense auprès de gestionnaires de risques dans 60 pays les dix principaux risques auxquels font face les organisations. Fortement impactées par la pandémie mondiale de covid-19, les entreprises voient émerger de nouveaux défis. En 2021, la crainte des cyberattaques s’est installée à la première position du classement en Amérique du Nord.
Il y a deux ans encore, la cybercriminalité n'était que la 6e préoccupation des gestionnaires de risques. Désormais face à l'émergence des rançongiciels et des attaques d'envergure, à l'image de celles de Colonial Pipeline, JBS ou encore Kaseya, la cybersécurité et le risque de fuite de données sont devenus des sujets de haute importance.
Une menace marquée
Et pour cause, selon un rapport de Cyber Talk, les services financiers ont connu une augmentation des cyberattaques de 238 % au cours du premier semestre 2020. Près de 75 % des banques et des groupes d'assurance ont dû faire face à un pic de cybercriminalité depuis le début de la pandémie de coronavirus.
« Le nombre de cyberattaques contre les entreprises a battu tous les records en 2020 », révèle l'étude menée par Aon. Par exemple, les attaques par rançongiciel ont connu une croissance spectaculaire - une hausse de 400 % entre le premier trimestre 2018 et le quatrième trimestre 2020, selon le rapport 2021 d'Aon sur les risques liés à la cybersécurité.
En 2015, seuls les secteurs des télécommunications et de la radiodiffusion considéraient le risque de cyberattaques et de violation de données comme une menace majeure. Désormais, quatre autres secteurs, dont celui de la finance et de l'assurance, le perçoivent comme une menace de taille.
Que ce soit les directeurs financiers, les PDG et les directeurs des ressources humaines, tous classent désormais le risque de cyberattaques et de violation de données dans le top 10. Le président de la Réserve fédérale américaine, Jerome Powell, a même déclaré qu’il s'inquiétait davantage du risque cybernétique que d'un nouveau krach financier, car un événement cybernétique pourrait avoir un large rôle à jouer dans l'arrêt du système financier.
Depuis la pandémie de coronavirus et l'avènement du travail à distance, les organisations sont devenues davantage vulnérables aux cyberrisques. D'autant plus que l’adoption de technologie de protection a été faite dans l'urgence. « Les entreprises ont été contraintes d'avancer les investissements pour leur transformation numérique de deux à cinq ans », indique Aon. Malheureusement, ce virage technologique ne s'est pas fait en prenant toutes les précautions nécessaires. En 2021, seulement 40 % des entreprises déclarent disposer de contrôles de cybersécurité adéquats pour protéger les nouvelles stratégies de travail à distance.
Attaques avec rançongiciel
Pourtant, les cybercriminels ne cessent de faire preuve d'ingéniosité et sont désormais capables de paralyser de très grosses organisations en dérobant des données sensibles et en s'en servant comme monnaie d'échange pour extorquer une rançon. Faute de paiement, les pirates conservent parfois les données durant quelques mois avant de les offrir sur le marché noir.
Dans un autre type d'attaque, appelé « attaque de point d'eau », les criminels vont jusqu'à insérer des codes malveillants dans les plateformes d'entreprise afin de propager leur attaque aux entreprises clientes, qui souvent peuvent se compter par milliers. Toutefois, selon Aon, seulement 31 % des organisations ont mis en place des mesures adéquates pour faire face aux menaces de rançongiciel.
Cyberassurance et confiance zéro
Face à cette augmentation du risque, le marché de la cyberassurance en subit les conséquences. À en croire les résultats de l'enquête menée par Aon, sur les souscriptions de 2021, les rançongiciel représentent la majorité des pertes des assureurs (plus de 58 %), avec des ratios de pertes augmentant entre 5 et 25 % pour tous les grands souscripteurs de cyberassurance.
Ces pertes entrainent deux réactions majeures sur le marché. D'une part, l'augmentation des primes d'assurance. Les taux ont augmenté de plus de 35 pour cent au premier trimestre 2021, et continuent d'augmenter pour atteindre 40 à 50 pour cent au second trimestre 2021, révèle Aon.
D'autre part, l'accès à la cyberassurance se voit modifié. En effet, pour se prémunir du risque, les assureurs exigent désormais une base de référence plus élevée en matière de protection contre les rançongiciel. Résultat : moins d'entreprises peuvent obtenir ou renouveler des polices d'assurance cybernétique.
Pour faire face au risque de cyberattaque, Rich Nolan, directeur général des enquêtes cybernétiques chez Citigroup, explique que les entreprises doivent adopter le concept de confiance zéro ou confiance nulle. Ce concept fait référence à un modèle de sécurité dans lequel une organisation ne fait confiance à personne, que ce soit à l'intérieur ou à l'extérieur de ses périmètres, et vérifie toute demande de connexion à ses systèmes même si la demande semble provenir d'un employé. L'intérêt pour ce modèle de sécurité est en plein essor. À en croire l'étude 2020 Security Priorities Study d'IDG, 52 % des répondants à l'enquête déclarent utiliser ou étudier des technologies de confiance zéro.