Selon un trio d’experts de l’assureur CFC, la panne mondiale provoquée par la société Crowdstrike, le 19 juillet dernier, offre l’occasion idéale aux courtiers de rappeler aux chefs de petites et moyennes entreprises (PME) le caractère précieux d’une couverture en cybersécurité.
CFC, une société britannique spécialisée dans l’assurance contre le risque cybernétique, a récemment tenu un webinaire visant à tirer des leçons de la panne qui a paralysé quelque 8,5 millions d’utilisateurs du système Windows de Microsoft.
Jason Hart, chef de la veille informatique de CFC, mentionne l’origine de la panne. « Crowdstrike a publié et mis à jour son logiciel de capteur Falcon. Le capteur Falcon est un logiciel installé sur le périphérique final. Il surveille en permanence le comportement des applications et des processus, de sorte qu’il est toujours à l’affût des erreurs qui pourraient se produire, du point de vue du comportement de l’attaquant. »
Ainsi, toute organisation ayant installé le capteur Falcon sur une machine Windows a essentiellement provoqué « l’écran bleu de la mort », comme on a pu le voir sur de nombreux terminaux dans les aérogares du monde entier, ce qui a contribué à créer un sentiment de panique, selon M. Hart.
La mise à jour de l’application Falcon par Crowdstrike avait déjà provoqué des pannes similaires à deux reprises en 2024, en mars et en avril, mais elles n’avaient affecté que des utilisateurs du système d’exploitation Linux, souligne Jason Hart.
Des questions
Animée par Lindsey Nelson, leader en développement des affaires en risque cyber de CFC, la discussion a permis de révéler que de nombreux courtiers ont demandé de l’aide à l’assureur ce jour-là, car ils n’étaient pas certains si une telle panne était couverte par la police en cyberassurance.
Les événements qui sont couverts par le produit sont les brèches de sécurité, l’intégrité des systèmes et leur inaccessibilité, explique Jason Hart. Dans ce cas-ci, la configuration mise à jour par Crowdstrike posait problème et les experts informatiques ont pu trouver des solutions relativement rapidement.
La principale crainte venait de l’occasion offerte aux pirates de contacter les entreprises paralysées pour leur vendre de fausses solutions pour les aider à régler le problème. Les acteurs malveillants ont créé de fausses adresses électroniques à partir du nom de Crowdstrike.
Ces criminels avaient ainsi la possibilité d’infecter d’autres victimes avec leurs logiciels malveillants, selon M. Hart. « C’est une réaction normale, tu vois ton système informatique se planter, on t’offre de l’aide, tu es prêt à croire n’importe qui », dit-il.
CFC a rapidement identifié toutes les entreprises assurées qui utilisaient Crowdstrike. « En utilisant notre application de veille, nous avons immédiatement envoyé des alertes aux assurés sur les vecteurs d’attaque que les attaquants pourraient utiliser, fournissant une sensibilisation à la sécurité », explique-t-il.
On rappelait aussi aux utilisateurs affectés de ne pas ouvrir les courriels suspects ou de cliquer sur des liens inclus dans des messages provenant d’un destinataire inconnu. CFC a ainsi expédié quelque 46 000 alertes aux assurés connectés à l’application de veille sur leur cellulaire.
« Nous avons constaté un taux de lecture très élevé chez nos correspondants », indique M. Hart. Des conseils ont aussi été expédiés aux quelque 50 000 courtiers qui font affaire avec la compagnie d’assurance, ajoute Lindsey Nelson.
Selon Jason Hart, l’événement permet de rappeler la nécessité à toutes les entreprises de se doter d’un plan de continuité des affaires en cas de panne informatique. « Si vous n’êtes pas préparé, vous commencerez à commettre d’autres erreurs. Les attaquants et les acteurs malveillants le savent. Et ils en abuseront », dit-il.
Peu importe la taille de l’entreprise, ce plan de contingence permet de déterminer ce qui devra être fait et dans quel ordre advenant l’inaccessibilité d’un système, d’une plateforme ou d’une base de données. « Vous devez vous demander : quel sera l’impact si je perds l’accès durant une heure, quatre heures, une journée, une semaine ? Ça vous aide à évaluer le risque et à prendre les moyens pour éviter que cela se produise », conclut M. Hart.
Un record
De son côté, Michael Phillips, leader de la pratique en cybersécurité à CFC aux États-Unis, confirme que la police classique en cybersécurité est la couverture idéale pour ce genre d’événement. La panne du 19 juillet est le sinistre le plus important de l’histoire qui n’était pas d’origine malicieuse.
« Ça nous permet de détruire le mythe très répandu qui dit que la cybersécurité ne sert que pour les attaques informatiques. Ça couvre aussi les pannes qui ne sont pas provoquées par un logiciel malveillant », précise M. Phillips.
Les PME sont de plus en plus forcées de numériser leurs activités. « Le risque de défaillance du système devient plus important parallèlement à l’explosion de la cybercriminalité », poursuit-il.
Au fur et à mesure que les entreprises se déploient dans l’univers numérique, c’est le rôle du courtier de les accompagner en leur fournissant une couverture qui couvre les défaillances de l’ensemble de la chaîne technologique, selon M. Phillips.
Certains assureurs ont commencé à ajouter des exclusions pour le type de panne qui a touché les utilisateurs de Crowdstrike en juillet dernier. Michael Phillips déplore cette réaction instinctive qu’il juge décevante.
« C’est justement pour ce type d’événement que le produit a le plus de valeur. Malheureusement, cette valeur devient apparente lorsqu’il y a un événement de ce genre », dit-il.
La protection offerte par l’assureur, de l’avis de M. Phillips, devrait couvrir non seulement l’interruption des affaires qui découle de la panne informatique qui touche directement l’assurée, mais aussi les pertes associées aux problèmes des tiers, soit les fournisseurs ou les clients de l’entreprise assurée.
La protection doit aussi inclure l’assistance 24 heures par jour, sept jours par semaine par des experts informatiques et l’appui d’un estimateur pour déterminer et évaluer les pertes potentielles.
Le tour du monde
Selon James Burns, chef de la stratégie cyber chez CFC, la panne de Crowdstrike est le parfait exemple d’un risque systémique qui doit être couvert par une police en cyberassurance.
« Un séisme majeur, comme le tremblement de terre de San Francisco en 1906, est un risque systémique. Cela a été le séisme le plus meurtrier de l’histoire des États-Unis avec plus de 3 000 morts, et il a détruit 80 % des immeubles de la ville. Il y a eu plus de 100 000 réclamations qui ont coûté l’équivalent de 5 milliards de livres sterling en dollars d’aujourd’hui », indique-t-il.
Une tragédie aérienne, comme les quatre avions détournés le 11 septembre 2001, est un autre risque systémique. Dans ce cas-ci, les réclamations ont totalisé 50 milliards de dollars (G$) en vie, en dommages, en aviation et en responsabilité civile.
Une panne informatique qui touche 8,5 millions d’utilisateurs à l’échelle mondiale est aussi un événement qui représente un risque systémique. « L’un des défis liés à la cybersécurité en particulier est qu’il peut être très difficile de prédire quelle pourrait être l’ampleur d’un événement donné. Et cela rend potentiellement plus difficile la gestion efficace de l’industrie face à ces expositions, à ces scénarios », dit-il.
M. Burns fait un constat fort intéressant pour expliquer l’impact relativement mitigé de la panne sur les assureurs. La mise à jour à l’origine de la panne a commencé à faire sentir ses effets en Australie, ce qui a permis de limiter les impacts sur les systèmes informatiques en Europe, puis aux États-Unis.
« La plupart des polices d’assurance cyber sont vendues aux États-Unis et, au moment où leur journée commençait, une voie claire vers la récupération avait été établie. Je pense que cela a minimisé les perturbations opérationnelles pour de nombreux assurés. En fait, ils ont été opérationnels relativement rapidement et étant donné que beaucoup d’entre eux sont de grandes entreprises qui choisissent de souscrire des polices avec des franchises élevées, beaucoup ne semblent pas penser qu’ils auront réellement besoin de déposer une réclamation ou d’avoir une perte qui détournera leur attention », explique-t-il.
James Burns ne croit pas que la panne du 19 juillet risque de provoquer un durcissement du marché de l’assurance cyber. « Cela pourrait atténuer une partie de la baisse des taux que nous avons constatée. Mais je ne pense pas que cela ait eu suffisamment d’impact pour nous faire reculer dans l’autre sens en matière de réassurance. »
Les pertes ne seront finalement pas tant élevées, selon M. Burns. La plateforme de Crowdstrike est davantage utilisée par de très grandes entreprises. Ces grosses sociétés ont de bonnes franchises qui prévoient le déclenchement de la couverture après 12 heures ou plus. Or, elles ont pu régler leur problème en quelques heures.
Cela ne veut pas dire qu’une panne majeure ne provoquera jamais un volume de réclamations susceptible de créer des problèmes de solvabilité pour l’industrie. « Nous préconisons depuis longtemps une approche consistant à définir les événements catastrophiques en fonction de leur ampleur et de leur impact, par opposition à ce qui les cause : la guerre ou la défaillance des infrastructures. Cela semble être une manière bien plus pertinente pour les assureurs, les courtiers et les clients de savoir où se situent les limites lorsqu’il s’agit de gérer le risque systémique dans les polices », indique-t-il.
Le virus informatique NotPetya, qui a frappé quelque 300 000 utilisateurs dans 60 pays en 2017, trouvait son origine dans une attaque perpétrée par des pirates russes et visait spécifiquement les infrastructures de l’Ukraine. En se propageant, le virus a provoqué des problèmes majeurs pour de grandes organisations.
« Les dommages sont estimés à plus de 10 G$, ce qui est bien plus élevé que les chiffres préliminaires dont on parle pour la panne de Crowdstrike », dit-il. Le transporteur aérien Delta déclare des pertes de revenus et des frais de 380 millions pour les 7 000 vols annulés.
Une première estimation des pertes faite un mois après l’événement se chiffrait à 5,4 G$, dont moins de 1 G$ en dommages couverts par l’assurance.
Ce qui distingue les deux événements, c’est justement le caractère malicieux de NotPetya, qui avait été conçu pour détruire des infrastructures ukrainiennes. Dans le cas de la panne du 19 juillet 2024, les assurés ont pu se rétablir beaucoup plus rapidement. « Mais l’on voit bien que le chaos et la panique provoquée par la panne ont créé un risque qui aurait pu être bien pire », ajoute James Burns.
Comme ce ne sont pas des PME qui ont principalement souffert de cette panne, M. Burns ne croit pas que le courtier peut se servir de cet exemple pour convaincre les chefs de PME d’acheter une couverture en cybersécurité. « Si cela avait été une panne provoquée par un produit plus couramment utilisé dans les PME, le sinistre aurait pu générer un volume bien plus élevé de pertes », dit-il.
L’argument de vente doit plutôt être que la police cyber sert justement à couvrir des sinistres qui proviennent d’une panne non malveillante. « Les assurés ont pu parler à nos experts qui les ont aidés à se rétablir. »
Une très grande majorité de chefs de PME ne souscrivent pas la cyberassurance, car ils ne comprennent pas bien la nature de leur risque associé à la sécurité informatique. « C’est le bon moment de leur expliquer », poursuit M. Burns.
Certaines industries établies dans quelques régions géographiques ont davantage souffert de la panne survenue en juillet dernier, par exemple les établissements de soins de santé aux États-Unis et au Royaume-Uni. « La meilleure manière de limiter les pertes pour l’assureur est de faire ce qu’il a toujours fait, soit de diversifier son portefeuille afin de limiter son exposition à un risque systémique », conclut-il.
Quelque 2 500 personnes étaient inscrites au webinaire, a précisé Lindsey Nelson au début du webinaire.
