Les principaux risques que les PDG, les gestionnaires de risques, les courtiers et les spécialistes des assurances perçoivent comme étant « potentiellement dommageables » pour leur entreprise ont quelque peu changé (interruption des activités, apparition d’une pandémie, cyberincident, etc.). Et c’est encore la faute de la pandémie.
Par ailleurs, la pandémie a causé et inspiré tant d’activités criminelles que les entreprises sont nettement plus vulnérables qu’avant aux cyberrisques.
Il est vrai que les cyberrisques ont augmenté (détails plus loin). Mais ce qui est intéressant, voire surprenant, c’est que les préoccupations entourant la pandémie ont réellement bondi dans le plus récent Baromètre des risques 2021 d’Allianz, au point de voler la première place aux cyberrisques.
Dans la 10e édition de son rapport, Allianz Global Corporate and Specialty (AGCS) souligne que l’interruption des activités a occupé la tête de son classement à maintes reprises dans le passé. Les cyberincidents étaient tout en haut de la liste en 2020, puis sont descendus en troisième place en 2021, lorsque tout à coup, la pandémie est passée du 17e au 1er rang. Au Canada, rapporte AGCS, le risque que les répondants craignent le plus pour leur entreprise est une interruption des activités (choisie par 47 % des répondants), suivie du risque de voir apparaitre une autre pandémie (41 %) et du risque de subir un cyberincident (37 %). AON a elle aussi mené un sondage sur la gestion des risques (Reprioritizing Risk and Resilience for a Post-COVID-19 Future). Les répondants ont attribué la troisième place au risque de cyberincident majeur.
Les évènements « extrêmes »
« L’une des grandes leçons tirées de la pandémie, c’est que les évènements extrêmes qui forcent une interruption des activités ne sont pas que théoriques. » - Philip Beblo
« Vu l’ampleur des perturbations causées par la COVID-19, il n’est pas étonnant que le risque le plus important soit une interruption des activités provoquée par une pandémie. Les cyberincidents, quant à eux, faisaient déjà partie des plus grandes préoccupations », écrit Philip Beblo, chef de groupe, pratiques mondiales, à AGCS. « L’une des grandes leçons tirées de la pandémie, c’est que les évènements extrêmes qui forcent une interruption des activités ne sont pas que théoriques. »
Même si les cyberincidents ont reculé en troisième position, les répondants les citent de plus en plus comme étant le risque principal. « À l’heure actuelle, les cybercrimes coutent plus de 1 000 milliards de dollars américains à l’économie mondiale. C’est plus de 1 % du PIB mondial, une hausse de 50 % par rapport à il y a deux ans », rapporte AGCS. Les auteurs du rapport ajoutent que l’interruption des activités est ce qui coute le plus cher après un cyberincident. Pour arriver à cette conclusion, ils ont analysé plus de 1 700 réclamations liées à un cyberincident présentées dans les cinq dernières années. Les interruptions des activités représentaient environ 60 % des sommes réclamées.
La montée du télétravail
Malgré les couts importants, l’étude laisse entendre que les personnes responsables du budget et de la gestion risquent de ne prendre pas les cybermenaces suffisamment au sérieux dans l’avenir. « Quand les entreprises ont adopté le télétravail, aux premiers stades du confinement, elles ont réduit leurs mesures de cybersécurité. Certaines ont désactivé l’authentification à facteurs multiples, alors que les employés qui travaillent de la maison sont plus susceptibles de subir une attaque d’hameçonnage. Au plus fort de la première vague, en avril 2020, le FBI a rapporté une augmentation des cyberincidents de 300 % », ajoute AGCS. « Les entreprises devraient maintenant avoir les bons processus et les bonnes protections en place pour que le travail réalisé à distance soit plus sûr. Toutefois, il se peut que certaines d’entre elles diminuent les budgets alloués aux TI et les dépenses affectées à la sécurité si la pandémie se calme et que les employés retournent au bureau. Dans ce cas, les vulnérabilités pourraient resurgir. »
Ces inquiétudes ne sont pas sans fondement. Dans le rapport d’AON, la cybersécurité est notée seulement 6,4 sur une échelle de 1 à 10 (« 1 » étant la préoccupation la plus importante). Elle arrive loin derrière le bienêtre des employés, la rétention, le risque de réputation et la révision des chaines d’approvisionnement, entre autres. Quant au risque de subir des perturbations en raison d’un cyberincident majeur, les répondants lui accordent une note de 5, ce qui le place derrière le risque de perturbations économiques, de tensions géopolitiques et d’une autre crise sanitaire.
Les vulnérabilités potentielles
AON ajoute que les entreprises dont le chiffre d’affaires annuel est inférieur à 1 milliard de dollars américains sont plus préoccupées par autre crise sanitaire, tandis que celles dont le chiffre d’affaires est supérieur à 1 milliard s’inquiètent davantage du risque de cyberattaque majeure. « C’est peut-être parce qu’elles savent que leurs activités dépendent généralement des technologies. Elles ont investi dans leur virage numérique et l’ont réalisé plus vite, mais ce virage a fait naitre des vulnérabilités potentielles qu’il importe de gérer efficacement, écrit-on. Le risque de cyberincident majeur arrive seulement en sixième place, ce qui est étonnant. Vu leur dépendance accrue aux solutions numériques et au télétravail, les entreprises sont encore plus vulnérables, car la cybersécurité devient un point de défaillance potentiel encore plus concentré. »
Pourquoi alors les experts en sécurité voient-ils un risque aussi élevé dans la pandémie? Les entreprises ont pu garder leurs portes ouvertes en accélérant leur virage numérique et en diminuant les mesures de sécurité tandis que leurs effectifs s’installaient à domicile pour travailler. Or, d’après les experts en sécurité, l’hameçonnage a le vent dans les voiles : citant des statistiques d’INTERPOL, AGCS dit que les incidents causés par des logiciels malveillants et des rançongiciels ont augmenté de plus d’un tiers en 2020, et que l’hameçonnage, les arnaques et les fraudes ont crû de plus de 50 %. Les attaques par rançongiciels se multiplient et sont de plus en plus graves. Les services infonuagiques, les appareils personnels et les applications et plateformes non vérifiées sont tous des sources de vulnérabilité potentielles. Et les attaques visant à compromettre l’intégrité des courriels d’affaires sont de plus en plus élaborées.
Des courriels compromis et des comptes usurpés
« Les criminels compromettent des courriels et usurpent des comptes pour se faire passer pour un haut dirigeant, un fournisseur ou un client, et ainsi obtenir l’accès aux systèmes informatiques de l’entreprise », expliquent les auteurs du rapport de AGCS sur la gestion des effets de l’interconnectivité accrue et les tendances en matière de cyberrisques (Managing the Impact of Increasing Interconnectivity: Trends in Cyber Risk). « Dans le passé, la compromission des courriels servait surtout à transférer des fonds de manière frauduleuse. Aujourd’hui, on s’en sert aussi pour voler des données importantes ou pour prendre le contrôle des comptes. »
IBM Security ajoute que les criminels utilisent ce même stratagème pour lancer des attaques par rançongiciel. « Généralement, les lanceurs d’attaques par rançongiciel obtiennent l’accès à l’environnement de leurs victimes grâce au protocole de bureau à distance (RDP), au vol d’identifiants ou à l’hameçonnage – des vecteurs d’accès utilisés de façon semblable pour installer des rançongiciels dans les années antérieures », disent les auteurs du rapport 2021 sur l’indice d’IBM Security appelé X-Force Threat Intelligence Index.
Du côté des incidents ayant visé des technologies opérationnelles (celles dont les conséquences se répercutent sur le reste du monde, comme les déversements de produits chimiques, les pannes de machinerie, ou même les pannes automobiles), 13 % sont venus de l’interne en 2020. De ce nombre, environ 60 % sont attribuables à un acte malveillant et quelque 40 % sont le fruit de la négligence.
Les rançongiciels et l’erreur humaine
Pour ceux que les détails techniques intéressent, IBM ajoute que les attaques de serveurs (le troisième type d’attaque en importance en 2020) représentent plus de 10 % de toutes les attaques qu’elle a corrigées. De plus, presque 36 % des attaques de serveurs lancées en 2020 ont visé les secteurs des services financiers et des assurances.
Chaque année, IBM établit le classement des secteurs les plus ciblés. « Pour la cinquième année de suite, le secteur qui a subi le plus grand nombre d’attaques est celui des services financiers et des assurances, signe de l’intérêt qu’il représente pour les lanceurs d’attaques », peut-on lire dans le rapport.
Les trois principaux types d’attaques observées par IBM en 2020 sont les rançongiciels (23 % des attaques), les vols de données (en hausse de plus de 160 % depuis 2019) et les accès aux serveurs (qui ont bondi de 233 % de 2019 à 2020). Les vols de données comptent pour 13 % des attaques corrigées par l’entreprise, alors qu’elles ne représentaient que 5 % des attaques en 2019. Les secteurs des services financiers et des assurances ont subi 17 % des vols de données examinés par le groupe X-Force. Des attaques subies par ces secteurs en 2020, 28 % ont ciblé les serveurs. Les rançongiciels représentent quant à eux 10 % des attaques visant des entreprises de services financiers.
« Les pertes découlant d’une manipulation externe des systèmes informatiques (ex. : déni de service distribué, hameçonnage, logiciel malveillant, rançongiciel) représentent la grande majorité des sommes réclamées », disent les analystes du rapport sur l’interconnectivité d’AGCS. « Les cybercrimes font les manchettes, mais d’après l’analyse, les causes de réclamation les plus fréquentes sont des pannes techniques banales, des pépins informatiques et des incidents attribuables à l’erreur humaine. » Toutefois, si les incidents internes sont plus fréquents, les attaques externes sont plus couteuses.
Les services professionnels
Notons aussi que les entreprises de services professionnels sont souvent ciblées par des cyberattaques; si bien qu’IBM les traite comme un secteur à part dans son analyse.
« Le secteur des services professionnels arrive au cinquième rang des secteurs les plus ciblés en 2020, avec 8,7 % des attaques subies par les dix principaux secteurs. Il occupait le même rang en 2019, avec 10 % des attaques, écrit-on. Les entreprises de services professionnels sont particulièrement attrayantes pour les lanceurs d’attaques parce qu’elles permettent d’atteindre d’autres victimes. » IBM ajoute que ces entreprises ont été massivement attaquées par des rançongiciels en 2020. L’une d’entre elles a vu ses données mises aux enchères pour 40 millions de dollars.
« Les entreprises de services professionnels ont été durement touchées par les rançongiciels, les vols de données et les attaques de serveurs en 2020, chacun de ces types d’attaques ayant représenté 13 % du total. »