Skip to main content
Marsh logo

Rapport

Rançongiciel : un défi persistant dans les réclamations en cyberassurance

Communiquez avec nous

12/09/2024 · Lecture de 7 minutes

Principaux points à retenir

Comprendre les tendances en matière de réclamations en ligne aide à élaborer une stratégie efficace de gestion des risques contre l’un des risques distinctifs de la société d’aujourd’hui, axée sur la technologie. Une analyse des plus de 1 800 réclamations liées aux cyberrisques transmises à Marsh aux États-Unis et au Canada en 2023 révèle ce qui suit :

  • 21 % des clients qui ont acheté une police d’assurance contre les cyberrisques ont signalé un incident en 2023, ce qui est conforme au pourcentage des cinq dernières années.
  • En 2023, les incidents découlaient de facteurs comme un raffinement accru des cyberattaques, l’attaque contre MOVEit, qui a mis en évidence les vulnérabilités de la chaîne d’approvisionnement, et les réclamations en matière de protection des renseignements personnels.
  • Les secteurs des soins de santé, des communications, de la vente au détail et en gros, des institutions financières et de l’éducation demeurent parmi les cinq secteurs les plus touchés.
  • Les attaques par rançongiciel représentaient moins de 20 % des réclamations signalées, mais elles sont demeurées une préoccupation majeure pour les entreprises en raison du fait qu’elles sont plus fréquentes, plus complexes et potentiellement plus graves que les autres.
  • Dans le cadre de la gestion des réclamations, il est important de suivre les procédures appropriées, par exemple en avisant les assureurs, les courtiers et les autres parties prenantes, ainsi que de tenir à jour la documentation appropriée.
  • La stratégie de cyberrésilience des organisations devrait intégrer une vision des cyberrisques dans l’ensemble de l’entreprise, y compris leur incidence économique et opérationnelle potentielle, en plus de tenir compte de la cybersécurité chez les fournisseurs et d’autres tiers.

Introduction

Les cyberrisques sont une préoccupation solidement implantée pour les entreprises de toutes tailles et le transfert efficace de risques fait donc de plus en plus partie des stratégies réussies de gestion des cyberrisques. En retour, il est important que les entreprises comprennent et gèrent correctement leurs réclamations potentielles liées aux cyberrisques pour soutenir le transfert des risques.

En 2023, les clients de Marsh aux États-Unis et au Canada ont déposé plus de 1 800 réclamations liées aux cyberrisques, plus qu’au cours de toute autre année précédente. Ces réclamations comprennent les erreurs et omissions en matière de cybersécurité, de technologie et de télécommunications, ainsi que la couverture médiatique.

L’augmentation a été entraînée en partie par le raffinement accru des cyberattaques, l’attaque contre MOVEit, qui a mis en évidence les vulnérabilités de la chaîne d’approvisionnement, les réclamations en matière de protection des renseignements personnels et le nombre croissant de clients de Marsh qui souscrivent une cyberassurance. Depuis maintenant plusieurs années, les rançongiciels (bien qu’ils fassent l’objet de moins de 20 % du total des réclamations liées aux cyberrisques) demeurent une préoccupation majeure pour les assureurs et les assurés en raison de leurs répercussions financières potentiellement importantes, des atteintes à la réputation qu’ils causent, des pertes de parts de marché qu’ils entraînent, de la durée des litiges, de la surveillance réglementaire, etc.

Le pourcentage de clients qui signalent des cyberévénements est stable 

Le pourcentage annuel de clients ayant signalé au moins un cyberévénement est demeuré relativement stable au cours des cinq dernières années, oscillant entre 16 % et 21 % (voir la figure 1). Cette constance montre, en partie, que les cybercontrôles des entreprises ont suivi le rythme du raffinement et de la fréquence croissants des cyberattaques.

Figure 1

Le pourcentage d’entreprises qui signalent un cyberévénement demeure relativement stable d’une année à l’autre

Les cyberévénements peuvent survenir dans n’importe quelle organisation, mais des secteurs spécifiques sont ciblés plus souvent que d’autres (voir la figure 2). Les cinq principaux secteurs d’activité parmi les clients de Marsh qui sont touchés par les cyberévénements demeurent les mêmes; en 2023, il s’agissait de ceux des soins de santé, des communications, de la vente au détail et en gros, des institutions financières et de l’éducation.

Figure 2

Les soins de santé et les communications demeurent parmi les secteurs d’activité faisant l’objet du plus grand nombre de réclamations chaque année

Bien que le coût moyen ait augmenté pour les frais d’intervention en cas d’incident, comprenant les services d’un conseiller en matière d’atteinte à la protection des données ou en matière de protection des renseignements personnels, les services d’informatique judiciaire et, au besoin, les notifications, le coût médian est demeuré relativement constant (voir la figure 3). Au cours des cinq derniers trimestres, le coût médian des frais d’intervention en cas d’incident est demeuré d’environ 160 000 $, tandis que la moyenne a augmenté, passant de 963 000 $ au troisième trimestre de 2023 à 1 M$ au quatrième trimestre, principalement en raison de quelques cyberévénements d’envergure.

Figure 3

Les coûts d’intervention en cas d’incident s’élevaient en moyenne à 1 M$ entre 2019 et 2023

Les rançongiciels demeurent une priorité

Les attaques par rançongiciel demeurent au centre de la plupart des discussions sur les cyberrisques, car elles continuent d’augmenter en fréquence, en complexité et en gravité, et restent la principale cybermenace pour les opérations quotidiennes de nombreuses organisations, leurs finances à long terme, leur réputation et plus encore.

En plus des réclamations relatives aux rançongiciels, la déclaration globale des réclamations liées aux cyberrisques a également augmenté en 2023. Depuis une croissance rapide en 2020, le nombre d’attaques signalées par rançongiciel est resté inférieur à 20 % du nombre total de réclamations liées aux cyberrisques signalées par les clients de Marsh au cours des deux dernières années (voir la figure 4). Cela signifie qu’on ne retrouve aucun élément d’extorsion dans la plupart des réclamations en matière de protection des renseignements personnels et les attaques contre les systèmes entraînant un accès non autorisé et une exposition potentielle des données qui sont signalées par les clients de Marsh.

Figure 4

Les cyberextorsions représentaient moins de 20 % du total des réclamations liées aux cyberrisques signalées en 2022 et en 2023

En 2023, le nombre de clients signalant des événements de cyberextorsion a atteint le plus haut niveau annuel à ce jour (voir la figure 5). Cette hausse a fait suite à un recul des événements de cyberextorsion signalés en 2022, qui était inférieur à ceux des deux années précédentes. Bien qu’il soit difficile de cerner des raisons précises pour la baisse en 2022, divers experts en cybersécurité, tant au sein de Marsh qu’à l’extérieur, citent des facteurs tels que le délaissement (temporaire) du chiffrement des données au profit de l’exfiltration, des perturbations causées par le début de la guerre entre la Russie et l’Ukraine, une diminution de la volonté de certaines entreprises de payer et l’« infiltration » réussie du FBI au sein d’un groupe de rançongiciel en particulier. Peu importe les raisons de la baisse en 2022, les rançongiciels ont atteint de nouveaux sommets en 2023, car le nombre de malfaiteurs a augmenté considérablement.

Figure 5

Après un recul en 2022, les événements de cyberextorsion ont augmenté en 2023

Dans un cas d’extorsion, les entreprises doivent choisir de payer ou non une rançon afin d’obtenir la clé de déchiffrement ou d’empêcher la diffusion des données compromises. Les organisations doivent évaluer les dommages possibles tout en jaugeant la fiabilité des criminels à qui elles ont affaire; si elles paient la rançon, les malfaiteurs coopéreront-ils? Ou vont-ils conserver des données pour une nouvelle tentative d’extorsion?

En 2022, les clients de Marsh ont mieux réussi à répondre aux événements de cyberextorsion et à s’en remettre qu’en 2023 (voir la figure 6). Le paiement d’extorsion médian est passé de 822 000 $ en 2021 à 335 000 $ en 2022. Toutefois, cette tendance s’est inversée en 2023, car le paiement médian est passé de 335 000 $ à 6,5 M$, et la demande médiane est passée de 1,4 M$ à 20 M$ à mesure que les cybercriminels s’enhardissaient. Bien que la décision de payer ou pas comporte bien des nuances, les organisations devraient se préparer à répondre aux menaces, en envisageant par exemple leur façon de réagir à divers scénarios possibles.

En général, les négociations d’extorsion s’avèrent efficaces pour réduire la rançon finale payée, bien qu’il soit important de noter que chaque situation est unique. Le pourcentage de la demande médiane payée est passé de 24 % en 2022 à 32 % en 2023.

Figure 6

Augmentation des demandes de cyberextorsion et des paiements en 2023

Les clients de Marsh continuent d’investir dans la cyberrésilience, y compris dans des domaines tels que les exercices de simulation, la préparation des fournisseurs de services d’intervention en cas d’incident, les procédures de temps d’arrêt, les plans de communication hors bande et les contrôles efficaces de cybersécurité. L’efficacité de ces investissements est démontrée par la baisse continue du pourcentage des entreprises qui choisissent de payer une demande d’extorsion (voir la figure 7). 

Figure 7

Le pourcentage d’entreprises qui paient des demandes de rançon continue de diminuer

Considérations relatives au paiement d’une rançon

La responsabilité en matière de protection des renseignements personnels est généralement l’un des nombreux facteurs qui peuvent influencer la décision de payer ou pas une rançon. Cependant, il peut être difficile d’attribuer une valeur au moment de décider si le paiement sera avantageux sur le plan économique ou réduira la responsabilité future. Les demandes d’indemnisation au titre de la responsabilité civile en matière de protection de la vie privée ont considérablement augmenté au cours des dernières années, et les montants des règlements ont également augmenté, ce qui fait de cette question une grande inconnue.

La décision peut être plus simple lorsque les criminels chiffrent des données et causent des pertes d’exploitation. Par exemple, une entreprise pourrait être en mesure de déterminer que les pertes d’exploitation coûtent 1 M$ par jour. Si le coût de déchiffrement est de X milliers de dollars, mais qu’il permettra à l’entreprise d’être opérationnelle en quelques jours, il peut s’avérer avantageux de payer la rançon. Chaque situation est unique et la décision de payer ou de ne pas payer une rançon peut avoir des conséquences au-delà de l’incident en question.

D’autres facteurs peuvent influencer la décision de payer, par exemple le fait que les données exfiltrées soient sensibles pour l’entreprise ou potentiellement embarrassantes.

Dans certains cas, les assureurs peuvent examiner de plus près les paiements de rançons lorsqu’il n’y a pas de chiffrement, en particulier si les lois sur la notification des violations sont appliquées. Si l’ambivalence concernant le paiement des rançons augmente, certains observateurs se demandent si le vol de données ne va pas boucler la boucle, avec de plus en plus de criminels qui se contenteront de vendre les données volées sur le web caché et éviteront de travailler avec leurs victimes.

Conclusion : la stratégie et les contrôles de cybersécurité sont essentiels

À mesure que les cyberrisques évoluent, les entreprises doivent surveiller et ajuster leurs contrôles de cybersécurité et faire appel à des spécialistes en règlement des sinistres, entre autres. En cas de réclamation, il est important de suivre les étapes appropriées, comme aviser les assureurs, les courtiers et les autres intervenants, et de tenir à jour la documentation appropriée.

De façon plus générale, les entreprises devraient se doter d’une stratégie de résilience aux cyberrisques qui intègre une vision des cyberrisques dans l’ensemble de l’entreprise, y compris leur incidence économique et opérationnelle potentielle.

Prendre en compte la cybersécurité chez les fournisseurs et d’autres tiers, entreprendre régulièrement des exercices de simulation et des évaluations d’intervention.

Nous pouvons vous aider à quantifier votre exposition aux cyberrisques grâce à une modélisation des pertes fondée sur des scénarios, à effectuer une analyse comparative des sinistres et des coûts potentiels liés aux cyberévénements, à prendre en considération l’efficacité des contrôles de cybersécurité d’un point de vue financier, à évaluer l’efficacité économique de plusieurs structures de programmes de cyberassurances et à gérer vos réclamations, le cas échéant.

L’utilisation de groupes de fournisseurs peut améliorer la gestion des sinistres

Lorsqu’un cyberincident se produit, de nombreuses entreprises se tournent vers des fournisseurs externes pour gérer des aspects de l’événement. De nombreux assureurs ont un groupe de fournisseurs préapprouvés pour travailler sur les cyberincidents et les sinistres. Marsh a constaté que les clients qui font appel aux fournisseurs préapprouvés de leur assureur peuvent considérablement améliorer le délai moyen entre la notification de l’événement et la réception de la confirmation de la couverture ou du premier paiement, qui est d’un peu plus de 2 mois lorsqu’ils font affaire avec un groupe de fournisseurs et de plus de 12 mois sinon.

Pourquoi Marsh?

Les cyberrisques sont complexes et omniprésents. Le groupe d’expertise en cyberrisques de Marsh fournit aux organisations des conseils de professionnels en matière de risques lors de la gestion de leurs expositions.

  • Des praticiens internes en services juridiques, techniques et d’intervention en cas d’incident sont là pour aider les clients avant, pendant et après les cyberévénements.
  • Une expérience en gestion des incidents acquise par le traitement annuel de plus de 1 800 réclamations en matière de cybersécurité et de technologie.
  • Des innovations numériques pour accroître les programmes de cyberintervention.

Si vous avez des questions au sujet de l’un des sujets abordés dans ce rapport, veuillez communiquer avec votre représentant de Marsh.

Communiquez avec nous

Renseignements pertinents

Robot hand ai artificial intelligence assistance for medical healthcare practices operation surgical performance, unity with human and ai concept, with graphical icon display blue banner background

Article

«Intervention humaine» dans la gestion des risques liés à l’IA – pas une panacée

09/01/2024
Startup business people group at office

Article

Comptabiliser les pertes économiques à la suite de la panne informatique mondiale

07/30/2024
Placeholder Image

Article

Panne causée par la mise à jour logicielle de CrowdStrike

07/19/2024
Aerial view of crowd connected by lines

Article

Résoudre le dilemme financier lié aux cyberrisques

04/11/2024
Voir plus