De plus en plus de sinistres sont enregistrés par les assurances cyber risques depuis 2015

Le risque cyber est un enjeu toujours plus capital de notre société digitalisée. L'exposition des entreprises à ces risques est de plus en plus importante tel que l'a conclu Allianz Global Corporate & Speciality (AGCS) au sein de sa dernière étude. Et les cyber risques en lien avec les attaques provenant de l'extérieur coûtent très cher, il ne faut pas négliger les risques provenant de l'intérieur, encore plus nombreux.

Un coût faramineux des cyber risques pour les entreprises

C'est désormais une évidence pour beaucoup et Allianz appuie : l'assureur qui plaçait déjà le cyber-risque comme le premier risque en entreprise pour 2020 a réaffirmé leur coût important. Les préjudices sont estimés à un coût total de 660 millions d'euros d'après son étude portant sur 1 736 réclamations en lien avec la cybersécurité et menée sur plusieurs compagnies d'assurances entre 2015 et aujourd'hui. « Les pertes dues à des incidents tels que les attaques par déni de service distribué ou les campagnes de phishing ou par ransomware représentent aujourd'hui une majorité importante des réclamations de cybersécurité », a allégue Catharina Richter d'AGCS.

Le nombre de sinistres rapporté par les entreprises à leur cyber assurance est donc en hausse. En 2019, 809 réclamations ont été enregistrées contre seulement 77 pour l'année 2016, ce qui témoigne bien d'une croissance massive du recours à l'assurance cyber. Quant à l'année 2020, 770 sinistres ont déjà été rapportés par les entreprises pour les trois premiers quarts de l'année. En effet, la crise de Covid-19 a massivement poussé les entreprises à instaurer le télétravail, entraînant une plus grande exposition au cyber risque. De plus, le coût individuel du cyber risque a connu une hausse de plus 70 % en cinq ans. 80 % des pertes sont dues à des attaques par déni de service (DDoS) ou à cause de campagnes de phishing. Quant aux actions malveillantes en interne, elles concernent 9 % des cas.

Les ransomwares sont de plus en plus nombreux

Dans son étude, AGCS constate aussi une augmentation des cyberattaques, en particulier via malwares ou ransomwares. Elles ont augmenté de plus d'un tiers depuis le début de l'année 2020. Quant aux arnaques en ligne et campagnes de phishing, elles se multiplient corrélativement à la pandémie de Covid-19, augmentant mécaniquement les probabilités d'occurrence d'un incident humain ou technique se produisant dans l'entreprise.

AGCS observe donc que sur le plan mondial, un demi million d'incidents liés à des ransomwares avaient été relevés pour un coût estimé à 6,3 milliards de dollars pour ces seules demandes de rançon. In extenso, le coût total estimé pour ces attaques et leurs conséquences est estimé à plus de 100 milliards de dollars.

« Des outils de hacking sophistiqués sont devenus largement accessibles avec la croissance de la 'commercialisation des cyber-hacks'. De façon accrue, des criminels vendent des malwares à d'autres acteurs qui prennent ensuite pour cible les entreprises en exigeant des paiements sous forme de rançon », exposait Marek Stanislawski, le « Global Cyber Underwriting Lead » d'AGCS. Cependant, ces demandes de rançon ne sont que la partie émergée de l'iceberg. L'interruption des activités peut amener les plus grosses pertes avec des temps d'interruption de plus en plus longs, tandis que les coûts de restauration de systèmes et de données peuvent augmenter rapidement. »

Les erreurs humaines restent plus fréquentes que les attaques, même si elles sont moins coûteuses

Si les attaques provenant de l'extérieur sont coûteuses, il ne faut pas négliger les menaces intérieures. « Si la cybercriminalité fait la une des journaux, les pannes de systèmes, les pannes informatiques et les erreurs humaines peuvent également causer des problèmes aux entreprises, même si leur impact financier n'est généralement pas aussi grave », expliquait Catharina Richter.

Et cela est d'autant plus prégnant dans un environnement de pandémie de Covid-19 où le télétravail est devenu la norme dans de nombreuses entreprises. De fait, les incidents informatiques internes composaient tout de même 54 % des cas analysés par AGCS. Et même si ces pertes engendrent un coût moins important par rapport aux attaques extérieures, ces coûts peuvent augmenter rapidement en cas d'incident plus grave.