Skip to main content
Marsh logo

NOUVELLES DU MARCHÉ DE L’ASSURANCE

Les cyberattaques dans le secteur de l’énergie : ne vous demandez pas si, mais plutôt quand

06/30/2021 · Lecture de 5 minutes

En mai, les cyberrisques dans le secteur de l’énergie ont retenu l’attention du monde entier en raison d’une attaque par rançongiciel qui a causé l’arrêt du plus important pipeline de carburant aux États-Unis. La fréquence croissante des cybermenaces fait en sorte que les organisations ne peuvent plus ignorer les conséquences que peut avoir un unique événement sur leurs activités, ni les risques économiques et sociaux que cela peut présenter. En 2019, 65 % des organisations dans le secteur de l’énergie trouvaient difficile de suivre le rythme de l’évolution des cyberrisques.[1]

L’ampleur, le raffinement et la gravité des cyberattaques continuent d’évoluer, avec l’aide de pays, de criminels, de terroristes, d’hacktivistes et d’initiés. La numérisation dans le secteur de l’énergie et la plus grande dépendance envers les données de technologie opérationnelle (TO) élargissent l’interface entre la technologie de l’information (TI) et la TO, ce qui crée une surface d’attaque considérablement plus grande pour d’éventuels pirates informatiques. Ces transformations opérationnelles créent des occasions et des risques que l’on doit évaluer en regard des avantages de la numérisation et du besoin de cybersécurité. À l’échelle du système, l’interconnectivité et la complexité des chaînes de valeur du secteur de l’énergie augmentent la vulnérabilité de l’infrastructure essentielle au mauvais fonctionnement ou au sabotage, avec un potentiel d’effet d’entraînement et de répercussions en cascade.

Bulletin sur l’énergie et l’électricité

Bulletin sur l’énergie et l’électricité de juillet 2021, tenant compte des tendances en matière d’assurance au cours du dernier trimestre.

* Disponible en anglais seulement

Télécharger

Malicious actors often target energy companies through ransomware motivated by financial goals. However, the emerging risk profile is a shift towards cyber physical risk. The discovery of the Triton malware, which specifically aims to breach safety control systems, and attacks leading to physical plant damage such as the Stuxnet attacks, indicate the escalating threat. These types of attacks have the potential to result in large-scale property damage and/or loss of life.

Risk transfer is a critical consideration of any cyber risk management program, both for physical and non-physical impacts.

The cyber insurance market is in transition. The global cost associated with ransomware recovery is expected to exceed USD20 billion in 2021. Ransomware related losses have accelerated the deterioration of market conditions, and some leading cyber insurers are introducing coverage limitations, such as co-insurance on ransomware losses. Silent cyber exclusions are proving challenging due to the increase in residual risk retained on balance sheets. However, risk transfer options remain available for malicious cyber events, while the traditional property insurance markets are better placed to underwrite accidental and physical property damage.

A standard cyber insurance policy can cover the first-party costs of non-physical impacts arising out of confidentiality, availability, or integrity of data and technology. Cover is provided for loss of income and extra expenses to mitigate an income loss, data restoration to recreate the critical process information, and forensic investigation costs and expenses incurred in remediating and responding to a cyber event. Figure 1 below shows a full list of available coverages.

While organizations cannot eliminate cyber risk, they can proactively prepare for an attack. The steps organizations can take include:

Bring together key stakeholders including risk management; information security, both the operational and information technology teams; and treasury, finance and legal teams to ensure there is alignment in how you would manage an attack.  

  • Evaluate existing controls and address identified network and security vulnerabilities. The most common ransomware attack vectors in the first quarter of 2021 included remote desktop protocol (RDP) compromise and email phishing. Implementing appropriate controls can help to thwart an attack — or at least identify one before threat actors can move laterally within your network. For example, early identification can allow you to take operational technology offline once corporate networks are known to have been compromised, but before any industrial control systems are compromised.
  • Assess and test your cyber incident response plan, or develop a ransomware “playbook” of activities to respond to a threat. The plan should be re-evaluated following an incident.
  • Measure your organization’s cyber risk exposure in financial terms. This will help you prioritise the cyber risks presenting the greatest exposure to your balance sheet. This also enables you to evaluate the return on investment of cybersecurity products, as well as how much risk to retain or transfer.
  • Evaluate your entire insurance portfolio, including cyber insurance coverage, to assess whether the various programs are aligned. Verify that coverage includes various material costs incurred as a result of a ransomware attack, including an attack that leads to physical damage and/or bodily injury.

Effective preparation can help you build a cyber-resilient organization.

[1] Based on the 2019 Marsh Microsoft Global Cyber Risk Perception Survey. Read more Winning the Cyber Risk Challenge (mmc.com)

Related insights

Placeholder Image

Article

Market Overview Q2 2021

08/01/2021
Placeholder Image

Article

Regional Market Trends Q2 2021

06/30/2021
Placeholder Image

Article

The science of predicting a perfect storm

06/30/2021
Hacker working with computer in dark room with digital interface around. Internet crime concept. Image with glitch effect.

Article

Les cyberattaques dans le secteur de l’énergie : ne vous demandez pas si, mais plutôt quand

06/30/2021
Bird's eye view of Manhattan, looking down at people and yellow taxi cabs going down 5th Avenue. Toned, Instagram photography with slight vignette.

Article

News Briefs Q2 2021

06/30/2021
Placeholder Image

Article

Legal Review

07/01/2021
Businessman reading documents

Article

Demystifying Common Clauses

07/01/2021
Eye of the Hurricane. Hurricane on Earth. Typhoon over planet Earth.. Category 5 super typhoon approaching the coast. View from outer space. (Elements of this image furnished by NASA)

Article

Windstorm Update Q2 2021

06/30/2021

Les acteurs malveillants ciblent souvent les sociétés d’énergie au moyen de rançongiciels motivés par des objectifs financiers. Toutefois, le nouveau profil de risque se déplace vers le cyberrisque physique. La découverte du logiciel malveillant Triton, visant expressément à violer les systèmes de contrôle de la sécurité, et les attaques causant des dommages matériels aux installations, comme les attaques de Stuxnet, indiquent que la menace est croissante. Ces types d’attaques peuvent entraîner des dommages matériels à grande échelle ou des pertes de vie.

Le transfert de risques est un facteur essentiel à considérer dans tout programme de gestion des cyberrisques, tant pour les répercussions physiques que non physiques.

Le marché de l’assurance contre les cyberrisques est en transition. Le coût global associé à la reprise après une attaque par rançongiciel devrait dépasser 20 milliards de dollars américains en 2021. Les pertes liées aux rançongiciels ont accéléré la détérioration des conditions du marché, et certains des principaux assureurs de cyberrisques introduisent des limites de garantie, comme la coassurance contre les pertes liées aux rançongiciels. Les exclusions relatives aux cyberrisques silencieux présentent des difficultés en raison de l’augmentation du risque résiduel retenu sur les bilans. Toutefois, les options de transfert de risques demeurent disponibles pour les cyberévénements malveillants, tandis que les marchés traditionnels d’assurance de biens sont mieux placés pour souscrire de l’assurance contre les dommages accidentels et physiques aux biens.

Une police d’assurance classique contre les cyberrisques peut couvrir les coûts de première partie liés aux répercussions non physiques découlant de la confidentialité, de la disponibilité ou de l’intégrité des données et de la technologie. Une garantie est fournie pour la perte de revenu et les frais supplémentaires engagés pour atténuer une perte de revenu, la restauration des données pour recréer les renseignements essentiels aux processus, ainsi que les frais et dépenses d’enquête judiciaire engagés pour remédier à un cyberincident et y répondre. La figure 1 ci-dessous présente une liste complète des garanties offertes.

Bien que les organisations ne puissent pas éliminer les cyberrisques, elles peuvent se préparer à une attaque de façon proactive. Ces mesures peuvent inclure les suivantes :

Réunir les principaux intervenants, y compris les équipes de la gestion des risques, de la sécurité de l’information, de la technologie opérationnelle et de la technologie de l’information, de la trésorerie, des finances et des affaires juridiques, pour s’assurer de l’harmonisation dans la façon dont une attaque serait gérée.  

  • Évaluer les contrôles existants et corriger les vulnérabilités détectées dans le réseau et la sécurité. Au cours du premier trimestre de 2021, les vecteurs d’attaque par rançongiciel les plus courants comprenaient la compromission du protocole de bureau à distance (RDP) et l’hameçonnage par courriel. La mise en œuvre de contrôles appropriés peut aider à contrecarrer une attaque, ou au moins à la détecter avant que les auteurs de la menace puissent se déplacer latéralement dans le réseau. Par exemple, la détection précoce peut permettre de mettre hors ligne la technologie opérationnelle dès qu’on apprend que les réseaux de l’entreprise ont été compromis, mais avant que tout système de contrôle industriel ne soit compromis.
  • Évaluer et tester le plan d’intervention en cas de cyberincident, ou élaborer un « manuel » des activités visant à répondre à une menace de rançongiciel. Le plan doit être réévalué après chaque incident.
  • Mesurer l’exposition aux cyberrisques de l’organisation en termes financiers. Cela aidera à accorder la priorité aux cyberrisques les plus importants pour le bilan. Cela permettra également d’évaluer le rendement du capital investi dans les produits de cybersécurité, ainsi que l’importance du risque associé à la rétention ou au transfert.
  • Évaluer l’ensemble du portefeuille d’assurance, y compris la couverture d’assurance contre les cyberrisques, afin de déterminer si les divers programmes sont harmonisés. Vérifier que la couverture comprend les divers coûts matériels engagés à la suite d’une attaque par rançongiciel, y compris une attaque qui entraîne des dommages physiques ou des blessures corporelles.

Une préparation efficace peut aider à bâtir une organisation cyberrésiliente.

[1] D’après le sondage mondial de 2019 sur la perception des cyberrisques, mené par Marsh et Microsoft. En savoir plus Winning the Cyber Risk Challenge (mmc.com)

Renseignements pertinents

Placeholder Image

Article

Tendances des marchés régionaux T2 2021

06/30/2021
Placeholder Image

Article

La science de la prédiction d’une tempête parfaite

06/30/2021
Bird's eye view of Manhattan, looking down at people and yellow taxi cabs going down 5th Avenue. Toned, Instagram photography with slight vignette.

Article

Nouvelles T2 2021

06/30/2021
Placeholder Image

Article

Questions juridiques

07/01/2021
Businessman reading documents

Article

Démystifier les clauses courantes

07/01/2021
Eye of the Hurricane. Hurricane on Earth. Typhoon over planet Earth.. Category 5 super typhoon approaching the coast. View from outer space. (Elements of this image furnished by NASA)

Article

Nouvelles sur les tempêtes de vent T2 2021

06/30/2021